CURSO DE SEGURIDAD INFORMATICA PARA EQUIPOS TECNICOS - CONTROLES EN CIBERSEGURIDAD - PLATZI -PARTE 3

 GESTION DE ACCESOS

La gestión de accesos es un pilar esencial en la ciberseguridad moderna. Consiste en la administración meticulosa de credenciuales como usuario, contraseñas y tokens que permiten a un usuario autenticarse en un sistema. La correcta gestión de estos elementos no solo protege la informacion sensible, sino que tambien mitiga riesgos potenciales de seguridad.

Tipos de gestión de accesos.

  1. Gestión de acceso local u offline: Incluye la administración de credenciales almacenadas localmente en un archivo en tu equipo. un ejemplo común de esta categoria es el uso de Keepass, que además permite cierta sincronia con dispositovos Android. ejemplo bitware
  2. Servicios web u online: Estos permitel la sincroía de credenciales entre múltiples dispositivos.
  3. Gestion orientada a tokens: Implica utilizar un componente de hardware, como dispositivo UIKey.

Beneficios de la gestión de accesos

  • Uso de contraseñas maestras y archivos de token, facilitando un múltiple factor de autenticación.
  • Fortalecimiemto de clabes mediante herramientas que califican la solidez de las contraseñas
  • Repositorios de claves cifrados protegiendo informacion sensible.
  • Implementacion de opciones de passwordless, eliminando la necesidad de contraseñas al recibir notificaciones en el smarthphone para la autenticacion.
  • Generadores de contraseñas robustas que almacenan combinanciones complejas.
  • Gestión colaborativa de accesos en entornos grupales, facilitando el acceso compartido a través de herramientas como 1Password y LastPass

Recomendacion para el fortalecimiento de contraseñas

  • Usar frases o combinaciones complejas que alarguen el tiempo necesario para descifrarla
  • Emplear servicio web específic que evalúen la duracion estimada para socavar una contraseña
  • Considerar la amenasza de los procesos cuánticos, motivando el uso de contraseñas largas que dificulten el descifrado.

Firewall

Es un sistema de seguridad que controla y filtra el trafico de red, permitiendo o bloqueando conexiones según reglas predefinidas.

¿Cómo se implementa un firewall?
  1. Appliance en sitio:
    • Consiste en un dispositivo hardware controlado por un software o sistema operativo
    • Se instala y configura según los requerimiento internos de la organizacion
    • Palo Alto Network es un ejemplo, conocido por proporcionar herramientas de monitoreo, politicas de seguridad y perfiles de seguridad
  2. Modo Cloud Security
    • Aquí, el firewall es un servicio proporcionado por una entidad externa
    • Ofrecido de manera modular y escalabre según las necesidades tecnológicas en crecimiento
    • Incluye opciones como denegacion de servicio distribuida, reglas IP especificas y un WAF (Web Applicaction Firewall).
 Beneficios de un Firewall
  • Panorama de Seguridad: Ofrece un dashboard para visualizar y entender qué ocurre en la red
  • Calidad de servicio en internet: Permite asignar ancho de banda especifico para aplicaciones
  • Control permanente: EL mantenimiento y actualizacion de protocolos es crucial para proteger contra amenazas de dia cero.
  • Canales de red Seguros: Facilita la creacion de VPN.

IPS/IDS(Intrusion Prevension / Detection system)

IDS e IPS son herramientas esenciales en la seguridad informática que actuán para proteger las redes internas de las compañías. Mientras que IDS se encarga de detectar y alertas al administrador sobre actividades sospechosas, los IPS van un paso más allá al tomar medidas para detener un posible ataque.

Diferencia entre IDS y un IPS

  • IDS(Sistema de deteccion de intrusos)
    • Analiza el tráfico de la red
    • Detecta actividades no usuales que puedan indicar un ataque
    • Alerta a un adminitrador de TI para que tome acciones
  • IPS(Sistema de Prevencio de intrusos)
    • Además de detectar y alertar, toma decisiones automáticas
    • Puede bloquear conexiones o descartar paquetes maliciosos
    • Funciona en línea, monitoreando el tráfico antes de que llegue a los servidores.

¿Cómo funcionan los IDS y los IPS?

  1. Ubicacion en la red:
    • IPS: Se encuentran detrás del firewall, analizando el tráfico permitido por este
    • IDS: Puede estar conectado al Switch principal de la red, analizando el tráfico sin intervenir
  2. Mecanismos de deteccion
    • Firmas: Comparan patrones de tráfico con base de datos conocidas de amenazas.
    • Anomalias: Detectan comportamiento anormales, como un número inesperado de peticiones
    • Politicas: Reglas configuradas por la empresa para determinar comportamiento sospechoso.

Diferencia entre un IDS, IPS y un firewall

  • Firewall: Inspecciona sólo un parte de paquete (header) en las capas de red y transporte, basándopse en IP, puerto y protocolo
  • IDS/IPS: Analizan todo el paquete, incluyendo todo los segmentos, colectivamente el tráfico para identificar amenazas.

Tipos de IPS

  • NIPS (Network Intrusion Prevention System)
    • Dispositivo de prevension basado en la red
    • Se coloca despues del firewall para analizar el tráfico
  • HIPS(Host Intrusion Prevention System)
    • Software instalado en dispositivos individuales
    • Monitoreo y toma acciones de manera local en cada dispositivo
  • Otros:
    • NVA(Network behavior Analysis): Analiza el comportamiento del tráfico para detectar irregularidades
    • WIPS(Wireless Intrusion Prevention System): se enfoca en redes inalambricas

Beneficios de implentar un IPS en la red empresarial

  •  Integración sencilla: Compatible con sistemas de gestión eventos de seguridad (SIEM) para un analisis más profundo
  • Mayor eficiencia: Al filtrar trafico, mejora el rendimiento de otros sistemas de seguridad
  • Ahorro de tiempo: reduce el número de incidencias posteriores
  • Cumplimiento de normativas: Ayuda a cumplir con regulaciones de seguridad
  • Personalizacion: configurable para adaptarse a la estructura única de cada red empresarial.

Soluciones para implementar IDS/IPS

  1. Soluciones indenpendientes: Dispositivos o aplicaciones especializados unicamente en IDS/IPs.
  2. Sistemas integrados:
    • Firewals nueva generación: incluyen funcionalidades adicionales de detección y prevención
    • Gestores unificados de amenza: Soluciones avanzadas que ofrecen protección integral

Correlación y gestión de eventos "SIEM"

Para proteger las redes y sistemas de una empresa, es esencial contar con herramientas avanzadas que permitan analizar y gestionar eventos de seguridad, aquie es donde entra SIEM, un sistema que centraliza logs de diversos sistemas de seguridad para ofrecer una visión completa de sitación en una red.
Este sistema no solo recopila información, si no que también realiza correlación y analisis para detectar amenazas y prevenir potenciales ataques.

¿Cómo funciona el sistema SIEM?

El Siem gestiona registros de diferentes fuentes de información, como firewalls, sistemas de deteccion de intrusos(IDS), sistemas de prevencion de intrusos (IPS), y otros siemstas de protección. Tras recoger estos datos, procesa y analiza la información para determinar si se trta de amenzas reales o falsos positivos.
Por ejemplo un aumento de peticiones de usuarios podria ser visto como un ataque IDS, pero un análisis más profundo podría revelar que se debe a una promoción de la empresa y no un ataque.

Además, el SIEM monitoriza incidenetes y emite alertas de seguridad cuando detecta una posible actividad maliciosa, permitiendo al administrador tomar decisiones informadas. Sirve también para generar informes necesarios para cumplir con normas de compliance y evaluar la seguridad de la red.

Funcionamiento del SIEM

  1. Gestión de registros: Recopilar información desde los diferentes controles de seguridad
  2. Correlación de eventos y ánalisis: Analizar la información recopliada en conjunto y detectar anomalias.
  3. Monitoreo de incidentes: El monitoreo se realiza de forma continua, y se envian alertas cuando la probabilidad de estar bajo ataque es alta
  4. Gestion de compliance y informes: Extracción de reportes para registros históricos, cumplir con normas y estándares.

¿Cúales son las capacidades de un SIEM?

Un SIEM no solo se limita a la deteccion de amenazas, si no también ofrece varias capacidades adicionales.
  • Agregación de información: Recopila datos de múltiples fuentes, permitiendo correlacionar eventos para identificar ataques potenciales.
  • Visualización mediante dashboards: Ofrece una visualización clara de las peticiones, con gráficas quie muestran datos claves para interpretar la seguridad de la red.
  • Sistema de compliance: Permite retener logs centralizados por el tiempo requerido por las normativas, facilitando la generación de informes.
  • Análisis forense: Almacena logs que pueden ser analizados para revisar cómo se cometieron los ataques y reforzar la seguridad.

¿Por qué es esencial la implementación de un SIEM?

La implementacion de un SIEM es crucial en la seguridad de una empresa. Ayuda a detectar ataques de dia cero, aquellos que son novedosos y no tienen control de seguridad predefinido. Al recibir la información de diversas fuentes, puede identificar patrones extraños que podrían ser indicativos de un ataque. Ademas permite la normalizacion y categorizacion de logs, ayudando discernir entre evntos informativos, alertas, errores y advertencias.

Ejemplos de reglas que se pueden configurar en un SIEM

Pendiente 

Marcas de SIEM


Pendiente

Copias de seguridad

La pérdida de información puede tener consecuencias devastadoras para cualquier organización. Por eso proteger la informacion concopias de seguridad o backup es esencial.
Estas copias son duplicados de la información original guardados en sistemas separados que permiten recuperar los datos en caso de pérdida. La pérdida de datos puede ocurrir por diversas razones, como desastres naturales, eliminación accidental, robos, corrupción del soporte de almacenamiento o ataques de virus informáticos.

Tipos de copia de seguridad
  • Completa
  • Incremental
  • Diferencial
  • Espejo
  • Sintetica completa
  • Backup incremental inverso
  • Proteccion de datos continua (CDP)
Donde almacenar las copias de seguridad.
  • Medios tradicionales: cintas magnetica, cds, dvd, hdd y sdd
  • Servicios en la nube.
Al implementar una estrategia de copias de seguridad, hay factores criticos que no se pueden pasar por alto:
  • Redundancia o replicacion: crear varias copias en distintos lugares
  • cifrado de datos: fundamental si los datos son sensibles
  • Refactorizacion y compresion: Reorganizar y comprimir datos para mejorar el almacenamiento
  • Retencion y limpieza automatica: Definir periodos de datos según regulaciones y automatizar la limpieza de datos obsoletos
  • Validacion e integridad; Regularmente asegurar que las copias no se hayan corrompido y siguen siendo utilizables.

¿Qué son RPO y RTO?

  • RPO(Punto objetivo de recuperación): Tiempo máximo aceptable de pérdida de datos
  • RTO(Tiempo de recuperación de objetivo); Tiempo que tardarás en recuperar completamente tus datos y volver a operar normalmente tras un desastre.

Cifrado

Es el proceso de transformación de datos o información legible en un formato ilegible utilizando un algoritmo y una clave
Existen dos tipos principales de cifrado
  1. Simetrico: se utiliza una llave tanto para cifrar y descifrar
  2. Asimetrico: Utiliza dos llaves una pública y una privada
Consideraciones al implementar el cifrado.
  1. Tamaño de la llave: Mayor tamaño implica mayor seguridad, pero puede reducir el rendimiento del sistema, haciendo el proceso mas lento.
  2. Algoritmo de cifrado: Existen algoritmos más complejos que pueden ofrecer mayor seguridad, pero deben balancearse con las necesidades del rendimiento.

Cifrado personal

El cifrado personal no solo es esencial para proteger mensajes, si no también para asegurar la información almacenada en dispositivos personales. Si un dispositivo es robado o perdido, y su informacion está cifrada, el ladrón solo verá datos ilegibles. Algunos sistemas operativos ofrencen soluciones integradas:
  • Windows: BitLocker
  • macOS: FileVault
  • Ubuntu: Opción de cifrado durante la instalación

VPN (RED PRIVADA VIRTUAL)

Es una tecnología que permite la conexión de un usuario a la red pública(internet) como si estuviera en una red privada (intranet empresarioal) al tiempo que cifra toda la informacion enviada.

La vpn nos brinda
  • Intermediario seguro
  • Ocultación de identidad
  • Proteccion de datos
Soluciones de VPN
  • On-premise VPN: Implementadas en los servidores internos de la empresa, proporciona mayor control sobre la infraestructura.
  • VPN as a Service (Cloud VPN): soluciones en la nuve que eliminan la necesecidad de mantenimiento interno, habiendo externalizado al servicio a un proveedor
  • VPN comerciales: diseñadas principalmente para el usuario final que requiere acceder a contenido restringido o mejorar la seguridad durante la navegacion


Endpoint protection

Es una practica o sistema que permite proteger los dispositvos de la red de la empresa, va mas allá de los antivirus ya que integtan varias herramientas.
Esta nueva solucion ofrece que abarca la clasificacion de amenzas con maching learning, hasta la proteción avanzada de multiples dispositivos.

¿Cómo supera al antivirus tradicional?
  • Clasificación de amenazas con maching learning: Permite detectar/ identificar amenazas potenciales más allá de las firmas conocidas.
  • Protección multidispositivo:
  • Proteccion de navegacion web: bloqueos de sitios web maliciosos, cookies.
  • Sistema de prevencion de perdidas de datos (DLP)
  • Proteccion contra phishing y ataques por correo.
  • Deteccion de amenzas internas
  • Vista centralizada de dispositivos
¿Cómo funciona un sistema de protección de endpoint?
  • Servidor EPP: Administra y supervisa todos los dispósitivos conectados en la red. Propociona una visión centralizada del estado y las actividades de cada dispositivo
  • Clientes instalados: cada dispositivo, ya sea una computadora, celular o sensor, tiene un cliente instalado que recibe comandos de la consola central y actualizaciones según sea necesario.

BCP (PLAN DE CONTINUIDAD DE NEGOCIO)

La continuidad de negocio es un concepto crucial para cualquier que necesite garantizar la operatividad continua, incluso ante incidentes disruptivos.
Cinco elementos clave de la continuidad de negocio:
  1. Operación continua: Mantener la marcha de servicios criticos
  2. Niveles aceptables: Cumplir con estándares operativos minimos
  3. Respuestas a incidentes: Activar protocolos especificos
  4. Adaptación a nuevas amenazas: Implementar mejoras continuas
  5. Comunicación efectiva: Asegurar información precisa y oportuna
El plan de continuidad es un documento que recopila la información necesaria para alcanzar el estado deseado de continuidad operativa.

ANALISIS DE IMPACTO DE NEGOCIO (BIA)

El BIA es el primer paso en la elaboracion de un BCP, aquí se analiza las funciones críticas del negocio y su impacto en caso de fallo.
  • Identificación de funciones de negocio: Define los procesos clave que aportan valor a los clientes
  • RTO y RPO: Determina los tiempos máximos de recuperación y de pérdida de información admisibles
  • Recursos necesarios: Enumera recursos esenciales, como servidores, infraestructura, y el personal necesario.
  • Impacto financiero y operacional: Evalúa costos e implicaciones legales si las operaciones se detienen
EVALUACIONES DE RIESGO

Una vez realizado el BIA, se procede al ánalisis de riesgo, donde se identifian amenazas, vulnerabilidades, y riesgos potenciales, esto tambien implica.

  • Identificacion de amenazas: Identificar las amenazas que podrían afectar el negocio
  • Análisis de probabilidad e impacto: Usar escalas(bajo, medio, alto) para medir riesgo e impacto
  • Clasificación de amenazas: Naturales, humanas y de fallas de infraestructura

PLAN DE RECUPERACION 

El Plan de recuperación es una guía detallada de qué hacer justo después de un incidente
  • Identificación de desencadenantes: Enumera eventos que activarián el plan de recuperación
  • Equipo responsable: Asigna personal para cada tipo de incidente
  • Plan de recuperación de incidentes y lista de contactos: Establece protocolos mínimos y contactos clave para reacciones rápidas.

PLAN DE RECUPERACION DE DESASTRES (DRP)

  • Inventario de infraestructura critica: Servidores, dispositivos, y personal encargado
  • Manuales de restablecimiento: Instrucciones detalladas para recuperar operaciones
  • Operaciones manuales: Estrategias para operar manualmente si los sistemas tecnológicos fallan

DLP (DATA LOST PREVENTION)

Los sistemas de prevencion de perdida de datos son un herramienta crucial en la proteccion de la información en cualquier organización, se encargan de detectar y prevenir la filtración de datos de una red interna. afectando modos de manejo de la información:
  • En uso: memoria que se utiliza entre dispositivos incluyendo la memoria RAM
  • En mobimiento: Incluye la información que se transfiere de un dispositivo a otro
  • Almacenada: Abarca la información que se encuentra en los discos duros de computadoras o servidores
Es necesario implementar DLP por varias razones:
  1. Prevencio de fugas de información
  2. Protección de la información personal sensible
  3. Protección de la informacion intelectual
  4. Cumplimiento de regulaciones.
Existen distintas soluciones para implementarse DLP en una organizacion
  • Soluciones independientes:
  • Caracteristicas embebidas:

Gestion de incidentes de ciberseguridad

Es un proceso que nos permite actuar rapida y efectiva ante un ataque, es un documento que nos indica el proceso basado en estandares internacionales para responder ante un incidente

Fases de gestión de ciberseguridad

El estándar NIST 861, reconocido ampliamente en la industria, establece un modelo de 4 fases que deben seguir para responder a incidentes de ciberseguridad de manera eficaz.
  1. Preparación: Definir roles y responsabilidades, definir procedimientos, entrenar al personal, etc.
  2. Detección y análisis: utilizar los sistemas de control para detectar indicios de un incidente y su gravedad
  3. Contención de incidentes: Se detiene el ataque y se intenta retomar la operación normal
  4. Actividades post-incidente: Investigar la causa del ataque, aprender de el para evitar que vuelva a ocurrir.

Controles BYOD (Bring Your Own Device)

Es la practica de permitir a los empleados usar sus dispositivos personales, como móviles o portátiles, dentro de la red de la empresa.
para mitigar riesgos se debe:
  • Se prevenir el uso de software pirata
  • Tener un software actualizado
  • Evitar redes publicas y usar VPN
  • Uso de cifrado en discos
  • Cambio de DNS para mayor seguridad y mejorar latencia
  • Uso de contraseñas largas e implementar un manejador de contraseñas.



Comentarios

Publicar un comentario

Entradas más populares de este blog

Curso de Introduccion a Informatica Forense - Platzi

Imagen
La informatica forense es una disciplina que se encarga de la recopilación, preservación y análisis de evidencias digitales en sistemas informaticos, redes dispositivos moviles, correos electrónicos, discos duros, entre elementos informáticos. En resumen, la informatica forense busca identificar, recuperar y analizar datos digitales que pueden ser utilizados como evidencia en proceso judicial o administrativo.  Etapas de la informática forense Identificación: encontrar y documentar las posibles fuentes de evidencia digital Preservación: Asegurar que la evidencia digital no sea alterada o destruida. Análisis: Extraer información relevante de la evidencia digital y encontrar relaciones entre diferentes elementos. Presentación: Comunicar los resultados del análisis de forma clara, concisa y comprensible para una audiencia no técnica. Identidicación de equipos Procesos de investigación El proceso de investigacion forence implica la recolección y análisis de diversos elementos para escl...
Read more »

Curso de Redes de Pentesting - Platzi

Imagen
 Curso de Redes de Pentesting - Ataques a Protocolos de Red ¿Que es el Pentesting? El Pentesting o prueba de penetracion es un proceso de evaluacion de seguridad donde se simulan ataques reales contra sistemas, redes o aplicaciones para identificar vulnerabilidades explotadas antes que los ciberdelicuentes la descubran. ¿Porque se hace el Pentesting? Identificar las vulnerabilidades antes que sean explotadas. Evaluar la efectividad de los controles de seguridad cumplir con normas y regulaciones Mejorar la seguridad de los sistemasde informacion. Recursos recomendados para el curso Virtulizador de maquinas virtuales : VMWARE Distribuciones de Linux: Kali, Lubuntu, Tiny Core Routers: Mikrotik, Cisco. "En mi caso tengo la disponibilidad de usar router virtuales para realizar las pruebas y asi evito el consumo de recursos en mi laptop Topologia La topologia ira creciendo conforme vaya avanzando con el curso, sin embargo veo importante aclarar como estara diseñada mi topologia para ava...
Read more »