La información se mueve, ¿tu seguridad también? 4 Septiembre 2014 LOS TIEMPOS HAN CAMBIADO LOS TIEMPOS HAN CAMBIADO LOS TIEMPOS HAN CAMBIADO LOS TIEMPOS HAN CAMBIADO LOS TIEMPOS HAN CAMBIADO LOS TIEMPOS HAN CAMBIADO LOS TIEMPOS HAN CAMBIADO AGENDA 1. 2. 3. 4. 5. 6. 7. Introducción Amenazas, vulnerabilidades y riesgos Gobierno de dispositivos móviles Administración de dispositivos móviles Recomendaciones “hardening de dispositivos” Aseguramiento de dispositivos móviles Conclusiones 1. Introducción ¿Qué es un dispositivo móvil? Tradicionales Actualidad (emergentes) 2013 fue el año en que los dispositivos móviles como los smartphones superaron el número de PC´s y laptops en el mundo Conexión de los dispositivos móviles Nubes Públicas Capa Conexión GSM Nubes Privadas Otros Dispositivos GPRS/EDGE 3.5G 4G/LTE Dispositivo Móvil Bluetooth Redes Corporativas WLAN NFC Capa Conexión Evolución del uso de dispositivos móviles Del celular al “Internet de las cosas” 1980 • Teléfonos móviles • Análogos • Digitales (2G) 1990 • Dispositivos inteligentes • GSM • GPRS 2000 • • • • Primer Smartphone Banda ancha Servicios nube Capacidad PC móvil 2010 • Smartphone avanzado • Conexión a múltiples gadgets • Internet de las cosas INTERNET DE LAS COSAS Impacto en negocios y sociedad Patrones de trabajo Movilidad y Flexibilidad (+) • BYOD ventajas: •Mayor productividad •Ahorro en infra TI •Empleados contentos (-) BYOD riesgos: •Múltiples dispositivos y riesgos •Reto para administrarlos (+) (-) • Facilidad Home Office • Ambiente organizacional innovador (adopción • Pérdida de frontera entre trabajo y vida personal • Pérdida de tiempo veloz de tech) Otros impactos Perímetro Organizacional (+) • Expertos en seguridad mayor capacitados (-) • Frontera lógica difusa • Enfoque tradicional de seguridad no es suficiente (+) • Mayor conectividad • Alta disponibilidad de la información • Servicios de valor agregado (big data) (-) • Conexiones y/o interacciones riesgosas • Fuga de información (desatendida) 2. Amenazas, vulnerabilidades y riesgos Tipos de riesgos en dispositivos móviles Físicos Riesgos Organizacionales Técnicos Riesgo Físico ´ Fuente: Encuesta Informationweek 2013 Riesgo Organizacional • Uso de Dispositivos móviles está presente en todos los niveles. • Los ambientes de PC se han robustecido, pero los dispositivos móviles aún no, cuentan seguridad débil y son difíciles de administrar. • Alta diversidad de dispositivos, tiempo de vida de los OS y Apps es muy corto. • Aplicaciones complejas (riesgo de acceso a fotos, geolocalización, etc.). • Falta de capacitación a usuarios en uso de dispositivos móviles. El riesgo organizacional se incrementa debido a la información que almacena o a la que tenga acceso el dispositivo Activos de información accesados a través de dispositivos móviles 95% Email 61% Aplicaciones Office 48% VPN 41% Servidores datos 31% Bases de datos CRM 29% Wiki corporativa 28% SaaS y Cloud RH apps 24% 21% Fuente: Encuesta Informationweek 2013 Riesgo Técnico • Monitoreo de actividades y Recuperación de información (a través de malware). • Mensajes, Audio, Fotos, video, geolocalización, información estática, historiales, almacenamiento. • Conectividad no autorizada. • El malware/spyware eventualmente necesita ponerse en contacto con el atacante, para esto utiliza los siguientes vectores de comunicación. • Email, SMS, HTTP, TCP, UDP, DNS, Bluetooth, WLAN. • Suplantación de vista web o interface de usuario. (UI Impersonation) • Los dispositivos móviles soportan la mayoría de protocolos web, sin embargo, las páginas son modificadas por el proveedor del servicio para su visualización (en pantallas pequeñas), esto es aprovechado por los hackers para suplantar páginas y hacer phishing. Riesgo Técnico (cont…) • Almacenamiento y Fuga de información sensible. • Los dispositivos móviles guardan mucha información sensible, esto incrementa el riesgo de fuga de información. • La información guardada te dice todo del usuario, que hace, donde está y sus preferencias (predice comportamiento). • Identificación, credenciales, localización, archivos • Hasta las apps legítimas pueden tener fallas o almacenar información sensible en texto plano o sin encriptar. • Transmisión de información no segura. • Los dispositivos móviles mayormente dependen de conexiones inalámbricas. • No todas las trasmisiones son encriptadas sobre todo en redes públicas. • Los usuarios tienden a no activar sus VPN en dispositivos móviles debido a su complejidad, prefieren usar otro servicio que no sea por VPN. Riesgo Técnico (cont…) • Vulnerabilidades (por versiones recortadas). • MS Office y PDF en sus suites para dispositivos móviles no incluyen las mismas validaciones que detectan links malformados, lo cual es un vector de ataque. • Facilidad de uso. • Rápidas actualizaciones, nuevas apps, nuevas funciones, configuración de OS más restringida, servicios mandatorios corriendo en bakground, opt-in (aceptación explícita) de funciones adicionales a apps, obligación a firmarse a la nube para obtener todos los servicios. Participación de mercado global de OS móviles 3.20% 0.70% 17.60% Android Apple iOS Microsoft Otros 78.40% Fuente: Estudio de mercado Techcrunch 2014 Realidad actual participación de mercado Comparando Manzanas contra Androides Google Android • Plataforma Open Source. • OS de Google, Open Handset Alliance. • Modelos Samsung, Motorola, HTC, otros. • Apps distribuidas por Google Play. • Múltiples fuentes de apps (varias ilegítimas). • Puede soportar múltiples appstores. • No necesita rooting para correr código no firmado. • Grandes cantidades de malware por su penetración de mercado y que aprovechan lacks en OS (ej. Guardar conversaciones en microSD) Comparando Manzanas contra Androides Apple iOS • Plataforma Propietaria “Cerrada”: • Todos los dispositivos de Apple. • Despliegue prácticamente uniforme. • Apps distribuidas por App Store. • iOS tiene pocas formas de instalarle software: • Appstore. • Ambientes controlados para testing. • Aplicando Jailbreak al dispositivo. • Su App Store efectivamente actúa como: • Whitelist para verificar apps (firmas). • Un punto común de actualizaciones. Y entonces, viendo riesgos e impactos: ¿Todo está perdido? ¿Qué hacemos? 3. Gobierno de dispositivos móviles Gobierno de dispositivos móviles El primer paso para tomar la decisión estratégica es plantear un buen caso de negocio: • • • • Riesgos de seguridad e impactos potenciales. Consideraciones costo beneficio. Valor agregado (flexibilidad / productividad). Habilitadores estratégicos para uso de móviles. Gobierno de dispositivos móviles La decisión estratégica que se tome puede ser una de las siguientes: • Solución de plataformas estandarizadas. • BYOD “Puro”. • Estrategia combinada. 4. Administración de dispositivos móviles Administración de dispositivos móviles Enfoque para administración de dispositivos móviles: 1. Categorización y clasificación de dispositivos móviles. 2. Identificación y clasificación de riesgo por tipo de dispositivo. 3. Identificación de controles existentes para dispositivos móviles y robustecimiento de los mismos. 4. Identificación de actividades de seguridad y prácticas para cada habilitador de Cobit. 1. Categorización y clasificación de dispositivos móviles Categorías de dispositivos móviles Categoría Dispositivos Ejemplos 1 Almacenamiento de datos (limitado), servicios de telefonía y mensajes básicos, OS propietario (limitado), sin capacidad de procesamiento de datos. • Celular tradicional 2 Capacidades de procesamiento y almacenamiento de datos (incluyendo externos) , 0S estandarizado y configurable, servicios ampliados. • Smartphones • Primeras Pocket PC 3 Capacidades de almacenamiento, procesamiento y transmisión de datos a través de diferentes canales, conectividad a Internet de banda ancha, 0S estandarizado y configurable, capacidades de una PC. • Smartphone avanzados. • Tablets 4 Combinación de todas las capacidades anteriores y • Dispositivos nuevas tecnologías. emergentes. 2. Identificación y clasificación de riesgos por tipo de dispositivo Clasificación de riesgos de dispositivos móviles Categoría / Riesgo Físico Robo Pérdida Daño / Destrucción Organizacional Aglomeración / Usuarios “especiales” Complejidad / Diversidad Técnico Monitoreo de actividad, Recuperación de datos Conectividad de red no autorizada Vista web / Suplantación de Identidad Fuga de datos sensibles Almacenamiento de datos sensibles inseguro Transmisión insegura de datos sensibles Vulnerabilidades (por versiones recortadas) Usabilidad Categoría 1 Categoría 2 Categoría 3 Categoría 4 Baja Media Alta Media Media Alta Alta Media Baja Alta Media Baja Baja Baja Baja Media Alta Alta Alta Alta Baja Baja Baja Baja Media Baja Baja Baja Alta Media Media Alta Alta Alta Alta Baja Alta Alta Alta Alta Media Media Alta Alta Alta Alta Alta Alta Media Alta Alta Alta 2. Identificación y clasificación de riesgo por tipo de dispositivo Riesgo físico / organizacional Alto Bajo Cat. 4 Cat. 3 Cat. 2 Cat. 1 Riesgo tecnológico Alto 3. Identificación de controles existentes Capa de Hardware • Protección del firmware • Seguridad embebida en el dispositivos • Cifrado, etc. Capa de Sistema Operativo • Modelo de seguridad • Seguridad de lado de proveedor • Parches y control remoto Capa Secundaria • Software agregado • Encapsulación • Adiciones adecuaciones OS • OS alternativos 4. Identificación de actividades de seguridad y prácticas para cada habilitador • Responsable asignado • Perfil personal SI definido • Admón. Seguridad • Monitoreo Seguridad • Uso responsable • Concientización • Incentivos • Ajustar política SI: • Principios • Referencias • Crear política BYOD • Otras… Proteger info sensible: • Corporativa • Personal • En la nube • MDM, MAM, MCM = EMM • OS, Aplicaciones, Conectividad • Habilidades de: • Expertos en SI • End Users • Capacitación a usuarios 5. Recomendaciones de “hardening” de dispositivos móviles “Hardening” de dispositivos móviles Para implementar adecuadamente una estrategia de seguridad móvil, algunos pasos tecnológicos deben ser ejecutados, conocidos como hardening: Funcionalidad remota Conectividad (todos los canales) Almacenamiento externo o removible Almacenamiento interno Permanente y Semipermanente Dispositivo y SIM Card Enfoque de hardening de adentro hacia afuera, por capas. Guía de hardening 6. Aseguramiento de dispositivos móviles Líneas de defensa y revisiones típicas • • • • Controles Internos Cumplimiento políticas Aceptación de riesgo Controles Seguridad 3er Línea – Auditoría Interna • • • • Riesgo dispositivo móvil Eval. de riesgos Valoración impactos Riesgos de Seguridad 2da Línea – Administración de Riesgo • • • • Autoevaluaciones Revisiones de Admón. Pruebas de Seguridad Pruebas Funcionales 1er Línea - Administración Aseguramiento de dispositivos móviles Una adecuada estrategia de seguridad en dispositivos móviles incluye un buen programa de Auditoría/Aseguramiento de los mismos. La estrategia de Auditoría para dispositivos móviles genera preguntas: • ¿Qué debo auditar? • ¿Cuál es mi universo de auditoría? • Si se permite BYOD, ¿Dónde empieza el dispositivo móvil y donde termina? Barreras de Auditoría Fronteras de Auditoría y Barreras para dispositivos móviles Dispositivo Conectado (Ej. Carro) Dispositivo Conectado (Ej. GPS) Dispositivo Conectado (Ej. juguete) Barrera Audit Barrera Audit Barrera Audit Redes Corporativas Dispositivo Móvil Barrera Audit Datos e Información El universo de Auditoría debe ser definido en base a la información que reside y se procesa en el dispositivo. Redes Públicas Aseguramiento de dispositivos móviles Una vez identificado el universo de auditoría se deberá seguir el procedimiento tradicional de Auditoría: Planeación Alcance Ejecución Reporte Seguimiento Consideraciones especiales: • Es posible los dispositivos no estén disponibles en todo momento para su revisión • Utilizar auditorías con enfoque centralizado y descentralizado. • Aspectos legales de privacidad de auditados y fabricantes de dispositivos • Pérdida de garantía de dispositivos, demandas de empleados. BYOD Audit/Assurance Program Mobile Computing Security Assurance Program Investigación o Auditoría forense de dispositivos móviles Pasos para investigar un dispositivo (A través de él) Asegurar Dispositivo • Resguardo físico • Aislamiento • Congelamiento Asegurar Información • Instantánea (Imagen) • Extraer línea de tiempo (Info) • Extraer la carga útil (Info) Analizar Información • Asegurar la evidencia • Probar su admisibilidad • Informar sobre la evidencia Liberar Dispositivo • Obtener aprobaciones • Liberar Pasos para investigar un dispositivo (Alrededor de él) Perímetro Dispositivo • Evidencia perimetral • Contrapartes • Revisar interacciones Información Replicada • Almacenamiento secundario y replicación • Información transitoria • Información incidental No Repudiación • Almacenamiento y transmisión • Otra actividad • Informar sobre la evidencia 7. Conclusiones Conclusiones • La Estrategia de Seguridad Integral para Dispositivos Móviles debe plantearse así: • Gobierno Administración Hardening Auditoría • Los controles clave: • Política de seguridad y uso de dispositivos móviles. • Evaluación de riesgos (dispositivos móviles). • Mitigación de riesgos (EMM; Configuración de Seguridad). • Capacitación y concientización de usuarios en uso de dispositivos móviles. • Proceso de cumplimiento/aseguramiento continuo (Monitoreo, Auditoría). • Proteger los dispositivos en base a la información que procesan, transmiten y/o almacenan. Conclusiones • BYOD está aquí para quedarse: • Empleados contentos • Ahorros para empresas • Optimización trabajo TI • Adopción veloz de nuevas tecnologías • Incrementa productividad empleados • Gobierno de Seguridad complejo • Preocupaciones de privacidad • Cumplimiento regulatorio • Falta de uniformidad • Empleados renuentes Recuerda es acerca de “limitar” para controlar • iOS/Android , ¿Quién gana? Conclusiones • BYOD está aquí para quedarse: • Empleados contentos • Ahorros para empresas • Optimización trabajo TI • Adopción veloz de nuevas tecnologías • Incrementa productividad empleados • Gobierno de Seguridad complejo • Preocupaciones de privacidad • Cumplimiento regulatorio • Falta de uniformidad • Empleados renuentes Recuerda es acerca de “limitar” para controlar • iOS/Android , ¿Quién gana? EMPATE PREGUNTAS GRACIAS Arnulfo Espinosa Domínguez, CISA, CRISC, Cobit 5F Vicepresidente ISACA Capítulo Monterrey arnulfoespinosa@gmail.com 4 Septiembre 2014 APPS? APPsolutamente necesario protegerlas 100 90 80 70 60 50 40 30 20 10 0 Techcrunch 2013 ¿Qué es BYOD? Estrategia que permite a los empleados, proveedores y otros usuarios el utilizar dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la empresa o accesar información de la misma. (Típicamente smartphones y tablets, pero también se puede usar en PC´s) BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”: • … Device • ….Application • …Cloud • ….Security Aceptación de BYOD Techcrunch 2013 ¿Qué es BYOD? Estrategia que permite a los empleados, proveedores y otros usuarios el utilizar dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la empresa o accesar información de la misma. (Típicamente smartphones y tablets, pero también se puede usar en PC´s) BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”: • … Device • ….Application • …Cloud • ….Security Aceptación de BYOD Techcrunch 2013 Componentes de una política BYOD • • • • • • Objetivo /Metas Alcance Definiciones Marco legal / Normativo Referencias Roles y responsabilidades • Usuario y TI (todas áreas) • Ciclo de vida de dispositivo • Entrega, admón., respaldo y retiro • Listado de dispositivos aprobados: • Incluir todo lo inalámbrico • Listado de aplicaciones aprobadas • Expectativas de privacidad • Cláusulas sobre soporte • Configuración gral. dispositivo • Información prohibida • Cláusulas uso responsable • Correo, info, seguridad, etc. • Sobre reporte y tratamiento incidentes • Contrato “Opt In” usuario • Mejora continua • Capacitación del usuario La política BYOD aplica también para escenarios combinados Herramientas y referencias útiles para controlar dispositivos móviles Referencias útiles ISACA • “Securing Mobile Devices” (2010 whitepaper) • “Securing Mobile Devices Using Cobit 5 for information Security” • “BYOD Audit/Assurance Program” • “Mobile Computing Security Assurance • Program” • “Geolocation: Risk, Issues and Strategies” (2011 whitepaper) • Apple iOS Security (www.cisecurity.org) • Google Android (www.cisecurity.org) • NIST Mobile Security Guidance (800124) • IOS_Application_Security_Testing_Ch eat_Sheet • OWASP Mobile Security resources • Vendor guidelines • Certified Mobile Device Security Professional (Link) Otros Herramientas • ENISA Smartphone Risks (www.enisa.europa.eu) • Mobisec (www.sourceforge.net) • Cloud Security Alliance – Mobile Threats • Smartphone Penetration Testing (www.cloudsecurityalliance.org) Framework (link) • Drozer (www.mwrinfosecurity.com) ¿Y tú cuando te convertiste en experto de BYOD y Seguridad de Dispositivos Móviles? AYER… LIKE A BOSS!!! ¿Y tú cuando te convertiste en experto de BYOD y Seguridad de Dispositivos Móviles? AYER…