Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez

1,126 views

Published on

Presentación: Asegure su empresa con 20 controles. Top 20 Critical Security Controls - SANS - CCS (Council on CyberSecurity)
Presentación brindada en Segurinfo Argentina 2014
Español

Published in: Technology
  • Login to see the comments

CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez

  1. 1. Antúnez Javier Director, Porto,Trentalance, Antúnez y Asociados Presentada por:
  2. 2. Aclaración: © Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
  3. 3. Agenda  Intro Controles  Conclusiones  Origen  ¿Por qué son útiles?  Pilares  20 controles críticos  Grupos de controles  Mitigaciones  5 quick wins  Roadmap
  4. 4. Intro: Abordaje actual  Aplicamos buenas prácticas  A veces a medias…  Hacemos buenas cosas  En lugar de hacer las cosas necesarias…  Muchas veces el árbol no nos deja ver el bosque…
  5. 5. Intro: Abordaje actual  Tenemos demasiadas herramientas disponibles  Lo que dificulta decidir cual utilizar 6
  6. 6. Intro: Abordaje actual  Puede que seamos muy exigentes en algunos puntos… 7
  7. 7. Intro: Abordaje actual  … y poco exigentes en otros. 8
  8. 8. Origen de los controles  Surge del ámbito gubernamental  Primero corregir los males conocidos  NSA + CIS + SANS  consorcio  Expansión de miembros a +100  Conocimiento agregado publico/privado  Versión 5 (revs. Cada 6/12 meses desde 2008)  Gestionado por SANS hasta 2013 (hoy por el Council on CyberSecurity – CCS) 9
  9. 9. ¿Por qué son útiles?  Aportantes / Consenso  Foco en acciones de alta prioridad  Casos de éxito  Adoptantes  Herramientas disponibles  Mapeo contra frameworks existentes  Mapa de ruta para mejorar la seguridad 10
  10. 10. Pilares  Ofensa informa a defensa  Priorización  Métricas  Monitoreo continuo  Automatización 11
  11. 11. 20 Controles críticos 12
  12. 12. 20 Controles críticos 13
  13. 13. Grupos de controles Gestión de riesgos en activos  CSC1- Inventario de dispositivos autorizados y no autorizados  CSC2- Inventario de software autorizado y no autorizado  CSC3- Configuraciones seguras de hardware y software en laptops, workstations y servers  CSC4- Análisis y remediación de vulnerabilidades continua  CSC6 - Seguridad en Software de Aplicación  CSC7 - Control de dispositivos Wireless 14
  14. 14. Grupos de controles  Gestión de riesgos de usuarios  CSC12- Uso controlado de privilegios administrativos  CSC14- Mantenimiento, monitoreo y análisis de logs de auditoria  CSC15- Acceso controlado basado en el "need to know“  CSC16- Control y monitoreo de cuentas de usuario 15
  15. 15. Grupos de controles  Gestión de riesgos de red  CSC10- Configuraciones Seguras para Dispositivos de Red  CSC11- Limitación y Control de Puertos, Protocolos y Servicios de Red  CSC13- Defensa perimetral  CSC19 Ingeniería de red segura 16 CSC3 CSC1
  16. 16. Grupos de controles  Prevención y respuesta a incidentes  CSC5 - Defensas contra Malware  CSC8 - Capacidad de recupero de datos  CSC9 - Evaluación de las Competencias de Seguridad y Entrenamiento Apropiado para Cubrir los Gaps  CSC17 -Data loss prevention  CSC18 -Gestión de Respuesta ante Incidentes  CSC20 - Pruebas de Penetración y Hacking Ético 17
  17. 17. Anatomía de un ataque actual  Identificar un objetivo  Analizar vectores de ataque  Explotación  Consolidación (upload/exec/persist)  Realizar conexiones salientes (C & C)  Reconocimiento interno  Pivot dentro de la red
  18. 18. Mitigación de ataques 19
  19. 19. 5 Quick Wins 1. App white listing (en CSC2) 2. Standard, secure system configurations (en CSC3) 3. Patchear software de aplicación dentro de las 48 horas (en CSC4) 4. Patchear software de sistemas dentro de las 48 horas (en CSC4) 5. Reducir el Nro. de usuarios con privilegios administrativos (en CSC3 y CSC12) 20
  20. 20. Roadmap 1. Gap analisys inicial 2. Plan de implementación en fases 3. Primer fase 1. Mejorar el uso herramientas existentes 2. Incorporar nuevas herramientas 3. Mejora de procesos / skills 4. Integración de controles en la operación + monitoreo continuo 5. Repetir pasos 3 y 4 para siguientes fases 21
  21. 21. Conclusiones  Controles prioritarios bien fundados  No abarca todos los aspectos de seguridad  punto de partida  Basado en experiencias de ataques  Conceptualización simplificada  Focalización de esfuerzos  No olvidar: Monitoreo continuo + Automatización 22
  22. 22. Gracias por asistir a esta sesión…
  23. 23. Para mayor información: (Javier Antúnez) (jantunez@portoyasociados.com.ar) Para descargar esta presentación visite www.segurinfo.org Los invitamos a sumarse al grupo “Segurinfo” en

×