La información se mueve, ¿tu seguridad también?

4 Septiembre 2014

LOS TIEMPOS HAN CAMBIADO

LOS TIEMPOS HAN CAMBIADO

LOS TIEMPOS HAN CAMBIADO

LOS TIEMPOS HAN CAMBIADO

LOS TIEMPOS HAN CAMBIADO

LOS TIEMPOS HAN CAMBIADO

LOS TIEMPOS HAN CAMBIADO

AGENDA

1. Introducción

2. Amenazas, vulnerabilidades y riesgos

3. Gobierno de dispositivos móviles

4. Administración de dispositivos móviles

5. Recomendaciones “hardening de dispositivos”

6. Aseguramiento de dispositivos móviles

7. Conclusiones

1. Introducción

¿Qué es un dispositivo móvil?

Tradicionales Actualidad (emergentes)

2013 fue el año en que los dispositivos móviles como los smartphones superaron el número de PC´s y laptops en el mundo

Otros Dispositivos

Nubes Privadas

Redes Corporativas

Dispositivo Móvil

GSM GPRS/EDGE 3.5G 4G/LTE Bluetooth WLAN NFC Capa

Conexión Capa

Conexión

Conexión de los dispositivos móviles

Nubes Públicas

Evolución del uso de dispositivos móviles

INTERNET

DE LAS COSAS

• Teléfonos móviles • Análogos • Digitales (2G)

• Dispositivos inteligentes

• GSM • GPRS

• Primer Smartphone • Banda ancha • Servicios nube • Capacidad PC móvil

• Smartphone avanzado • Conexión a múltiples

gadgets • Internet de las cosas

Del celular al “Internet de las cosas”

1980 1990 2000 2010

Movilidad y Flexibilidad Patrones de trabajo

Perímetro Organizacional

Otros impactos

Impacto en negocios y sociedad

(+) (-)

•BYOD ventajas: •Mayor productividad •Ahorro en infra TI •Empleados contentos

BYOD riesgos: •Múltiples dispositivos y riesgos •Reto para administrarlos

(+) (-)

•Facilidad Home Office •Ambiente

organizacional innovador (adopción

veloz de tech)

•Pérdida de frontera entre trabajo y vida personal •Pérdida de tiempo

(+) (-)

•Expertos en seguridad mayor capacitados

•Frontera lógica difusa •Enfoque tradicional de

seguridad no es suficiente

(+) (-)

•Mayor conectividad •Alta disponibilidad

de la información •Servicios de valor

agregado (big data)

•Conexiones y/o interacciones riesgosas •Fuga de información

(desatendida)

2. Amenazas, vulnerabilidades y riesgos

Tipos de riesgos en dispositivos móviles

Riesgos

Físicos

Organizacionales Técnicos

Riesgo Físico

´

Fuente: Encuesta Informationweek 2013

• Uso de Dispositivos móviles está presente en todos los niveles. • Los ambientes de PC se han robustecido, pero los dispositivos móviles aún

no, cuentan seguridad débil y son difíciles de administrar. • Alta diversidad de dispositivos, tiempo de vida de los OS y Apps es muy

corto. • Aplicaciones complejas (riesgo de acceso a fotos, geolocalización, etc.). • Falta de capacitación a usuarios en uso de dispositivos móviles.

El riesgo organizacional se incrementa debido a la información que almacena o a la que tenga acceso el dispositivo

Riesgo Organizacional

Email

Aplicaciones Office

VPN

Servidores datos

Bases de datos

CRM

Wiki corporativa

SaaS y Cloud

RH apps

61%

48%

41%

31%

29%

28%

24%

21%

95%

Activos de información accesados a través de dispositivos móviles

Fuente: Encuesta Informationweek 2013

• Monitoreo de actividades y Recuperación de información (a través de malware). • Mensajes, Audio, Fotos, video, geolocalización, información estática, historiales,

almacenamiento.

• Conectividad no autorizada. • El malware/spyware eventualmente necesita ponerse en contacto con el

atacante, para esto utiliza los siguientes vectores de comunicación. • Email, SMS, HTTP, TCP, UDP, DNS, Bluetooth, WLAN.

• Suplantación de vista web o interface de usuario. (UI Impersonation)

• Los dispositivos móviles soportan la mayoría de protocolos web, sin embargo, las páginas son modificadas por el proveedor del servicio para su visualización (en pantallas pequeñas), esto es aprovechado por los hackers para suplantar páginas y hacer phishing.

Riesgo Técnico

• Almacenamiento y Fuga de información sensible. • Los dispositivos móviles guardan mucha información sensible, esto incrementa el

riesgo de fuga de información. • La información guardada te dice todo del usuario, que hace, donde está y sus

preferencias (predice comportamiento). • Identificación, credenciales, localización, archivos

• Hasta las apps legítimas pueden tener fallas o almacenar información sensible en texto plano o sin encriptar.

• Transmisión de información no segura. • Los dispositivos móviles mayormente dependen de conexiones inalámbricas. • No todas las trasmisiones son encriptadas sobre todo en redes públicas. • Los usuarios tienden a no activar sus VPN en dispositivos móviles debido a su

complejidad, prefieren usar otro servicio que no sea por VPN.

Riesgo Técnico (cont…)

• Vulnerabilidades (por versiones recortadas). • MS Office y PDF en sus suites para dispositivos móviles no incluyen las mismas

validaciones que detectan links malformados, lo cual es un vector de ataque.

• Facilidad de uso. • Rápidas actualizaciones, nuevas apps, nuevas funciones, configuración de OS más

restringida, servicios mandatorios corriendo en bakground, opt-in (aceptación explícita) de funciones adicionales a apps, obligación a firmarse a la nube para obtener todos los servicios.

Riesgo Técnico (cont…)

78.40%

17.60%

3.20% 0.70%

Android

Apple iOS

Microsoft

Otros

Participación de mercado global de OS móviles

Fuente: Estudio de mercado Techcrunch 2014

Realidad actual participación de mercado

Comparando Manzanas contra Androides

Google Android • Plataforma Open Source.

• OS de Google, Open Handset Alliance. • Modelos Samsung, Motorola, HTC, otros. • Apps distribuidas por Google Play.

• Múltiples fuentes de apps (varias ilegítimas). • Puede soportar múltiples appstores.

• No necesita rooting para correr código no firmado. • Grandes cantidades de malware por su penetración

de mercado y que aprovechan lacks en OS (ej. Guardar conversaciones en microSD)

Comparando Manzanas contra Androides

Apple iOS • Plataforma Propietaria “Cerrada”:

• Todos los dispositivos de Apple. • Despliegue prácticamente uniforme. • Apps distribuidas por App Store.

• iOS tiene pocas formas de instalarle software: • Appstore. • Ambientes controlados para testing. • Aplicando Jailbreak al dispositivo.

• Su App Store efectivamente actúa como: • Whitelist para verificar apps (firmas). • Un punto común de actualizaciones.

Y entonces, viendo riesgos e impactos: ¿Todo está perdido?

¿Qué hacemos?

3. Gobierno de dispositivos móviles

Gobierno de dispositivos móviles

El primer paso para tomar la decisión estratégica es plantear un buen caso de negocio:

• Riesgos de seguridad e impactos potenciales. • Consideraciones costo beneficio. • Valor agregado (flexibilidad / productividad). • Habilitadores estratégicos para uso de móviles.

Gobierno de dispositivos móviles

La decisión estratégica que se tome puede ser una de las siguientes:

• Solución de plataformas estandarizadas. • BYOD “Puro”. • Estrategia combinada.

4. Administración de dispositivos móviles

Administración de dispositivos móviles

Enfoque para administración de dispositivos móviles:

1. Categorización y clasificación de dispositivos móviles.

2. Identificación y clasificación de riesgo por tipo de dispositivo.

3. Identificación de controles existentes para dispositivos móviles y robustecimiento de los mismos.

4. Identificación de actividades de seguridad y prácticas para cada habilitador de Cobit.

1. Categorización y clasificación de dispositivos móviles

Categoría Dispositivos Ejemplos

1 Almacenamiento de datos (limitado), servicios de telefonía y mensajes básicos, OS propietario (limitado), sin capacidad de procesamiento de datos.

• Celular tradicional

2 Capacidades de procesamiento y almacenamiento de datos (incluyendo externos) , 0S estandarizado y configurable, servicios ampliados.

• Smartphones • Primeras

Pocket PC

3 Capacidades de almacenamiento, procesamiento y transmisión de datos a través de diferentes canales, conectividad a Internet de banda ancha, 0S estandarizado y configurable, capacidades de una PC.

• Smartphone avanzados.

• Tablets

4 Combinación de todas las capacidades anteriores y nuevas tecnologías.

• Dispositivos emergentes.

Categorías de dispositivos móviles

2. Identificación y clasificación de riesgos por tipo de dispositivo

Categoría / Riesgo Categoría 1 Categoría 2 Categoría 3 Categoría 4

Físico

Robo Baja Media Alta Alta

Pérdida Media Media Media Media

Daño / Destrucción Alta Alta Baja Baja

Organizacional

Aglomeración / Usuarios “especiales” Baja Baja Alta Alta

Complejidad / Diversidad Baja Media Alta Alta

Técnico

Monitoreo de actividad, Recuperación de datos Baja Alta Alta Alta

Conectividad de red no autorizada Baja Media Alta Alta

Vista web / Suplantación de Identidad Baja Media Alta Alta

Fuga de datos sensibles Baja Alta Alta Alta

Almacenamiento de datos sensibles inseguro Media Alta Media Media

Transmisión insegura de datos sensibles Baja Alta Media Alta

Vulnerabilidades (por versiones recortadas) Baja Alta Alta Alta

Usabilidad Baja Baja Alta Alta

Clasificación de riesgos de dispositivos móviles

Rie

sgo

fís

ico

/ o

rgan

izac

ion

al

Riesgo tecnológico Bajo Alto

Alto

Cat. 1

Cat. 2

Cat. 3

Cat. 4

2. Identificación y clasificación de riesgo por tipo de dispositivo

3. Identificación de controles existentes

• Modelo de seguridad

• Seguridad de lado de proveedor

• Parches y control remoto

• Software agregado

• Encapsulación

• Adiciones adecuaciones OS

• OS alternativos

• Protección del firmware

• Seguridad embebida en el dispositivos

• Cifrado, etc.

Capa de Hardware

Capa de Sistema Operativo

Capa Secundaria

4. Identificación de actividades de seguridad y prácticas para cada habilitador

•Admón. Seguridad •Monitoreo Seguridad

•Responsable asignado •Perfil personal SI definido

•Uso responsable •Concientización • Incentivos

•Ajustar política SI: • Principios • Referencias

•Crear política BYOD •Otras…

Proteger info sensible: • Corporativa • Personal • En la nube

•MDM, MAM, MCM = EMM •OS, Aplicaciones, Conectividad

•Habilidades de: • Expertos en SI • End Users

•Capacitación a usuarios

5. Recomendaciones de “hardening” de dispositivos móviles

“Hardening” de dispositivos móviles

Para implementar adecuadamente una estrategia de seguridad móvil, algunos pasos tecnológicos deben ser ejecutados, conocidos como hardening:

Almacenamiento interno Permanente y Semipermanente

Almacenamiento externo o removible

Conectividad (todos los canales)

Funcionalidad remota

Dispositivo y SIM Card

Enfoque de hardening de adentro hacia afuera, por capas.

Guía de hardening

6. Aseguramiento de dispositivos móviles

1er Línea - Administración

• Autoevaluaciones • Revisiones de Admón. • Pruebas de Seguridad • Pruebas Funcionales

2da Línea – Administración de Riesgo

• Riesgo dispositivo móvil • Eval. de riesgos • Valoración impactos • Riesgos de Seguridad

3er Línea – Auditoría Interna • Controles Internos • Cumplimiento políticas • Aceptación de riesgo • Controles Seguridad

Líneas de defensa y revisiones típicas

Aseguramiento de dispositivos móviles

Una adecuada estrategia de seguridad en dispositivos móviles incluye un buen programa de Auditoría/Aseguramiento de los mismos. La estrategia de Auditoría para dispositivos móviles genera preguntas:

• ¿Qué debo auditar?

• ¿Cuál es mi universo de auditoría?

• Si se permite BYOD, ¿Dónde empieza el dispositivo móvil y donde termina?

Barreras de Auditoría

Dispositivo Conectado (Ej. Carro)

Dispositivo Conectado

(Ej. GPS)

Dispositivo Conectado

(Ej. juguete)

Barrera Audit Barrera Audit Barrera Audit

Bar

rera

Au

dit

Datos e Información

Redes Corporativas

Redes Públicas

Dispositivo Móvil

Fronteras de Auditoría y Barreras para dispositivos móviles

El universo de Auditoría debe ser definido en base a la información que reside y se procesa en el dispositivo.

Aseguramiento de dispositivos móviles

Una vez identificado el universo de auditoría se deberá seguir el procedimiento tradicional de Auditoría:

Planeación Alcance Ejecución Reporte Seguimiento

Consideraciones especiales: • Es posible los dispositivos no estén disponibles en todo momento para su

revisión • Utilizar auditorías con enfoque centralizado y descentralizado.

• Aspectos legales de privacidad de auditados y fabricantes de dispositivos

• Pérdida de garantía de dispositivos, demandas de empleados.

BYOD Audit/Assurance Program Mobile Computing Security Assurance Program

Investigación o Auditoría forense

de dispositivos móviles

• Resguardo físico • Aislamiento • Congelamiento

• Instantánea (Imagen) • Extraer línea de tiempo (Info) • Extraer la carga útil (Info)

• Asegurar la evidencia • Probar su admisibilidad • Informar sobre la evidencia

• Obtener aprobaciones • Liberar

Asegurar Dispositivo

Asegurar Información

Analizar Información

Liberar Dispositivo

Pasos para investigar un dispositivo (A través de él)

• Evidencia perimetral • Contrapartes • Revisar interacciones

• Almacenamiento secundario y replicación • Información transitoria • Información incidental

• Almacenamiento y transmisión • Otra actividad • Informar sobre la evidencia

Perímetro Dispositivo

Información Replicada

No Repudiación

Pasos para investigar un dispositivo (Alrededor de él)

7. Conclusiones

Conclusiones

• La Estrategia de Seguridad Integral para Dispositivos Móviles debe plantearse así: • Gobierno Administración Hardening Auditoría

• Los controles clave:

• Política de seguridad y uso de dispositivos móviles. • Evaluación de riesgos (dispositivos móviles). • Mitigación de riesgos (EMM; Configuración de Seguridad). • Capacitación y concientización de usuarios en uso de dispositivos móviles. • Proceso de cumplimiento/aseguramiento continuo (Monitoreo, Auditoría).

• Proteger los dispositivos en base a la información que procesan, transmiten y/o

almacenan.

• BYOD está aquí para quedarse:

• Empleados contentos • Ahorros para empresas • Optimización trabajo TI • Adopción veloz de nuevas

tecnologías • Incrementa productividad

empleados

• Gobierno de Seguridad complejo

• Preocupaciones de privacidad • Cumplimiento regulatorio • Falta de uniformidad • Empleados renuentes

• iOS/Android , ¿Quién gana?

Conclusiones

Recuerda es acerca de “limitar” para controlar

• BYOD está aquí para quedarse:

• Empleados contentos • Ahorros para empresas • Optimización trabajo TI • Adopción veloz de nuevas

tecnologías • Incrementa productividad

empleados

• Gobierno de Seguridad complejo

• Preocupaciones de privacidad • Cumplimiento regulatorio • Falta de uniformidad • Empleados renuentes

• iOS/Android , ¿Quién gana?

EMPATE

Conclusiones

Recuerda es acerca de “limitar” para controlar

PREGUNTAS

GRACIAS

Arnulfo Espinosa Domínguez, CISA, CRISC, Cobit 5F

Vicepresidente ISACA Capítulo Monterrey

arnulfoespinosa@gmail.com

4 Septiembre 2014

0102030405060708090

100

APPS? APPsolutamente necesario protegerlas

Techcrunch 2013

¿Qué es BYOD? Estrategia que permite a los empleados, proveedores y otros usuarios el utilizar dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la empresa o accesar información de la misma. (Típicamente smartphones y tablets, pero también se puede usar en PC´s)

BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”: • … Device • ….Application • …Cloud • ….Security

Aceptación de BYOD

Techcrunch 2013

¿Qué es BYOD? Estrategia que permite a los empleados, proveedores y otros usuarios el utilizar dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la empresa o accesar información de la misma. (Típicamente smartphones y tablets, pero también se puede usar en PC´s)

BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”: • … Device • ….Application • …Cloud • ….Security

Aceptación de BYOD

Techcrunch 2013

Componentes de una política BYOD

• Objetivo /Metas • Alcance • Definiciones • Marco legal / Normativo • Referencias • Roles y responsabilidades

• Usuario y TI (todas áreas) • Ciclo de vida de dispositivo

• Entrega, admón., respaldo y retiro • Listado de dispositivos aprobados:

• Incluir todo lo inalámbrico

• Listado de aplicaciones aprobadas • Expectativas de privacidad • Cláusulas sobre soporte

• Configuración gral. dispositivo • Información prohibida • Cláusulas uso responsable

• Correo, info, seguridad, etc. • Sobre reporte y tratamiento incidentes • Contrato “Opt In” usuario • Mejora continua • Capacitación del usuario

La política BYOD aplica también para escenarios combinados

Referencias útiles

ISACA • “Securing Mobile Devices” (2010 whitepaper) • “Securing Mobile Devices Using Cobit 5 for

information Security” • “BYOD Audit/Assurance Program” • “Mobile Computing Security Assurance • Program” • “Geolocation: Risk, Issues and Strategies” (2011

whitepaper) Otros • ENISA Smartphone Risks (www.enisa.europa.eu) • Cloud Security Alliance – Mobile Threats

(www.cloudsecurityalliance.org)

Herramientas y referencias útiles para controlar dispositivos móviles • Apple iOS Security

(www.cisecurity.org) • Google Android (www.cisecurity.org) • NIST Mobile Security Guidance (800-

124) • IOS_Application_Security_Testing_Ch

eat_Sheet • OWASP Mobile Security resources • Vendor guidelines • Certified Mobile Device Security

Professional (Link)

Herramientas • Mobisec (www.sourceforge.net) • Smartphone Penetration Testing

Framework (link) • Drozer (www.mwrinfosecurity.com)

¿Y tú cuando te convertiste en experto de BYOD y Seguridad de Dispositivos Móviles?

AYER…

¿Y tú cuando te convertiste en experto de BYOD y Seguridad de Dispositivos Móviles?

AYER…

LIKE A BOSS!!!