Proteger la red

Secciones y objetivos
• La defensa
• Explicar métodos para defender la seguridad de las redes.
• Explicar cómo se utiliza la estrategia de defensa en profundidad para proteger las redes.
• Explicar políticas, regulaciones y estándares de seguridad.
• Control de acceso
• Explicar el control de acceso como método de protección de redes.
• Describir las políticas de control de acceso.
• Explicar cómo AAA se utiliza para controlar el acceso a la red.
• Inteligencia de amenazas
• Emplear varias fuentes de inteligencia para hallar las amenazas de seguridad actuales.
• Describir las fuentes de información que se usan para comunicar amenazas emergentes de seguridad de la
red.
• Utilizar inteligencia de amenazas para identificar las amenazas y vulnerabilidades.
Cómo se debe interpretar la defensa
Defensa en profundidad
Activos, vulnerabilidades y amenazas

• El riesgo de ciberseguridad consiste en lo

siguiente:
• Activos: cualquier elemento de valor
para una organización que debe ser
protegido, incluidos servidores,
dispositivos de infraestructura,
terminales y el activo más importante,
los datos.
• Vulnerabilidades: una debilidad en un
sistema o en su diseño que una
amenaza podría aprovechar.
• Amenazas: cualquier peligro potencial
para un activo.
Defensa en profundidad
Identificación de activos
• Muchas organizaciones solamente tienen una
idea general de los activos que necesitan
proteger.
• Los activos son el conjunto de todos los
dispositivos y la información que la organización
posee o administra.
• Los activos constituyen la superficie de ataque a
la que podrían apuntar los agentes de amenaza.
• La administración de activos consta de:
• Inventario de todos los activos.
• Desarrollo e implementación de políticas y
procedimientos para protegerlas.
• Identificación acerca de dónde se almacenan los
activos de información fundamentales, y cómo
se obtiene acceso a dicha información.
Defensa en profundidad
Identificación de vulnerabilidades
• La identificación de las vulnerabilidades
incluye responder a las preguntas siguientes:
• ¿Qué son las vulnerabilidades?
• ¿Quién puede aprovechar las
vulnerabilidades?
• ¿Cuáles son las consecuencias si se
aprovecha la vulnerabilidad?
• Por ejemplo, un sistema bancario electrónico
podría tener las siguientes amenazas:
• Riesgo del sistema interno
• Datos del cliente robados
• Transacciones falsas
• Ataque interno en el sistema
• Errores de entrada de datos
• Destrucción del centro de datos
Defensa en profundidad
Identificación de amenazas

• Utilizar un enfoque de defensa en profundidad para identificar activos puede incluir una
topología con los siguientes dispositivos:
• Router perimetral: primera línea de defensa; tiene un conjunto de reglas que
especifica el tráfico autorizado y denegado.
• Firewall: una segunda línea de defensa; realiza filtrado adicional, autenticación de
usuario y seguimiento del estado de las conexiones.
• Internal router: una tercera línea de defensa; aplica las reglas de filtrado finales en
el tráfico antes de que se reenvíe a su destino.
Defensa en profundidad
Enfoques tipo cebolla y tipo alcachofa para la seguridad

• La cebolla(TOR) es una buena analogía para ilustrar la seguridad por

capas.
• Un actor de amenazas deberá retirar los mecanismos de defensa de
una red uno a la vez.
• Sin embargo, con la evolución de redes sin fronteras, una alcachofa
de seguridad es una mejor analogía.
• Es posible que los actores de amenazas solo necesiten quitar
determinadas "hojas de la alcachofa" para acceder a datos
sensibles.
• Por ejemplo, un dispositivo móvil es una hoja que, cuando se ve
comprometida, puede dar acceso al actor de amenazas a
información confidencial como un correo electrónico corporativo.
• La diferencia clave entre la cebolla (TOR) de seguridad y la alcachofa
de seguridad se basa en que no todas las hojas deben eliminarse
con el fin de obtener los datos.
 Políticas de seguridad
Política empresarial
• Las políticas constituyen el pilar de la seguridad de las redes
al definir qué es aceptable.
• Las políticas empresariales son las pautas que desarrollan las
organizaciones para regir sus acciones y las de sus
empleados.
• Una organización puede tener varias políticas orientadoras:
• Políticas de la empresa: establecen las normas de
conducta y las responsabilidades de empleados y
empleadores.
• Políticas de empleados: identifican el salario del
empleado, el cronograma de pagos, los beneficios, el
horario de trabajo, las vacaciones y mucho más.
• Políticas de seguridad: identifican un conjunto de
objetivos de seguridad para una empresa, definen las
reglas de comportamiento de usuarios y administradores,
y especifican los requisitos del sistema.
Políticas de seguridad
Política de seguridad

• Una política de seguridad integral tiene varios beneficios:

• Demuestra el compromiso de una organización con la
seguridad.
• Establece las reglas del comportamiento esperado.
• Garantiza la uniformidad en las operaciones del sistema, el
software y la adquisición y uso de hardware, y el
mantenimiento.
• Define las consecuencias legales de las violaciones.
• Brinda al personal de seguridad el respaldo para la
administración.
• Una política de seguridad puede incluir uno o varios de los
elementos que se muestran en la figura.
• Una política de uso aceptable (AUP) es una de las políticas
más comunes y cubre lo que los usuarios tienen y no
tienen permitido hacer en los distintos componentes del
sistema.
Políticas de seguridad
Políticas BYOD

• Muchas organizaciones admiten Bring Your Own

Device (BYOD), que permite a los empleados utilizar
sus propios dispositivos móviles para acceder a los
recursos de la empresa.
• Una política BYOD debe incluir:
• Especificar los objetivos del programa BYOD.
• Identificar qué empleados pueden traer sus propios
dispositivos.
• Identificar los dispositivos que se admitirán.
• Identificar el nivel de acceso que se otorgará a los
empleados cuando utilicen dispositivos personales.
• Describir los derechos de acceso y las actividades
autorizadas al personal de seguridad en el dispositivo.
• Identificar qué normas deben respetarse cuando los
empleados utilicen sus dispositivos.
• Identificar medidas de seguridad para poner en marcha
si un dispositivo está en riesgo.
Políticas de seguridad
Políticas BYOD (continuación)

• Las siguientes mejores prácticas de seguridad ayudan a mitigar los

riesgos de BYOD:
• Acceso protegido con contraseña para cada dispositivo y
cuenta.
• Conectividad inalámbrica que se controla manualmente para
que el dispositivo solo se conecte a las redes de confianza.
• Mantener el software actualizado para mitigar las amenazas
más recientes.
• Copia de respaldo de los datos del dispositivo por si lo
extravía o se lo roban.
• Habilitar los servicios de localización "Buscar mi dispositivo"
que pueden borrar un dispositivo perdido de forma remota.
• Usar software antivirus.
• Uso del software Mobile Device Management (MDM) para
permitir a los equipos de TI implementar configuraciones de
seguridad y de software en todos los dispositivos que se
conectan a redes de la empresa.
Políticas de seguridad
Cumplimiento reglamentario y normativo

• Las reglas y los estándares de

cumplimiento definen qué
organizaciones deben hacerlo y qué
responsabilidad tienen si no las
cumplen.
• Las reglas de cumplimiento que una
organización está obligada a seguir
dependen del tipo de organización y
de los datos que maneja.
• Las reglas de cumplimiento específicas
se analizarán más adelante en el curso.
Control de acceso
Conceptos del control de acceso
Seguridad de las comunicaciones: CID

• La seguridad de la información consiste en proteger la

información y los sistemas de información ante el
acceso, el uso, la divulgación, la interrupción, la
modificación o la destrucción sin autorización.
• El método CID consiste en lo siguiente:
• Confidencialidad: solo las entidades autorizadas
pueden acceder a la información.
• Integridad: la información debe protegerse de las
alteraciones no autorizadas
• Disponibilidad: la información debe estar a
disposición de las
partes autorizadas que la necesiten, cuando la
necesiten.
 Conceptos del control de acceso
Modelos de control de acceso

• Los controles de acceso básico incluyen los siguientes:

• Control de acceso obligatorio (MAC): aplica el control de
acceso más estricto, habilitando el acceso de usuario en
función de la autorización de seguridad.
• Control de acceso discrecional (DAC): permite que los
usuarios controlen el acceso a sus datos como dueños de
esos datos.
• Control de acceso no discrecional: el acceso se basa en
roles y responsabilidades; también conocido como control
de acceso basado en roles (RBAC).
• Control de acceso basado en atributos (ABAC): el acceso se
basa en atributos del recurso al que se accederá, del usuario
que accede al recurso y de los factores del entorno, como el
momento del día.
• Otro modelo de control de acceso es el principio de privilegios
mínimos, el cual determina que a los usuarios solo se les debe
otorgar el acceso mínimo necesario para desempeñar su función.
Uso y funcionamiento de AAA
Funcionamiento de AAA

• Autenticación, autorización y auditoría

(AAA) es un sistema escalable para el
control de acceso.
• Autenticación: los usuarios y
administradores deben probar que
son quienes dicen ser.
• Autorización: determina a cuáles
recursos puede acceder el usuario y
upales operaciones tiene permitido
realizar.
• Auditoría: registra qué hace el
usuario y cuándo lo hace.
Uso y funcionamiento de AAA
Autenticación de AAA

• Dos métodos de autenticación de AAA comunes incluyen:

• Autenticación AAA local: este método autentica a los usuarios
contra nombres de usuario y contraseñas almacenados localmente.
AAA local es ideal para las redes pequeñas.
• Autenticación AAA basada en servidor: este método autentica en
función de un servidor AAA central que contiene los nombres de
usuario y contraseñas de todos los usuarios. La autenticación AAA
con base en el servidor es adecuada para redes de tamaño mediano
a grande.
• El proceso para ambos tipos se muestra en la siguiente diapositiva.
Uso y funcionamiento de AAA
Autenticación de AAA (continuación)

Autenticación AAA local Autenticación AAA basada en el servidor

Uso y funcionamiento de AAA
Registros de auditoría de AAA

• La auditoría proporciona más que solo autenticación.

• Los servidores AAA mantienen un registro detallado de lo
que el usuario autenticado hace exactamente en el
dispositivo.
Uso y funcionamiento de AAA
Registros de auditoría de AAA (continuación)

• Los distintos tipos de información de auditoría que se

pueden recopilar incluyen:
• Contabilidad de red: recopila información como
recuentos de paquetes y bytes.
• Auditoría de conexiones: recopila información acerca
de todas las conexiones salientes.
• Auditoría de EXEC: recopila información sobre shells de
usuario, incluidos nombre de usuario, fecha, hora de
inicio y finalización, y la dirección IP del servidor de
acceso.
• Contabilidad de sistema: recopila información acerca de
todos los eventos de nivel de sistema.
• Comando contabilidad: recopila información acerca de
los comandos de shell ejecutados.
• Auditoría de recursos: captura compatibilidad de
registros de "inicio" y "detención" para llamadas que
han superado la autenticación del usuario.
Inteligencia de amenazas
 Fuentes de información
Comunidades de inteligencia de la red

• Organizaciones dedicadas a la inteligencia de amenazas,

como CERT, SANS y MITRE, ofrecen información detallada
vital para las prácticas de ciberseguridad.
Fuentes de información
Informes de ciberseguridad de Cisco

• Cisco ofrece su informe de

ciberseguridad anualmente, el cual
brinda datos actualizados sobre el
estado de preparación para la
seguridad, análisis de expertos sobre
las vulnerabilidades más
importantes, los factores detrás de la
aparición de ataques mediante
adware y correo electrónico no
deseado, y mucho más.
Fuentes de información
Blogs y podcasts de seguridad

• Los blogs y podcasts de

seguridad ayudan a los
profesionales de la
ciberseguridad a
comprender y mitigar las
amenazas emergentes.
Servicios de inteligencia de amenaza
Cisco Talos

• Los servicios de inteligencia de

amenazas permiten el intercambio de
información, como vulnerabilidades,
indicadores de riesgo (IOC), y técnicas
de mitigación y detección.
• Cisco Talos recopila información
sobre las amenazas activas,
existentes y emergentes. Luego, Talos
proporciona a sus suscriptores una
protección completa contra ataques y
malware.
Servicios de inteligencia de amenazas
FireEye

• FireEye es otra empresa de

seguridad que ofrece
servicios para ayudar a las
empresas a proteger sus
redes.
• FireEye ofrece información
sobre amenazas
emergentes e informes de
inteligencia de amenazas.
Servicios de inteligencia de amenazas
Uso compartido automatizado de indicadores

• Automated Indicator Sharing (AIS)

es un programa que permite al
gobierno federal de EE. UU. y al
sector privado compartir
indicadores de amenazas.
• AIS crea un ecosistema donde,
apenas se reconoce una amenaza,
se comparte la información
inmediatamente con la comunidad.
Servicios de inteligencia de amenazas
Base de datos de vulnerabilidades y exposiciones comunes
• Vulnerabilidades y exposiciones
comunes (CVE) es una base de
datos de vulnerabilidades que
emplea una nomenclatura
estandarizada para simplificar el
uso compartido de inteligencia de
amenazas.
Servicios de inteligencia de amenazas
Estándares de comunicación de inteligencia de amenazas
• Los estándares de inteligencia de ciberamenazas
(CTI), como STIX y TAXII, simplifican el
intercambio de información de amenazas al
especificar estructuras de datos y protocolos de
comunicación.
• Expresión estructurada de información sobre
amenazas (STIX): especificaciones para
intercambiar información sobre
ciberamenazas entre organizaciones.
• Intercambio de confianza automatizado de
información sobre indicadores (TAXII):
especificación correspondiente a un protocolo
de capa de aplicación que permite la
comunicación de CTI mediante HTTPS. TAXII
está diseñado para admitir STIX.
Resumen

• El riesgo de ciberseguridad consta de activos, vulnerabilidades y amenazas.

• Los activos constituyen la superficie de ataque a la que podrían apuntar los agentes de
amenaza.
• Las vulnerabilidades incluyen cualquier debilidad aprovechable en un sistema o su
diseño.
• Las amenazas se mitigan mejor mediante un enfoque de defensa en profundidad.
• La cebolla es una buena analogía para ilustrar la seguridad por capas.
• Los analogía de alcachofa de seguridad representa mejor las redes de la actualidad.
• Las políticas empresariales son las pautas que desarrollan las organizaciones para regir
sus acciones y las de sus empleados.
• Una política de seguridad identifica un conjunto de objetivos de seguridad para una
empresa, define las reglas de comportamiento de usuarios y administradores, y
especifica los requisitos del sistema.
 Resumen
• Una política de BYOD, que permite a los empleados utilizar sus propios dispositivos
móviles para acceder a los recursos de la empresa, controla cuáles empleados pueden
acceder a cuáles recursos mediante sus dispositivos personales.
• Todas las organizaciones deben cumplir con las normativas específicas para el tipo de
organización y los datos que maneja la organización.
• La tríada CID consiste de confidencialidad, integridad y disponibilidad.
• Los controles de control de acceso básico incluyen los siguientes:
• Control de acceso obligatorio (MAC)
• Control de acceso discrecional (DAC)
• Control de acceso no discrecional
• Control de acceso basado en atributos (ABAC)
• Principio de privilegios mínimos
 Resumen
• El control de acceso de AAA incluye autenticación, autorización y auditoría.
• Dos métodos de autenticación habituales son la autenticación de AAA local y la
autenticación de AAA basada en servidor.
• La auditoría de AAA mantiene un registro detallado de lo que el usuario autenticado
hace exactamente en el dispositivo.
• Los registros de auditoría de AAA incluyen:
• Auditoría de redes
• Auditoría de conexiones
• Auditoría de EXEC
• Auditoría de sistemas
• Auditoría de comandos
• Auditoría de recursos
 Resumen
• Organizaciones dedicadas a la inteligencia de amenazas, como CERT, SANS y MITRE, ofrecen
información detallada vital para las prácticas de ciberseguridad.
• El informe de ciberseguridad de Cisco proporciona una actualización en el estado de seguridad.
• Los blogs y podcasts de seguridad ayudan a los profesionales de la ciberseguridad a
comprender y mitigar las amenazas emergentes.
• Los servicios de inteligencia de amenazas permiten el intercambio de información de amenazas.
• FireEye ofrece información sobre amenazas emergentes e informes de inteligencia de
amenazas.
• AIS crea un ecosistema donde, apenas se reconoce una amenaza, se comparte la información
inmediatamente con la comunidad.
• La base de datos CVE emplea una nomenclatura estandarizada para simplificar el uso
compartido de inteligencia de amenazas.
• Los estándares STIX y TAXII simplifican el intercambio de información de amenazas al especificar
estructuras de datos y protocolos de comunicación.