Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Antúnez Javier
Director, Porto,Trentalance, Antúnez y Asociados
Presentada por:
Aclaración:
© Todos los derechos reservados. No está permitida la
reproducción parcial o total del material de esta
sesión...
Agenda
 Intro
Controles
 Conclusiones
 Origen
 ¿Por qué son útiles?
 Pilares
 20 controles críticos
 Grupos de con...
Intro: Abordaje actual
 Aplicamos buenas prácticas
 A veces a medias…
 Hacemos buenas cosas
 En lugar de hacer las cos...
Intro: Abordaje actual
 Tenemos demasiadas herramientas
disponibles
 Lo que dificulta decidir cual utilizar
6
Intro: Abordaje actual
 Puede que seamos muy exigentes en
algunos puntos…
7
Intro: Abordaje actual
 … y poco exigentes en otros.
8
Origen de los controles
 Surge del ámbito gubernamental
 Primero corregir los males conocidos
 NSA + CIS + SANS  conso...
¿Por qué son útiles?
 Aportantes / Consenso
 Foco en acciones de alta prioridad
 Casos de éxito
 Adoptantes
 Herramie...
Pilares
 Ofensa informa a defensa
 Priorización
 Métricas
 Monitoreo continuo
 Automatización
11
20 Controles críticos
12
20 Controles críticos
13
Grupos de controles
Gestión de riesgos en activos
 CSC1- Inventario de dispositivos autorizados y no
autorizados
 CSC2-...
Grupos de controles
 Gestión de riesgos de usuarios
 CSC12- Uso controlado de privilegios
administrativos
 CSC14- Mante...
Grupos de controles
 Gestión de riesgos de red
 CSC10- Configuraciones Seguras para
Dispositivos de Red
 CSC11- Limitac...
Grupos de controles
 Prevención y respuesta a incidentes
 CSC5 - Defensas contra Malware
 CSC8 - Capacidad de recupero ...
Anatomía de un ataque actual
 Identificar un objetivo
 Analizar vectores de ataque
 Explotación
 Consolidación (upload...
Mitigación de ataques
19
5 Quick Wins
1. App white listing (en CSC2)
2. Standard, secure system configurations (en
CSC3)
3. Patchear software de ap...
Roadmap
1. Gap analisys inicial
2. Plan de implementación en fases
3. Primer fase
1. Mejorar el uso herramientas existente...
Conclusiones
 Controles prioritarios bien fundados
 No abarca todos los aspectos de
seguridad  punto de partida
 Basad...
Gracias por asistir a esta sesión…
Para mayor información:
(Javier Antúnez)
(jantunez@portoyasociados.com.ar)
Para descargar esta presentación visite
www.seg...
CCS - SANS 20 Critical Security Controls   Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez
Prochain SlideShare
Chargement dans…5
×

CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez

1 159 vues

Publié le

Presentación: Asegure su empresa con 20 controles. Top 20 Critical Security Controls - SANS - CCS (Council on CyberSecurity)
Presentación brindada en Segurinfo Argentina 2014
Español

Publié dans : Technologie
  • Identifiez-vous pour voir les commentaires

CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez

  1. 1. Antúnez Javier Director, Porto,Trentalance, Antúnez y Asociados Presentada por:
  2. 2. Aclaración: © Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
  3. 3. Agenda  Intro Controles  Conclusiones  Origen  ¿Por qué son útiles?  Pilares  20 controles críticos  Grupos de controles  Mitigaciones  5 quick wins  Roadmap
  4. 4. Intro: Abordaje actual  Aplicamos buenas prácticas  A veces a medias…  Hacemos buenas cosas  En lugar de hacer las cosas necesarias…  Muchas veces el árbol no nos deja ver el bosque…
  5. 5. Intro: Abordaje actual  Tenemos demasiadas herramientas disponibles  Lo que dificulta decidir cual utilizar 6
  6. 6. Intro: Abordaje actual  Puede que seamos muy exigentes en algunos puntos… 7
  7. 7. Intro: Abordaje actual  … y poco exigentes en otros. 8
  8. 8. Origen de los controles  Surge del ámbito gubernamental  Primero corregir los males conocidos  NSA + CIS + SANS  consorcio  Expansión de miembros a +100  Conocimiento agregado publico/privado  Versión 5 (revs. Cada 6/12 meses desde 2008)  Gestionado por SANS hasta 2013 (hoy por el Council on CyberSecurity – CCS) 9
  9. 9. ¿Por qué son útiles?  Aportantes / Consenso  Foco en acciones de alta prioridad  Casos de éxito  Adoptantes  Herramientas disponibles  Mapeo contra frameworks existentes  Mapa de ruta para mejorar la seguridad 10
  10. 10. Pilares  Ofensa informa a defensa  Priorización  Métricas  Monitoreo continuo  Automatización 11
  11. 11. 20 Controles críticos 12
  12. 12. 20 Controles críticos 13
  13. 13. Grupos de controles Gestión de riesgos en activos  CSC1- Inventario de dispositivos autorizados y no autorizados  CSC2- Inventario de software autorizado y no autorizado  CSC3- Configuraciones seguras de hardware y software en laptops, workstations y servers  CSC4- Análisis y remediación de vulnerabilidades continua  CSC6 - Seguridad en Software de Aplicación  CSC7 - Control de dispositivos Wireless 14
  14. 14. Grupos de controles  Gestión de riesgos de usuarios  CSC12- Uso controlado de privilegios administrativos  CSC14- Mantenimiento, monitoreo y análisis de logs de auditoria  CSC15- Acceso controlado basado en el "need to know“  CSC16- Control y monitoreo de cuentas de usuario 15
  15. 15. Grupos de controles  Gestión de riesgos de red  CSC10- Configuraciones Seguras para Dispositivos de Red  CSC11- Limitación y Control de Puertos, Protocolos y Servicios de Red  CSC13- Defensa perimetral  CSC19 Ingeniería de red segura 16 CSC3 CSC1
  16. 16. Grupos de controles  Prevención y respuesta a incidentes  CSC5 - Defensas contra Malware  CSC8 - Capacidad de recupero de datos  CSC9 - Evaluación de las Competencias de Seguridad y Entrenamiento Apropiado para Cubrir los Gaps  CSC17 -Data loss prevention  CSC18 -Gestión de Respuesta ante Incidentes  CSC20 - Pruebas de Penetración y Hacking Ético 17
  17. 17. Anatomía de un ataque actual  Identificar un objetivo  Analizar vectores de ataque  Explotación  Consolidación (upload/exec/persist)  Realizar conexiones salientes (C & C)  Reconocimiento interno  Pivot dentro de la red
  18. 18. Mitigación de ataques 19
  19. 19. 5 Quick Wins 1. App white listing (en CSC2) 2. Standard, secure system configurations (en CSC3) 3. Patchear software de aplicación dentro de las 48 horas (en CSC4) 4. Patchear software de sistemas dentro de las 48 horas (en CSC4) 5. Reducir el Nro. de usuarios con privilegios administrativos (en CSC3 y CSC12) 20
  20. 20. Roadmap 1. Gap analisys inicial 2. Plan de implementación en fases 3. Primer fase 1. Mejorar el uso herramientas existentes 2. Incorporar nuevas herramientas 3. Mejora de procesos / skills 4. Integración de controles en la operación + monitoreo continuo 5. Repetir pasos 3 y 4 para siguientes fases 21
  21. 21. Conclusiones  Controles prioritarios bien fundados  No abarca todos los aspectos de seguridad  punto de partida  Basado en experiencias de ataques  Conceptualización simplificada  Focalización de esfuerzos  No olvidar: Monitoreo continuo + Automatización 22
  22. 22. Gracias por asistir a esta sesión…
  23. 23. Para mayor información: (Javier Antúnez) (jantunez@portoyasociados.com.ar) Para descargar esta presentación visite www.segurinfo.org Los invitamos a sumarse al grupo “Segurinfo” en

×