Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l...
Transcript of Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l...
![Page 1: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/1.jpg)
COMMON CRITERIACOMMON CRITERIAC it i M it E l iCriterios comunes para Monitorear y Evolucionar
la Seguridad Informática en Colombia
José Alejandro Chamorro LópezPassword S.A – Seguridad Informá[email protected] @p
![Page 2: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/2.jpg)
Agenda
• Problemática
• Una solución: Criterios Comunes
• A sumergirse en Criterios Comunesg
• Acercamiento para Colombia
• Comparativa con otros estándares• Comparativa con otros estándares.
![Page 3: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/3.jpg)
Problemática
P d t S ft I• Productos Software Inseguros.– Salón de la fama:
![Page 4: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/4.jpg)
Problemática
• Casos concretos sin compromisos con marcas:– ERP 1
– ERP 2
– ERP 3
– Aplicación de Logística
– Gestor de Contenidos Web
![Page 5: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/5.jpg)
Problemática
• Cuadro Patológico ERP 1:– Archivos de configuración sin protección e identificables por el nombre de su función.
h lí d ó– No hay políticas estrictas de autenticación.
– No hay encripción de la información critica.
– No hay encripción en el tráfico de los datos.
– No hay control de las aplicaciones de mantenimiento.
![Page 6: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/6.jpg)
Problemática
• Problemas de seguridad ERP 1:– Volcado de memoria en los archivos de usuarios y contraseñas.
l d l l ó– Replica de la aplicación.
– Captura de información en el transporte de red.
– Modificación de los archivos de configuración.
– Modificación de las tablas de datos.
– Generación y/o eliminación de información falsa (Por ejemplo: Facturas, Informes, etc.).
![Page 7: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/7.jpg)
Problemática
• Cuadro Patológico ERP 2:– La Base de Datos que está en SQL Server, tiene el usuario y contraseña por defecto.
h ó d l h d– No hay protección de los archivos de configuración.
N h líti t i t d t ti ió– No hay políticas estrictas de autenticación.
– No hay encripción en el tráfico de los datos
![Page 8: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/8.jpg)
Problemática
• Problemas de seguridad ERP 2:– Acceso no autorizado a las base de datos.
– Inyección de código malicioso a las dll.
– Captura de información en el transporte de red.
– Autenticación no autorizada a la aplicación.
– Técnicas de ingeniería inversa a los .exe.
![Page 9: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/9.jpg)
Problemática
• Cuadro Patológico ERP 3:– Aplicación en Visual Fox Pro 6.0 con base de datos sin control de acceso.
l d d d d d l d– Utiliza unidades de red compartidas sin control de acceso.
U id d d d l b d l li ió– Unidades de red con el nombre de la aplicación.
![Page 10: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/10.jpg)
Problemática
• Problemas de seguridad ERP3:– Acceso no autorizado a la base de datos.
– Modificación y/o eliminación de los archivos de f óconfiguración.
– Etc…
![Page 11: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/11.jpg)
Problemática
• Cuadro Patológico Aplicación de Logística:– Aplicación con SQL server y .Net que utiliza los nombres de NETBIOS para identificación de los equipos computacionalesequipos computacionales.
![Page 12: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/12.jpg)
Problemática
• Problemas de seguridad Aplicación de L í iLogística:– Puertos 135 y 137 abiertos, utilizados para
i l Wi dgenerar sesiones nulas en Windows.
– Puerto 445 RPC abierto, utilizado por virus i f áti S Bl t Linformáticos como Sasser, Blaster y Lsas, para accesos no autorizados.
![Page 13: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/13.jpg)
Problemática
• Cuadro Patológico Gestor de Contenidos Web
![Page 14: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/14.jpg)
Problemática
![Page 15: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/15.jpg)
Problemática
![Page 16: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/16.jpg)
![Page 17: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/17.jpg)
SOLUCION
![Page 18: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/18.jpg)
ISO/IEC 15408
![Page 19: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/19.jpg)
¿Qué es?
• Acuerdo internacional sobre el método de desarrollo seguro y sobre 7 niveles discretos dedesarrollo seguro, y sobre 7 niveles discretos de la gama de esfuerzo, incluyendo la especificación del trabajo de los evaluadores en cada nivel.j
• Paradigma de arquitectura de seguridad sobre el que se aplica un catálogo coherente y relacionado de funciones de seguridad que permiten establecer un lenguaje común para la expresión de la seguridad de los productos y sistemas dede la seguridad de los productos y sistemas de las TI.
![Page 20: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/20.jpg)
Origen
![Page 21: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/21.jpg)
¿Que responde CC?
Common Criteria da respuesta a tres preguntas importantes:
é h l d ?¿Qué hace el producto?
CC determina claramente cuales son las funciones de seguridad del producto y en qué entorno aplican.
¿Cómo se ha validado el producto?
CC especifica diferentes niveles de confianza (EAL) que determinan el nivel de ensayo (en tiempo y complejidad) requeridos para probar la seguridad delensayo (en tiempo y complejidad) requeridos para probar la seguridad del producto y el nivel exigencia a seguir en el desarrollo de este.
¿Quién ha validado el producto?¿Q p
Sólo laboratorios acreditados por un esquema de certificación nacional de cada país del CCRA.
![Page 22: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/22.jpg)
Beneficios
Common Criteria aporta diferentes beneficios para el desarrollador de productos IT:desarrollador de productos IT:
Argumento de ventas frente a un producto de la competencia que no lo tenga.
Demuestra que su producto cumple íntegramente con las funcionalidades requeridas por su cliente final.
Los certificados CC están reconocidos a nivel mundial lo queLos certificados CC están reconocidos a nivel mundial, lo que permite que su inversión sirva para clientes de cualquier parte del mundo.
Permite detectar los puntos fuertes y débiles de la seguridad del producto, lo que ayuda al desarrollador a mejorarlo.
![Page 23: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/23.jpg)
Divisiones
• Parte 1 – Introducción y modelo general
• Parte 2 – Requisitos funcionales de seguridad
• Parte 3 – Requisitos de garantía de seguridadq g g
![Page 24: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/24.jpg)
A SUMERGIRSE EN CRITERIOSA SUMERGIRSE EN CRITERIOS COMUNESCOMUNES
![Page 25: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/25.jpg)
![Page 26: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/26.jpg)
Declaración de Seguridad (ST) ( )
El documento, de contenido normalizado, quefl j l áli i i d d d id drefleja el análisis y propiedades de seguridad
del objeto a evaluar.
Puede incluir el cumplimiento de un Perfil deProtección (PP); especificación de seguridadaplicable a una clase de productos conobjetivos de seguridad comunes. Elaboradospor grupos de usuarios o cuerpos reguladores.
![Page 27: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/27.jpg)
Niveles de aseguramiento EAL
Di ñ d
Diseñado, verificado
Diseñado, verificado y probado
Probado y comproba
ndo
Diseñado revisado y probado metódica
Diseñado y probado semiformalmente
y probado semiformalmente
formalmente
EAL 4EAL 5
EAL 6EAL 7
Probadofuncionalmente
Probadoestructuralmente
ndo metódicamente
mente
EAL 1EAL 2
EAL 3EAL 4mente
![Page 28: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/28.jpg)
Niveles de aseguramiento EAL
Common Criteria v3 1Common Criteria v3.1
![Page 29: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/29.jpg)
Requisitos funcionales
Con este paradigma de IT y su seguridad, se bl ál d i i f i lestablece un catálogo de requisitos funcionales
de seguridad, basados en la parte 2.
![Page 30: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/30.jpg)
Requisitos funcionales
![Page 31: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/31.jpg)
Requisitos funcionales
![Page 32: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/32.jpg)
Requisitos funcionales
![Page 33: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/33.jpg)
Ejemplo Declaración de Seguridadg
![Page 34: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/34.jpg)
Ejemplo Declaración de Seguridadg
Contenido:• Introducción• Descripción del producto a evaluar• Entorno de seguridad• Objetivos de seguridad• Requisitos de seguridad
– Funciones de seguridad– Requisitos de garantía
• Síntesis de la especificación del producto• Cumplimiento perfiles de protección
– CAWA14169
• Justificaciones• Acrónimos• Referencias
![Page 35: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/35.jpg)
Ejemplo Declaración de Seguridadg
“Esta declaración de seguridad cumple con los requisitos de la norma CC versión 2.3, partes 2 y 3, y define un nivel de garantía de evaluación EAL4, aumentado por los componentes Análisis y pruebas sobre los estados inseguros (AVA_MSU.3) y Alta resistencia (AVA_VLA.4)*”
“La selección del nivel de evaluación se justifica por la necesidad de garantía de las propiedades de seguridad del producto, que vienen fijadas por CWA 14169:2004. Protection Profile – Secure Signature‐Creation Device, Type 3, version 1.05 (Perfil de Protección ‐Dispositivo Seguro de Creación de Firma) y que determina un producto altamente resistente a diferentes ataques ”producto altamente resistente a diferentes ataques.
*Common Criteria V.2.3
![Page 36: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/36.jpg)
Ejemplo Declaración de Seguridadg
![Page 37: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/37.jpg)
Ejemplo Declaración de Seguridadg
Class ADV: DevelopmentpFamily: Functional specification (ADV_FSP)
![Page 38: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/38.jpg)
Ejemplo Declaración de Seguridadg
Certificado de SeguridadCertificado de Seguridad
![Page 39: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/39.jpg)
Acercamiento para Colombia
Con el apoyo de Colciencias, el objetivo es: G d l d iGenerar un modelo de acercamiento a Criterios Comunes para los productos f d C l bi l fi d jsoftware de Colombia, con el fin de mejorar su
competitividad.
![Page 40: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/40.jpg)
Acercamiento para Colombia
• Brecha de los producto software con EAL 1 y EAL 2EAL 2.– Lista de Chequeo
http://www.password.com.co/cc
– Modelo de implementación Criterios Comunes EAL1 y EAL2.
![Page 41: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/41.jpg)
Comparativa con otros estándares
![Page 42: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/42.jpg)
![Page 43: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/43.jpg)
Nuestra Compañía
Consultoría en Seguridad Informática:SoftwareServidores
Acompañamiento en la implementación y certificación de Criterios Servidores
Redes de Telecomunicaciones Comunes
![Page 44: Cit i M it E l iCriterios comunes para Monitorear y ... · COMMON CRITERIA Cit i M it E l iCriterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José](https://reader031.fdocuments.net/reader031/viewer/2022011906/5f3c0bc6864dce025257891c/html5/thumbnails/44.jpg)
JOSE ALEJANDRO CHAMORRO LOPEZConsultor Seguridad de la Informació[email protected]óvil: 300 6611727