Scribd Logo
Upload

Welcome to Scribd!

  • Semana07 - 2022

    Uploaded by

    LUIS ALBERTO CABRERA BARRIOS
    8 views26 pages

    Original Title

    SEMANA07 - 2022

    Copyright

    © © All Rights Reserved

    Available Formats

    PPTX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    8 views26 pages

    Semana07 - 2022

    Uploaded by

    LUIS ALBERTO CABRERA BARRIOS

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 26

    Computación confiable – TCM – TPM

    Modelos de Seguridad
    Maestría en Seguridad Informática 2022

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Agenda
    1. Tipos de Seguridad Informática que conocemos

    2. ¿Qué es Confianza (Trust)?

    3. Problema Inicial - ¿Es Confiable?

    4. ¿Qué es computación confiable?

    5. Quien es Trusted Computing Group - TCG

    6. ¿Dónde comienza la confianza?

    7. Módulo de plataforma confiable (TPM)

    8. Política de confidencialidad

    9. Seguridad Multinivel

    10. Ejemplos de niveles en una empresa - Confidencialidad

    11. Funcionalidad modelo Bell-LaPadula

    12. Modelo Biba Aplicado - Integridad

    13. Referencias

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    1. Tipos de Seguridad Informática que conocemos

    Seguridad de Hardware

    Seguridad de Software

    Seguridad de red
    Fuente de imagen: https://www.google.com/imgres?imgurl=https%3A%2F%2Fwww.esic.edu%2Fsites%2Fdefault%2Ffiles%2Frethink%2F7e2a0f50-tipos-de-seguridad-informatica.jpg&imgrefurl=https%3A%2F%2Fwww.esic.edu
    %2Frethink%2Ftecnologia%2Ftipos-de-seguridad-informatica-cuales-existen&tbnid=XR1Ejxc5kv2dVM&vet=12ahUKEwiFrIPfisD4AhWIc98KHWsQCIsQMygAegUIARC5AQ..i&docid=_qypzpdwWf6Y7M&w=7000&h=3745&q=Tipos
    %20de%20Seguridad%20Inform%C3%A1tica%20que%20conocemos&ved=2ahUKEwiFrIPfisD4AhWIc98KHWsQCIsQMygAegUIARC5AQ
    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    Fuente de imagen https://www.google.com/imgres?imgurl=https%3A%2F%2Ft3mag.lat%2Fwp-content%2Fuploads%2F2021%2F09%2Fzero.jpg&imgrefurl=https%3A%2F%2Ft3mag.lat%2Fzero-trust-o-confianza-cero-que-es-y
    %2F&tbnid=G9ISmcAenY1V2M&vet=12ahUKEwjlzPTxjMD4AhUPC98KHdijDMYQMygregUIARCYAg..i&docid=FBFzzDs7Ipx_eM&w=1157&h=568&q=%C2%BFQue%20es%20Confianza%20(Trust)&ved=2ahUKEwjlzPTxjMD4AhUPC98KHdijDMYQMygregUIARCYAg

    2. ¿Que es Confianza (Trust)? Fuente: https://trustedcomputinggroup.org/

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Fuente de imagen: https://www.difarmasrl.com/novedad/algunas-claves-para-saber-si-es-confiable-una-informaci%C3%B3n-de-salud-vista-en-internet
    La tendencia de migrar los sistemas hacia la nube independientemente de su clasificación,
    arquitectura etc. (Cloud, SaaS, IaaS). Genera ciertos inconvenientes que incomodan a los
    gerentes de IT.
    3. Problema Inicial - ¿Es La migración de la red a la nube introduce nuevas vulnerabilidades de seguridad debido a la
    Confiable? pérdida de la seguridad proporcionada por la protección física y el aislamiento de los sistemas de
    red tradicionales (Intrínsecos por la localidad; están en la empresa)
    Al trasladar la funcionalidad a la nube, no existen (No existían, por eso la importancia de las
    Fuente: https://trustedcomputinggroup.org/
    Plataformas Confiables) controles y herramientas de seguridad escalables para brindar a los
    gerentes de
    Maestría en Seguridad Informática las empresas la
    – Universidad confianza
    Mariano y la seguridad
    Gálvez de que sus datos e informática
    de Guatemala
    Fuente de imagen: https://www.difarmasrl.com/novedad/algunas-claves-para-saber-si-es-confiable-una-informaci%C3%B3n-de-salud-vista-en-internet
    Se necesitan formas explícitas y verificables de proteger los componentes de software (sistema
    operativo guest, aplicaciones / código, librerías y datos) que residen en la nube (una máquina
    virtual o un contenedor).
    3. Problema Inicial - ¿Es La confianza en la plataforma informática (arranque, tiempo de ejecución, bloqueo e integridad
    Confiable? del almacenamiento), así como la automatización de la seguridad, deben definirse y
    estandarizarse para garantizar la interoperabilidad.

    Fuente: https://trustedcomputinggroup.org/
    Entre otros..
    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    4. ¿Qué es computación confiable?

    Fuente de imagen:https://www.google.com/imgres?imgurl=https%3A%2F%2Ftuktukbit.com%2Fwp-content%2Fuploads%2F2019%2F07%2Fcomputacion-
    confiable-cloud-300x300.png&imgrefurl=https%3A%2F%2Ftuktukbit.com%2Fla-confianza-del-cliente-es-el-mayor-activo-de-una-empresa
    %2Fcomputacion-confiable-cloud
    %2F&tbnid=BWuGNBau1eJBEM&vet=12ahUKEwjs7_acnMD4AhWPNd8KHWasBc0QMygAegUIARC5AQ..i&docid=wOsyw6DGLGF_jM&w=300&h=300&q=
    %C2%BFQu%C3%A9%20es%20computaci%C3%B3n%20confiable%3F&ved=2ahUKEwjs7_acnMD4AhWPNd8KHWasBc0QMygAegUIARC5AQ
    Fuente: https://trustedcomputinggroup.org/

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    5. ¿Quién es Trusted Computing Group –
    TCG?

    Es una organización sin fines de lucro formada para desarrollar, definir y


    promover estándares industriales globales abiertos y neutrales para los
    proveedores, que apoyan una raíz de confianza basada en hardware, para
    plataformas informáticas confiables interoperables.

    Servidores, PC, tabletas, teléfonos inteligentes, impresoras, quioscos,


    sistemas industriales y muchos sistemas integrados

    Fuente: https://trustedcomputinggroup.org/membership/member-companies/
    Fuente de imagen:https://www.google.com/imgres?imgurl=https%3A%2F%2Ftuktukbit.com%2Fwp-
    content%2Fuploads%2F2019%2F07%2Fcomputacion-confiable-cloud-300x300.png&imgrefurl=https%3A
    %2F%2Ftuktukbit.com%2Fla-confianza-del-cliente-es-el-mayor-activo-de-una-empresa%2Fcomputacion-
    confiable-cloud
    %2F&tbnid=BWuGNBau1eJBEM&vet=12ahUKEwjs7_acnMD4AhWPNd8KHWasBc0QMygAegUIARC5AQ..i
    &docid=wOsyw6DGLGF_jM&w=300&h=300&q=%C2%BFQu%C3%A9%20es%20computaci%C3%B3n
    %20confiable%3F&ved=2ahUKEwjs7_acnMD4AhWPNd8KHWasBc0QMygAegUIARC5AQ

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    6. ¿Dónde comienza la confianza?

    Fuente de imagen:https://www.google.com/imgres?imgurl=https%3A%2F%2Ftuktukbit.com%2Fwp-
    content%2Fuploads%2F2019%2F07%2Fcomputacion-confiable-cloud-300x300.png&imgrefurl=https%3A
    Fuente: https://trustedcomputinggroup.org/membership/member-companies/ %2F%2Ftuktukbit.com%2Fla-confianza-del-cliente-es-el-mayor-activo-de-una-empresa%2Fcomputacion-
    confiable-cloud
    %2F&tbnid=BWuGNBau1eJBEM&vet=12ahUKEwjs7_acnMD4AhWPNd8KHWasBc0QMygAegUIARC5AQ..i
    &docid=wOsyw6DGLGF_jM&w=300&h=300&q=%C2%BFQu%C3%A9%20es%20computaci%C3%B3n
    %20confiable%3F&ved=2ahUKEwjs7_acnMD4AhWPNd8KHWasBc0QMygAegUIARC5AQ

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    6. Donde comienza la confianza

    Plataformas informáticas confiables

    Interfaces a través de múltiples plataformas para datos, dispositivos


    y redes confiables

    Automóviles, sistemas integrados, Internet de las cosas, nube.

    SDN, máquinas virtuales, servidores, computadoras de escritorio,


    computadoras portátiles, tabletas, teléfonos móviles y más..
    Fuente de imagen:https://www.google.com/imgres?imgurl=https%3A%2F%2Ftuktukbit.com
    %2Fwp-content%2Fuploads%2F2019%2F07%2Fcomputacion-confiable-cloud-
    Fuente: https://trustedcomputinggroup.org/membership/member-companies/ 300x300.png&imgrefurl=https%3A%2F%2Ftuktukbit.com%2Fla-confianza-del-cliente-es-el-
    mayor-activo-de-una-empresa%2Fcomputacion-confiable-cloud
    %2F&tbnid=BWuGNBau1eJBEM&vet=12ahUKEwjs7_acnMD4AhWPNd8KHWasBc0QMygAeg
    UIARC5AQ..i&docid=wOsyw6DGLGF_jM&w=300&h=300&q=%C2%BFQu%C3%A9%20es
    %20computaci%C3%B3n%20confiable
    %3F&ved=2ahUKEwjs7_acnMD4AhWPNd8KHWasBc0QMygAegUIARC5AQ

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Fuente de imagen:https://www.profesionalreview.com/2018/11/10/tpm/

    7. Módulo de plataforma
    Qué es el TPM
    • Las siglas TPM vienen del nombre Trusted Plataform Module, que en español

    confiable (TPM) significa Módulo de Plataforma de Confianza. Se trata de un pequeño chip que
    debe venir instalado en la placa base de tu ordenador. Este chip es un
    criptoprocesador seguro, que sirve para almacenar las claves de cifrado de Windows
    y proteger así la privacidad de tus archivos más sensibles.

    Fuente: https://www.xataka.com/basics/que-tpm-como-comprobar-tu-ordenador-tiene-para-poder-instalar-windows-11

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Fuente de imagen:https://www.profesionalreview.com/2018/11/10/tpm/

    7. Módulo de plataforma Binding: En resumen, TPM Binding significa


    confiable (TPM) que cifra el mensaje con 1 clave.

    Sealing: En resumen: el sealing TPM significa


    que cifra el mensaje con varias claves.

    Fuente: https://ladyitris.wordpress.com/tpm-functionality/

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    7. Módulo de plataforma •Fuente de imagen:
    confiable (TPM) https://en.wikipedia.org/wiki/Trusted_Platform_Module

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Fuente de imagen: https://futuretpm.eu/downloads/FutureTPM-Sgandurra-Kumamoto-2019.pdf

    7. TPM - Trusted Platform


    Module
    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    Fuente de imagen:https://www.profesionalreview.com/2018/11/10/tpm/

    Práctica – Consultar gráfica y CLI el estado e


    información del TPM en su PC.
    • ¿Cómo se pude implementar Integridad e Identidad con TMP -
    Analìce ?

    https://docs.microsoft.com/en-us/powershell/module/trustedplatformmodule/?view=windowsserver2019-ps
    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    PAUSA

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Fuente de imagen: https://www.google.com/imgres?imgurl=https%3A%2F%2Fimg2.freepng.es%2F20180418%2Feze%2Fkisspng-confidentiality-health-insurance-portability-and-a-
    classified-information-5ad7feb8d278d5.3935976415241048888621.jpg&imgrefurl=https%3A%2F%2Fwww.freepng.es%2Fpng-wxkyls
    %2F&tbnid=_bR1Aog8O6U6LM&vet=12ahUKEwjs98_TpsH4AhUEmVMKHXUiAQkQMygwegUIARC6Ag..i&docid=VQ-lvHZOXfbaCM&w=900&h=580&q=Pol%C3%ADtica%20de
    %20confidencialidad&ved=2ahUKEwjs98_TpsH4AhUEmVMKHXUiAQkQMygwegUIARC6Ag

    • Prevenir el acceso no autorizado a la información


    8. Política de • Controla el flujo de información
    confidencialidad • Los mejores ejemplos son los modelos de seguridad multinivel
    • Uno de ellos es Bell-LaPadula
    Fuente: http://segundotoapanta.info/wp-content/uploads/sites/782/2017/03/Modelo-Bell-
    Lapaluda.pdf
    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    Fuente de imagen:https://www.google.com/imgres?imgurl=http%3A%2F%2Fliderejecutivo.mx%2Fimagenes%2Fb%2Fgalerias
    %2Fimg_sgUC6PY1JlZjNBVxct4MSmIyhAb85oeK_1509381132.jpg&imgrefurl=http%3A%2F%2Fliderejecutivo.mx%2Fpublicacion%2F10-requisitos-de-un-software-
    multinivel.html&tbnid=6yLp5W7KVkw7QM&vet=12ahUKEwiZy6f0qsH4AhUFWlMKHWVxAMUQMygDegUIARC_AQ..i&docid=YMLLmkPifDOViM&w=699&h=483&q=Seguridad
    %20Multinivel&ved=2ahUKEwiZy6f0qsH4AhUFWlMKHWVxAMUQMygDegUIARC_AQ

    • Política de seguridad que clasifica a los usuarios en distintos


    9. Seguridad Multinivel niveles de seguridad, permitiendo el acceso simultáneo a distintos
    usuarios con diferentes permisos 

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Fuente de imagen:https://www.google.com/imgres?imgurl=https%3A%2F%2Fwww.emprendepyme.net%2Fwp-content%2Fuploads%2F2018%2F09%2Fproteccion-secreto-
    empresarial.jpg&imgrefurl=https%3A%2F%2Fwww.emprendepyme.net%2Fcomo-proteger-la-informacion-confidencial-de-mi-
    empresa.html&tbnid=kiT3tWaULSgvLM&vet=12ahUKEwilsbOVrMH4AhWO6lMKHdO8CLYQMygGegQIARBl..i&docid=bYuP4UbpCWas5M&w=825&h=510&q=Ejemplos%20de
    %20niveles%20en%20una%20empresa%20por%20confidencialidad&ved=2ahUKEwilsbOVrMH4AhWO6lMKHdO8CLYQMygGegQIARBl

    Nivel D1: el sistema entero no es confiable y no cumple con ninguna especificación de seguridad.
    No hay protección de hardware ni autenticación de los usuarios.
    10. Ejemplos de niveles en
    una empresa - Nivel C1: se implementa un acceso de control discrecional y la identificación y autenticación de los usuarios.
    Se introduce así la distinción entre usuarios y administradores de sistema.

    Confidencialidad Nivel C2: implementa una protección de acceso controlado y requiere una auditoría del sistema.

    Fuente: https://www.unir.net/ingenieria/revista/niveles-seguridad-informatica/
    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    Fuente de imagen:https://www.google.com/imgres?imgurl=https%3A%2F%2Fwww.emprendepyme.net%2Fwp-content%2Fuploads%2F2018%2F09%2Fproteccion-secreto-
    empresarial.jpg&imgrefurl=https%3A%2F%2Fwww.emprendepyme.net%2Fcomo-proteger-la-informacion-confidencial-de-mi-
    empresa.html&tbnid=kiT3tWaULSgvLM&vet=12ahUKEwilsbOVrMH4AhWO6lMKHdO8CLYQMygGegQIARBl..i&docid=bYuP4UbpCWas5M&w=825&h=510&q=Ejemplos%20de
    %20niveles%20en%20una%20empresa%20por%20confidencialidad&ved=2ahUKEwilsbOVrMH4AhWO6lMKHdO8CLYQMygGegQIARBl

    Nivel B1: implementa una protección de seguridad etiquetada, mediante la cual se asigna una etiqueta a cada objeto del sistema, tanto
    datos como usuarios, con niveles de seguridad jerárquicos (multinivel).

    10. Ejemplos de niveles en Nivel B2: se implementa una protección estructurada, por la cual se etiquetan objetos de nivel superior en relación con objetos de nivel
    inferior

    una empresa - Nivel B3: implementa dominios de seguridad y distintas políticas de acceso, gestionadas por un monitor de referencia y requiere una acceso
    seguro del usuario.
    Confidencialidad
    Nivel A: implementa un proceso de diseño, control y verificación mediante métodos matemáticos. Es el nivel de seguridad más elevado

    Fuente: https://www.unir.net/ingenieria/revista/niveles-seguridad-informatica/
    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    Fuente de imagen:https://www.google.com/imgres?imgurl=https%3A%2F%2Fwentzwu.com%2Fwp-content%2Fuploads%2F2019%2F04%2Fbelllapadula.jpg&imgrefurl=https%3A%2F
    %2Fwentzwu.com%2F2019%2F04%2F07%2Fbell-lapadula-model
    %2F&tbnid=ZdN1gX8ZqxvFUM&vet=12ahUKEwjYnPnFt8H4AhV2Q0IHHQvHBeEQMygBegUIARCgAQ..i&docid=7nzDEcknIZfE3M&w=1280&h=720&q=modelo%20Bell-
    LaPadula&ved=2ahUKEwjYnPnFt8H4AhV2Q0IHHQvHBeEQMygBegUIARCgAQ

    Combina acceso Mandatorio y acceso Discrecional

    Niveles de clasificación de seguridad ordenados

    Los sujetos tienen habilitaciones de seguridad L(s)

    Los objetos tienen clasificaciones de seguridad L ( o )

    11. Funcionalidad modelo Bell-LaPadula


    Maestría
    Fuente: en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    http://segundotoapanta.info/wp-content/uploads/sites/782/2017/03/Modelo-Bell-Lapaluda.pdf
    Fuente de imagen:https://slideplayer.es/slide/1873994/

    Ejemplo Bell-LaPadula
    Fuente: http://segundotoapanta.info/wp-content/uploads/sites/782/2017/03/Modelo-Bell-Lapaluda.pdf
    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    Fuente de imagen:https://wentzwu.com/2021/03/31/cissp-practice-questions-20210401/

    Niveles de integridad: Cuanto más alto el nivel de


    integridad, más confianza en que
    • La propiedad de integridad simple establece que un sujeto no puede
    leer un objeto en un nivel inferior. Nivel de integridad (sin lectura).
    • La propiedad de integridad * (estrella) establece que un sujeto no
    puede modificar un objeto en un mayor nivel de integridad (sin
    redacción).
    • El modelo Biba se basa en integridad multinivel

    12. Modelo Biba Aplicado - Integridad


    http://segundotoapanta.info/wp-content/uploads/sites/782/2017/03/Modelo-Bell-Lapaluda.pdf
    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    Extraído de: Certified Information Systems Security
    Professional Study Guide
    Seventh Edition, Pag. 327

    •Biba fue diseñado para abordar tres problemas de integridad:


    12. Modelo Aplicado Biba - • Modificación de objetos por sujetos no autorizados.
    Integridad • Modificación no autorizada de objetos por sujetos autorizados.
    • Proteja la coherencia de los objetos internos y externos.

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    TAREA 04
    Implementar una evaluación de vulnerabilidades sobre un sistema operativo Microsoft
    Windows Server bajo un ambiente de LAN y dados los hallazgos plantear un plan de
    aseguramiento.

    Implementar:
    • Análisis de Riesgos
    • Evaluación del Riesgo
    • Zona de Riesgo
    • Matriz de Riesgo
    • Plan de Aseguramiento

    SEGURIDAD DE SISTEMAS INFORMÁTICOS


    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    Taller de la UIT sobre "Infraestructura del conocimiento y la confianza en el futuro", fase 1 Ginebra, Suiza, 24 de abril de 2015 . Alec
    Brusilovsky. alec.brusilovsky@interdigital.com

    Departamento de computación UBA. Modelo Bell-Lapadula

    http://ingenieriadelaseguridad.blogspot.com/p/control-de-accesos.html

    13. Referencias
    https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401-glosario_abreviaturas/index.html?n=614.html

    https://trustedcomputinggroup.org/membership/member-companies/

    Extraído de: Certified Information Systems Security - Professional Study Guide - Seventh Edition

    https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

    You might also like