Latch v2
Post on 01-Jun-2015
115 Views
Preview:
DESCRIPTION
Transcript
ElevenPaths – Research areaDr. Jose María AlonsoDr. Antonio GuzmánDr. Alfonso Muñoz Muñoz
Latch
Dr. Alfonso Muñozalfonso.munoz@11paths.com
Gestión de identidades digitales basada en el paradigma de la reducción de tiempo de exposición
Cyber [ataques] f (motivation,
target, time, TTP, resources)
Motivaciones• Beneficio económico – CyberCrimen• Beneficio competitivo –CyberCrimen/Espionaje• Motivos ideológicos. Activismo• Beneficio táctico – CyberGuerra/Espionaje
¿El usuario es el culpable?
No será por salvaguardas…
NIST 800-53 PRIVILEGE MANAGEMENT INFRASTRUCTURE
… sigue habiendo problemas…
https://haveibeenpwned.com/
Involucrando al usuario…f (motivation, target, time, TTP, resources)
Reducción del tiempo de exposición.
• Menos exposición menos riesgo
Geer, Manadhata, 2011
1
unexposed
exposed
AttackSuccessfulp
AttackSuccessfulpRR
f (motivation, target, time, TTP, resources)
Pestillo digitalExtendiendo la seguridad al usuario
https://www.elevenpaths.com/es/tecnologia/latch/index.html
• Capa extra de seguridad. El usuario propone - el proveedor decide.• Flexibilidad: 2FA, decisión basada en umbral, control parental, política de acceso usuario, granularidad, …• Difusión: OpenAPI y SDKs (wordpress, joomla, redmine, drupal, prestaship, ssh, openvpn, openldap,
phpMyAdmin, php, java, ruby, python, …)• Beneficios para usuarios y empresas• Implantación: Telefónica, Movistar, Acens, Tuenti, Grupo Cortefiel, Cajamar, Unir, Universidad de
Salamanca…
Ejemplos de uso…
• CMS Joomla (Content Management System )
24797 usuarios
22% de las solicitudes han intentado accesos ilegítimos (con credenciales válidas)
69% de los usuarios configuran autobloqueo
17% utiliza Latch cómo un canal de Segundo factor (OTP)
Ejemplos de uso…
• Impacto de Latch en las pérdidas por fraude CNP
A: adopción esperada de LatchB: usuarios esperados de LatchC: movimiento de dinero usuando tarjetas – LatchD: fraude estimado en función de transferenciasE: cantidad defraudada tarjetas – latchF: Evolución del fraude CNPG: Ahorro esperado por el uso de Latch
Conclusiones…• Problemática actual en gestión de identidades digitales
• Nuevos esquemas son propuestos cada día. – La mayoría irrumpe bruscamente con cambios en los
sistemas de autenticación o autorización actuales
• Se propone arquitectura Latch basada en el paradigma de reducción de tiempo de exposición.
• Capa extra: usabilidad, bajo coste…
• Análisis de datos reales.
ElevenPaths – Research areaDr. Jose María AlonsoDr. Antonio GuzmánD. Alfonso Muñoz Muñoz
Latch
Dr. Alfonso Muñozalfonso.munoz@11paths.com
Gestión de identidades digitales basada en el paradigma de la reducción de tiempo de exposición
top related