Seguridad & Telecomunicaciones. Granada - 24 de Marzo 2012

Transcripción

1 Seguridad & Telecomunicaciones Granada - 24 de Marzo 2012

2 Índice La Operadora: Red, Sistemas y Servicios Las grandes amenazas Amenazas de pequeña escala Legislación vigente Organización y Procesos de Telefónica Localización e Intercepción Legal 1

3 01 La Operadora: Red, Sistemas y Servicios 2

4 El comienzo En 1876 Alexander G. Bell presenta la patente del teléfono 3

5 El CORE de una Operadora Los Sistemas permiten la gestión de la Red y los Servicios así como la relación con los clientes La Red proporciona la base del negocio de la Operadora. Medio por el que fluye la comunicación Los Servicios aprovechan la potencia de la Red y los Sistemas para construir posibilidades de negocio 4

6 La Red: Conceptos de identidad en la Red Móvil IMSI: International Mobile Subscriber Identity Identifica de forma única al usuario (DNI de la USIM) Es asociado a la USIM en la que se almacena IMEI: International Mobile Station Equipment Identity Se identifica al terminal de forma única (DNI del Terminal) Se compone de: MSISDN: Mobile Subscriber ISDN Number TAC FAC S/N teléfono 6 dígitos 3 dígitos 6 dígitos 1 d V F TAC: Type Allocation Code FAC: Final Assembly Code VF: Verificador Número de teléfono en la Red Móvil (DNI del cliente en la Operadora) Se asociado al par USIM-IMSI 5

7 La Red: Características de la seguridad del acceso a la Red Móvil Autenticación: Identificación y reconocimiento entre el terminal y la red: Desde la Red al terminal Mútuo (desde la red al terminal y desde el terminal a la red) Empleo de algoritmo AKA (Authentication and Key Agreement) Protección de datos: Utilización de identidades temporales: IMSI TMSI (voz) y P-TMSI (datos) Encriptación/cifrado en el acceso radio (GSM/UMTS). Integridad dentro de la red de acceso (sólo UMTS). 6

8 Proceso de Autenticación El proceso consiste en: Comprobación terminal: Petición de la red al móvil Comprobación red: Contestación del móvil a la red Por parte de la red: Los valores son generados por el nodo AuC El HLR almacena los valores (UMTS -> quintetas, GSM -> tripletas) La MSC solicita los valores al HLR y se almacenan en el VLR En GSM se permite la reutilización de tripletas tanto en MSC como HLR. En UMTS no se pueden reutilizar. Por parte del terminal: Genera los valores por si mismo Los datos para el cálculo los toma de la SIM 7

9 Autenticación. Algoritmo AKA para GSM El equipo AuC genera un vectores de autenticación con tres campos (tripleta). RAND: Número aleatorio para realizar la pregunta XRES: Respuesta esperada CK: Clave cifrado Primero el nodo de red (MSC o SGSN) se encarga de solicitar los datos al nodo de autenticación Una vez el nodo ha enviado la petición de acceso a la red, el VLR, se encarga de solicitar un vector de inicialización al HLR/AuC (que dispone junto a la USIM de la clave del usuario). El HLR/AuC se encarga de calcular los valores basados en la clave única de usuario tripleta) (tripleta Una vez terminado el cálculo, MSC o SGSN responde al nodo VLR con la tripleta. El VLR envía al terminal únicamente el campo RAND. 8

10 Autenticación. Algoritmo AKA para GSM La USIM genera la XMAC, RES, CK e IK con los valores RAND, AUTN y K. El terminal móvil procesa el dato recibido RAND) (RAND con la ayuda de su clave única y secreta (contenida únicamente en la USIM y en el nodo HLR/AUC). El terminal genera la respuesta esperada al reto enviado por la MSC/ SGSN RES). (RES El terminal de usuario responde con el campo RES al MSC/SGSN. MSC/SGSN de red verifica que la respuesta (campo RES enviado desde el móvil) es correcta comparándola con la respuesta esperada XRES) (XRES de la tripleta. Si está OK, enviará el CK a la BSC para codificar la comunicación. 9

11 Autenticación. Algoritmo AKA para UMTS El equipo AuC genera un vectores de autenticación con cinco campos (quinteta). RAND: Númeo aleatorio para realizar la pregunta XRES: Respuesta esperada CK: Clave cifrado IK: Clave integridad AUTN: Token identificación SQN: Número de secuencia AMF: Campo gestión autenticación MAC-A: Código autenticación mensaje Primero el nodo de red (MSC o SGSN) se encarga de solicitar los datos al nodo de autenticación Una vez el nodo ha enviado la petición de acceso a la red, el VLR, se encarga de solicitar un vector de inicialización al HLR/AuC (que dispone junto a la USIM de la clave del usuario). El HLR/AuC se encarga de calcular los valores basados en la clave única de usuario quinteto) (quinteto Una vez terminado el cálculo, MSC o SGSN responde al nodo VLR con el vector de inicialización (AV(1),..., AV(n)) correspondiente. El VLR se encarga de elegir un vector de inicialización (uno de los recibidos anteriormente), y envía al terminal únicamente el campo RAND y AUTN. 10

12 Autenticación. Algoritmo AKA para UMTS La USIM genera la XMAC, RES, CK e IK con los valores RAND, AUTN y K. AUTN se compone de: SQN: Número de secuencia AMF: Campo gestión autenticación MAC-A: Código autenticación mensaje El terminal móvil procesa los datos recibidos (RAND y AUTN) con la ayuda de su clave única y secreta (contenida únicamente en la USIM y en el nodo HLR/AUC). El terminal se encarga de validar que el vector utilizado (AV(i)) no ha expirado en el tiempo verificando el número de secuencia (campo SEQ). El terminal genera la clave de cifrado CK), (CK la clave de integridad IK) (IK y la respuesta esperada al reto enviado por la MSC/ SGSN RES). (RES El terminal de usuario responde con el campo RES al MSC/SGSN. MSC/SGSN de red verifica que la respuesta (campo RES enviado desde el móvil) es correcta comparándola con la respuesta esperada XRES). (XRES 11

13 Autenticación. Algoritmo AKA para UMTS Una vez terminado el proceso la autenticación mutua es efectuada: El terminal a través de la USIM y el nodo de red (VLR) se han autenticado mutuamente bajo dos condiciones: La USIM ha verificado que el campo MAC en el AUTN es igual al calculado internamente utilizando la clave privada K. El nodo de red VLR ha verificado al terminal (USIM) ya que el campo de respuesta RES es igual al campo esperado XRES. 12

14 Protección de Datos: Identidades Temporales Se sustituye la identificación única del usuario, el IMSI, por una identificación temporal. Las identidades temporales están asociadas a cada elemento de red (MSC/SGSN). Al cambiar de nodo de red se cambia de identidad. Los terminales pueden tener identidades temporales iguales en distintos elementos de red. TMSI es la identidad temporal utilizada para los servicios de circuitos (MSC) y P-TMSI para datos (SGSN) 13

15 Protección de Datos: Integridad y Cifrado En la norma, el cifrado es opcional y la integridad es obligatoria. El terminal deduce los valores de integridad y cifrado del proceso de autenticación. La MSC informa a la RNC/BSC de los valores elegidos para el cifrado y la integridad Estos procesos de seguridad sólo se utilizan entre el terminal móvil y la UTRAN/BSS. El resto de las comunicaciones entre nodos van en abierto. 14

16 Protección de Datos: Integridad y Cifrado Integridad: protege contra la introducción de datos falsos o modificación de los mismos. (Sólo UMTS) Cifrado: protege de la observación de los datos (GSM/UMTS) Hasta terminar el proceso de integridad y cifrado los mensajes viajan sin protección. La integridad es sólo para los mensajes de control en el acceso radio. El cifrado es para mensajes y datos de usuario en el acceso radio. 15

17 Los Sistemas. El futuro 16

18 Protección de las comunicaciones Accesibilidad: Segmentación de Redes (VLANs, FWs, ) Evitar comunicaciones no seguras (uso de sftp, ssh, https, ) Encriptación de la información (IPsec, VPN, ) Control de accesos y usabilidad: Usuarios únicos Registros de actividad Gestión de servicios (DPI) Disponibilidad/fiabilidad: Backups seguros Redundancia (HW, SW, comunicaciones y datos) 17

19 Servicios: Seguridad en la Banda Ancha Móvil Filtrado con Acceso por APN (nivel SGSN) Se comprueba si el APN con el que el usuario desea entrar está registrado en su ficha de abonado. 18

20 Servicios: Seguridad en la Banda Ancha Móvil Seguridad en servicios IP (nivel GGSN) Seguridad AAA (Radius): Autenticación: Usuario/Password utilizados por usuario correctos? Autorización: En colaboración con Directorio Único. Provisión de etiquetas para flujos de acceso a servicios de datos. Accounting: Registros para facturación 19

21 LTE (Next generation 4G) 20

22 LTE - VoIP 21

23 LTE 4G: Características de la seguridad Autenticación: Identificación y reconocimiento entre el terminal y la red: Mútuo como en UMTS entre UE y EPC (Envolved Packet Core) Empleo de algoritmo AKA (como en GSM y UMTS) Protección de datos: Encriptación/cifrado sobre los planos de control y usuario Evita que la información la vea un tercero. Clave de encriptacíón de 128 bits con capacidad para 256 bits en un futuro. Integridad sobre el plano de control. Evita que la información sea manipulada o se le agreguen paquetes. 22

24 LTE 4G: Autenticación El EPC es básicamente el MME más los GWs de acceso. El UE está formado por: Terminal Equipment: Se encarga de la gestión de los protocolos de acceso del usuario Mobile Termination: Se encarga del acceso a la PLMN 23

25 LTE 4G: Autenticación La clave K para la autenticación mutua está almacenada en el AuC del HSS y en la USIM del UE Con K se obtiene en USIM y AuC: IK para integridad CK para cifrado KASME ASME (Access Security Manag. Entity) A partir de la obtención de KASME Se calculan las claves y checksum que son enviados al MME. El MME envía uno de esos checksums junto con una de las claves al UE. El USIM calcula el resto de claves y checksums. 24

26 02 AMENAZAS Las grandes amenazas 25

27 Espionaje y filtración de información 26

28 Espionaje y filtración de información 27

29 Sabotaje en la central de la moraleja Y sin red telefónica, las alarmas no funcionan: no pueden emitir el aviso a la centralita de seguridad. Algunos vecinos han optado por retrasar sus vacaciones No se conocen las causas que desencadenaron el fuego. «Lo único seguro es que el incendio fue provocado, ahora falta determinar si también fue intencionado», afirma Amparo Bru, portavoz de la concejalía de Barrio Urbanizaciones, además de vecina de La Moraleja. 28

30 Caída de toda la red de telefonía de Vodafone 29

31 Amenazas externas / Amenazas internas Seguridad en la gestión (Amenazas internas) Seguridad en redes y servicios. (Amenazas externas) 30

32 Resumen de amenazas sobre el operador Espionaje industrial sobre el propio operador. Caída de la Red de un operador de comunicaciones. Cortes de cables Sabotajes o destrucción de centros con infraestructuras claves. Aprovechamiento de vulnerabilidades de equipos claves. 31

33 Resumen de amenazas sobre el operador Espionaje de comunicaciones Localización de terminales Histórico de tráfico (Llamadas, SMSs enviados, Correos, etc) Interceptación de tráfico Espionaje en el terminal: Agenda, SMSs, Correos, etc. Ataques específicos a sistemas de comunicaciones de FFyCCSE 32

34 Resumen de amenazas sobre el operador 33

35 Resumen de amenazas sobre el operador 34

36 Escenarios de crisis: Youtube. 35

37 Afectaciones en la operadora 36

38 Gusano Stuxnet 37

39 Amenazas a través de Redes del Operador Caos financiero por problemas informáticos de EEFF, Bolsa o Hacienda Destrucción grandes BBDD Estatales (o de empresas privadas) Sabotajes en sistemas de control de infraestructuras: Centrales de producción de energía (Nucleares, Térmicas, etc) Control de abastecimiento de agua. Control de tráfico aéreo o de trenes. Control de semáforos en ciudades 38

40 ZitMo, variante del troyano ZeuS que ataca a móviles 39

41 03 AMENAZAS Las amenazas de pequeña escala 40

42 Definición de malware Malware Malware: Proviene de la unión malicious software. Se entiende por malware cualquier programa, documento o mensaje que puede resultar perjudicial para el uso de un ordenador. Ejemplos de malware son los virus, los gusanos, troyanos y backdoors, Spyware, Adware y Dialers 41

43 Tipo de malware según propagación Virus Virus: Malware que se añade a ejecutables legítimos que cuando son ejecutados se replica en nuevos ejecutables. Gusanos Gusanos: También se autoreplican pero se limitan a realizar copias de sí mismos mediante vulnerabilidades de red y sin utilizar otros ficheros. Principalmente se extienden a través del correo electrónico Troyanos Troyanos: Malware que llega al ordenador como un programa inofensivo y al ejecutarlo, instala un segundo programa, el troyano. 42

44 Tipo de malware según propósito. Virus Virus: Buscan replicarse en el máximo número de ejecutables posible degradando el funcionamiento del sistema. Spyware Spyware: recopilan información del usuario y la envían a centros de control para su uso posterior, todo ello sin conocimiento y consentimiento del usuario. Backdoors: Malware que establece una "puerta trasera" a través de la cual es posible controlar el ordenador afectado. Es el mecanismo para controlar los ordenadores zombis que pertenecen a una botnet. Una vez controlado se suele: Instalar nuevos componentes: Spyware, Envío de SPAM, Ataques DDoS, Servidores Warez, etc. Actualizar los existentes. 43

45 Troyanos bancarios 44

46 Fuga de información mediante troyanos El método utilizado ha consistido en la infiltración del sistema informático con una dirección de correo electrónico pirateada que permitía la entrada en un ordenador gracias a un documento adjunto que actuaba de troyano. 45

47 04 Legislación vigente 46

48 Legislación vigente Ley Orgániza de las Telecomunicaciones (LOT) Consideración como servicio de interés general y garantizar la liberalización del mercado de las telecomunicaciones Obligación de mantener el secreto de las comunicaciones Definición de conderaciones especiales para las telecomunicaciones desarrolladas en actividades esenciales para la defensa nacional. Ley Orgánica de la Protección de Datos (LOPD) Garantizar y proteger los derechos de las personas a través del tratamiento de sus datos personales Ley de Servicios de la Sociedad de la Información (LSSI) Regula las actividades económicas procedentes de comercios electrónicos y otros servicios de Internet. 47

49 05 Organización de la seguridad en Telefónica España 48

50 Introducción y conceptos de Seguridad Componentes de la Seguridad de la Información 15% Tecnología (Herramientas, Integración) Procesos 85% Personas Metodología 49

51 Programa de Gestión de la Seguridad Operacional Gobierno de la Seguridad riesgos Gestión del Riesgo incidentes Gestión de la Seguridad Operacional Employees Management Customers Businesses Gestión Vendors Functions de Incidentes Information Security STAKEHOLDERS Other Threat Event Information Analysis Correlation Security Vulnerability Physical Detection Legal Security Anti-Virus Other IT Help Desk Patch Management Escalation Privacy Operations and Crisis Incident Mgmt Global Network Response Team Audit Operations Countermeasures HR / ER Investigations Partners and Forensics Gestión Intrusion de Crisis Communications Citizens Law Enforcement Intelligence Sources Third-parties OTHER Incident Management Program Detection Program Administration and Analysis crisis Corporate Crisis Management Team IT and Information Security Management Teams 50

52 Organización y funciones SEGURIDAD TE Gobierno de la Seguridad y la Continuidad Oficina técnica de la Seguridad TOS Estrategia y Desarrollo tecnológico de la Seguridad Supervisión y Operación de la Seguridad Tecnologías de Seguridad Plataf Servicio Gestión Red Sistemas Eq Cliente 51

53 Protección contra amenazas internas Accesibilidad: Segmentación de Redes (VLANs, FWs, ) Comunicaciones seguras (uso de sftp, ssh, https, ) Control de accesos: Usuarios únicos Seguridad en el puesto de trabajo Registros de actividad Disponibilidad: Backups seguros Redundancia (HW, SW, comunicaciones y datos) 52

54 Soluciones Tecnológicas: Control de SMishing. Control de SMSs enviados a clientes Movistar desde redes internacionales. DETECCIÓN SPAM-SMS procedente de operadores periféricos. CONTENCIÓN filtrando tráfico fraudulento en la red de señalización SS7. INFORMACIÓN a empresas usuarias de SMSs. (Entidades Bancarias). CONTROL de los operadores internacionales más sospechosos. 53

55 Soluciones Tecnológicas: Control del malware Base de datos con IPs y líneas ADSL/BAM con actividad maliciosa. IDENTIFICACION de líneas con patrones sospechosos. Se utiliza en los centros de atención técnica cuando llama el cliente. SEGUIMIENTO de información en Listas de reputación. SEGUIMIENTO del malware de mayor impacto. CONTROL de epidemias entre los clientes. INFORMACIÓN clientes del estado de sus líneas en cuanto a malware 54

56 Servicio Antifraude y AntiPhishing Servicio para evitar la captura de credenciales y la manipulación de transacciones bancarias y/o comerciales. DETECCIÓN y BLOQUEO de acceso a sitios fraudulentos. DETECCIÓN y BLOQUEO de mensajes y correos fraudulentos. 55

57 Control de ataques de DDoS Servicio para mitigar ataques de denegación de servicio contra IPs de la red de Telefónica, tanto servicios propios como de clientes. IDENTIFICACIÓN del patrón del ataque. DESVÍO del tráfico al centro de mitigación. FILTRADO en función del patrón de ataque 56

58 Procesos de operación de seguridad 57

59 Security Operation Center (SOC) MON VUL AME EGI 58

60 SOC - MON MON VUL AME Recopilación de logs y almacenado en BBDD Actualizar patrones de detección, y firmas en las herramientas del área.. Motor de agregación, correlación y filtrado de eventos. Identificación de los falsos positivos dentro de las alarmas recibidas. Monitorización en tiempo real de las alarmas de seguridad. EGI Ejecución de procedimientos de resolución ante la aparición de alarmas. Escalado de alarmas para cuya resolución no se disponga de procedimiento. 59

61 SOC - AME MON VUL AME EGI Búsqueda de información de amenazas en foros y webs de seguridad. Revisión de listas de seguridad. Mantenimiento de los canales de comunicación con la industria de seguridad. Comunicar las amenazas más relvantes. Identificar las tecnologías afectadas y qué sistemas están expuestos. Asignar un nivel de riesgo. Si es crítico o alto, escalarlo al EGI. Validar que esas soluciones aplican y se pueden aplicar a TME Cuadros de mando sobre amenazas en diversas ámbitos de la compañía. Control de epidemias 60

62 SOC - VUL MON VUL AME EGI Configurar y ejecutar revisiones periódicas de sistemas, equipos y app. Revisar nuevas firmas de escaneos en base a nuevas amenazas. Mantener la lista de sistemas a revisar. Generar informe de resultados y revisar resultados en busca de falsos positivos, datos relevantes, Buscar el parche de vendedor u otras posibles soluciones a la amenaza en foros. Corrección y seguimiento del estado de las vulnerabilidades Generación de informes 61

63 SOC - EGI MON VUL AME EGI Determinación de impacto y eventualmente en la probabilidad de ocurrencia. Identificación de los responsables del servicio afectado. Coordinación de la respuesta inicial. Desarrollo y ejecución un plan de contención para minimizar el impacto del AVI en la organización. Desarrollo y ejecución de un plan de solución. Desarrollo y ejecución de un plan de mejora. 62

64 Value Drivers Level Customer Satisfaction Employees Financial Brand/ Rep Regulatory Compliance High WW Product issue or Business Impact Med Region with high public exposur e > 48 hrs > 6% Global Emp loyee 8 48 hrs 2% - 4% Impact Region with high public expos-ure Loss of lif e Cost > $10m >$20 m > 7 days Global Media $1m to $10m $2-20m Coverage 3-7 days National/ Local Media Coverage Low Region < 8 hrs < 2% Region < $1m <$2m < 3 Days No Media Coverage Criminal or civil liability for executives (i.e., Sar banes-oxley) Potential noncom plianc e may res ult in criminal or civil liability for executives (i.e., Sar banes-oxley) SOP to bring organization into com plianc e has not been defined Va lu e and/or followed. D riv ers Mana gement Le vel Cus to me r Satisfac tio n Emplo yee s Fina ncial B ran d/ R ep # of C ust omers i mpact ed Pri vacy Breech or C ompromi se o f C ust Info Prod uct or B usin ess Issue Hig h W W P ro du ct issue o r Busine ss Impa ct M ed Regio n with high pu blic ex posu re C ust omer S yst ems Out age - Du ra ti on TC E Vari ance or Pt s at Ri sk Th reat T o Emp lo yee Sat i sfacti on > 48 hrs > 6% Glo bal Emp loyee Impact 8 48 h rs 2% - Region 4% with h ig h pub lic exp os-ure Emp lo yee Safet y Loss of life C ost Management Rev enu e Reportin g Delay Impact o n the Bra nd/rep > $10 m > $2 0 m > 7 day s Global # of Customers impacted Privacy Breech or Compromise of Cust Info Product or Business Is sue Customer Systems Outage - Duration TCE Variance or Pt s at Risk Threat To Employee Satisfaction Employee Safety $ 1m to $ 2- $ 10m 2 0m Med ia Cove ra ge 3-7 day s National/ Local Med ia Cove ra ge Le gislative/ Regulatory R egu l at ory C o mpl i an ce Revenue Reporting Delay Impact on the Brand/Rep Legis lative/ Regulatory Cri mi na l o rc ivi l l i ab il ity fo r e xe cu ti ve s (i.e., Sa rba ne s-oxl ey ) Po te nti al no n- c omp l ia nc e ma y re su lt in crim in al o r civ il li ab i li ty fo r e xe cu ti ve s (i.e., Sa rba ne s-oxl ey ) Low Regio n < 8 hrs < 2% Region < $1m < $2 m < 3 Days No Med ia SOP to bri ng Cove ra ge o rga ni za ti o n in to c omp l ia nc e ha s n ot be en de fi n ed a nd /or fol lo wed. Va lu e D riv ers Mana gement Le vel Cus to me r S atisfac tio n Emplo yee s F ina ncial Bran d/ Rep Regu latory Co mplian ce # of Customers impacted Privacy Breech or Compromise o f Cust Info Prod uct or Busin ess Issue Hig h W W P ro du ct issue o r Busine ss Impa ct M ed Regio n with high pu blic ex posu re Customer Systems Outage - Du ra tion TCE Variance or Pt s at Risk Th reatto Emp lo yee Satisfaction > 48 hrs > 6% Glo bal Emp loyee Impact 8 48 h rs 2% - Region 4% with h ig h pub lic exp os-ure Emp lo yee Safety Loss of life Cost Rev enu e Reportin g Delay Impact o n the Bra nd/rep > $10 m > $2 0 m > 7 day s Global $ 1m to $ 2- $ 10m 2 0m Med ia Cove ra ge 3-7 day s National/ Local Med ia Cove ra ge Le gislative/ Regulatory Cri mi na l o rc ivi l l i ab il ity fo r e xe cu ti ve s (i.e., Sa rba ne s-oxl ey ) Po te nti al no n- c omp l ia nc e ma y re su lt in crim in al o r civ il li ab i li ty fo r e xe cu ti ve s (i.e., Sa rba ne s-oxl ey ) Low Regio n < 8 hrs < 2% Region < $1m < $2 m < 3 Days No Med ia SOP to bri ng Cove ra ge o rga ni za ti o n in to c omp l ia nc e ha s n ot be en de fi n ed a nd /or fol lo wed. Definición de interrelaciones 63

65 Value Drivers Level Customer Satisfaction Employees Financial Brand/ Rep Regulatory Compliance High WW Product issue or Business Impact > 48 hrs > 6% Global Employee Impact Loss of life Cost > $10m >$20 m > 7 days Global Media Coverage Criminal or civil liability for executives (i.e., Sarbanes-Oxley) Med Region % - Region $1m to $2-3-7 days National/ Potential noncompliance with high hrs 4% with high $10m 20m Local may public exposure public expos-ure Media Coverage Low Region < 8 hrs < 2% Region < $1m <$2m < 3 Days No Media Coverage result in criminal or civil liability for executives (i.e., Sarbanes-Oxley) SOP to bring organization into compliance has not been defined and/or followed. Definición de interrelaciones Ejemplo de propagación de gusanos en redes internas Se recopilan los logs de los sistemas de Benito S.A. Se agregan los logs, y se correlan con la información de las amenazas. Monitorización Correlación MON recibe alarmas notificando la existencia del patrón de tráfico peligroso. Como no tiene procedimiento y no entiende el tipo de ataque, abre una incidencia Filtro Generación alarmas INT genera firmas de detección de tráfico anómalo en la red de Benito S.A. Los IDS detectan patrones de tráfico anómalos, generando eventos que se redirigen automáticamente a MON 1.0 Recopilación y tratamiento de eventos Agregación Se evalúa el impacto sobre los sistemas vulnerables 6.0 (Impacto Alto) Diseño y mantenimiento de los mecanismos de filtro y correlación Management # of Customers impacted 2.0 Monitorización y evaluación de alarmas Privacy Breech or Compromise of Cust Info Product or Business Issue Customer Systems Outage - Duration TCE Variance or Pt s at Risk Threat To Em ployee Satisfaction Em ployee Safety Revenue Reporting Delay Impact on the Brand/Rep Legislative/ Regulatory 3.0 Escalar Detección y respuesta a intrusiones 1.0 Diseño y actualización de patrones Escalado y Gestión sistemas windows de Crisis 5.0 Comunicaciones Se informa a otros grupos de la necesidad de parchear los vulnerables 1.0 Detectar Detección de Vulnerabilidades Se solicita un escaneo de vulnerabilidades 2.0 INT determina a medida que se para trata de un Escaneo gusano, que no verificar se puede la aislar el extraordinario de tráfico y que remediación el AME sólo actualiza puede la alerta detectar un patrón de tráfico, pero vulnerabilidades (Outof-band) correspondiente con que puede confundirse con tráfico información sobre la resolución legítimo. Se mantiene informada a la Dirección y alerta a todos los responsables involucrados Incidente cerrado Grupos de soporte,, etc. Se actualiza la BBDD de incidentes y el KM 5.0 Cerrar 64 EGI y INT determinan que puede crearse un filtro de correlación en Se comunica el cierre MON que en base a una regla que EGI a AME para que evalue EGI tráfico abre conjunto de un Firewall actualice las alertas, EGI escala El EGI el clasifica incidente con ticket su evento a MON asegura un 100% de el incidente en así ccmo a Escalado para función llevar a de cabo su una fiabilidad para que en cree la detección. la Además, impacto (en este y Gestión de Crisis comunicación caso alto adecuada se revisan regla las alertas de seguridad y por poder afectar a (se cierra la crisis), a sistemas la dirección, de producción sin la correspondiente Base de datos de vulnerabilidades críticos), grupos de soporte, necesidad identifica movilizar y se determina la necesidad de a los responsables de etc. recursos los sistemas extraordinarios aplicar un parche a los sistemas afectados, revisa las vulnerables EGI abre un ticket a alertas de seguridad y considera INT, para que aisle que una mala gestión puede el patrón de tráfico y provocar un incidente grave cree una regla para detectar su existencia 4.0 Remediar 3.0 Contener 2.0 Determinar El EGI lo recibe, se cerciora de que es de su competencia, guarda el informe en la BBDD de incidentes y confirma la disponibilidad de toda la información necesaria 1.0 Descubrir

66 06 Localización e Intercepción Legal 65

67 Localización En servicios de telefonía fija, la línea determina su situación. En servicios de telefonía móvil, el punto de cobertura indica la situación: precisión Zona Rural Zona Urbana 66

68 Arquitectura de la Intercepción Legal BRAS IIF MSC IIF Interfaces utilizados: HI HI HI HI1: Para gestión de las comunicaciones con el LEA HI2: Registros IRI Señalización, control, localización,... del interceptado HI3: Registros CC Contenido de las comunicaciones SGSN GGSN IIF IIF Red del Operador 67 HI1 HI2 HI3 Mediation Function La información se manda al LEA mediante protocolos estandar La información es codificada antes de ser enviada La información enviada se encuentra definida en los estandares IRI tiene cuatro tipos de eventos: IRI-BEGIN: Activación de contexto IRI-END: Desactivación de contexto IRI-CONTINUE: Modificación de contexto IRI-REPORT: Attach, Detach, Activación contexto fallida IRI y CC pueden ser correlados en destino LEA Referencia: 3GPP TS V ( )

69 El proceso de Intercepción Legal Mediation Function Núcleo de la Red donde interceptar Referencia: 3GPP TS V ( ) 68

70 Donde estamos Cualquier avance de ayer es viejo hoy Cualquier avance de mañana enseguida se hace presente 69 69

71 70