CENTRO CRIPTOLOGICO NACIONAL CIBERSEGURIDAD. UNA PRIORIDAD NACIONAL SIN CLASIFICAR

Transcripción

1 CENTRO CRIPTOLOGICO NACIONAL CIBERSEGURIDAD. UNA PRIORIDAD NACIONAL Madrid, enero de 2013

2 Conceptos COMPUSEC / NETSEC / TRANSEC AMENAZAS NATURALES INFOSEC AMENAZAS INTENCIONADAS Hacker / Virus / Gusanos carácter destructivo INFORMATION ASSURANCE AMENAZAS INTENCIONADAS (Operaciones de información) Usuarios internos Cibercrimen PROTECCIÓN INFRAESTRUCTURAS CRÍTICAS Servicios críticos soportados sistemas de información 80% Sector privado CIBERTERRORISMO CIBERDEFENSA / CIBERSEGURIDAD CIBERESPIONAJE. Atribución a los gobiernos / empresas. 2

3 Índice Centro Criptológico Nacional / CCN-CERT - Marco Legal / Funciones CIBERSEGURIDAD - Agentes / Coste ciberespionaje - APT - Infraestructuras Críticas Estrategia Española de CIBERSEGURIDAD - Situación actual. - Deficiencias - Objetivos / Líneas de acción - LA 1 / LA 2 3

4 Marco Legal El CCN actúa según el siguiente marco legal: Ley 11/2002, 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI), que incluye al Centro Criptológico Nacional (CCN). Real Decreto 421/2004, 12 de marzo, que regula y define el ámbito y funciones del CCN. Orden Ministerio Presidencia PRE/2740/2007, de 19 de septiembre, que regula el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica 4

5 CCN-CERT. MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a las Administraciones Públicas y a las empresas estratégicas, y afrontar de forma activa las nuevas ciberamenazas. COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de la Administración y de empresas pertenecientes a sectores designados como estratégicos. HITOS RELEVANTES 2006 Creación 2007 Recon. internacional 2008 EGC 2009 Sondas SARA 2010 Sondas INTERNET RD 3/ CARMEN / Distribución reglas 5

6 RD 3/2010 Esquema Nacional de Seguridad --- CCN-CERT Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas. 1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes servicios: a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas. El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados. b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional- Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración. c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes. d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias. 2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.

7 SISTEMAS ALERTA TEMPRANA RED SARA: - Servicio para la Intranet Administrativa - Coordinado con MINHAP. - 49/58 áreas de conexión SONDAS SALIDAS DE INTERNET AAPP: - Servicio por suscripción de los Organismos. - Despliegue de Sensores. - 38/42 sondas. Previstas SISTEMA CARMEN - Análisis LOG,s en el perímetro (Proxy.) - Búsqueda anomalías de tráfico - Fase piloto: 5 sondas

8 CLASIFICACIÓN DE LOS INCIDENTES CRÍTICOS APT con exfiltración información DoS Distribuido MUY ALTO Ataques Dirigidos DoS Código dañino específico BAJO / MEDIO / ALTO Mayoría Incidentes Ataques externos sin consecuencias Código dañino genérico Guía CCN-STIC-817 Criterios Comunes y Gestión de Incidentes

9 Estadísticas incidentes

10 Estadísticas incidentes / CRITICIDAD Criticidad de los Incidentes bajo medio alto muy alto 8 crítico

11 AGENTES DE LA AMENAZA COSTE DEL CIBERESPIONAJE 11

12 Definiciones. Agentes de la amenaza CIBERSEGURIDAD La habilidad de proteger y defender las redes o sistemas de los ciberataques. Estos según su motivación pueden ser: CIBERESPIONAJE Ciberataques realizados para obtener secretos de estado, propiedad industrial, propiedad intelectual, información comercial sensible o datos de carácter personal. CIBERDELITO / CIBERCRIMEN Actividad que emplea las redes y sistemas como medio, objetivo o lugar del delito. HACKTIVISMO Activismo digital antisocial. Sus practicantes persiguen el control de redes o sistemas (sitios web) para promover su causa o defender su posicionamiento político o social. CIBERTERRORISMO Actividades dirigidas a causar pánico o catástrofes realizadas en las redes y sistemas o utilizando éstas como medio. CIBERCONFLICTO / CIBERGUERRA CIBERATAQUE Uso de redes y comunicaciones para acceder a información y servicios sin autorización con el ánimo de robar, abusar o destruir. 12

13 Ciberamenazas. Agentes Hackers 1. Ciberespionaje / Robo propiedad intelectual Objetivo: Administraciones públicas / Empresas estratégicas China, Rusia, Irán, otros Servicios de Inteligencia / Fuerzas Armadas / Otras empresas 2. Ciberdelito / cibercrimen Objetivo: Robo información de tarjetas de crédito / Fraude Telemático / Blanqueo de dinero HACKERS y crimen organizado 3. Ciberactivismo Objetivo: Ataques a servicios webs / Robo y publicación de datos e información sensible o de carácter personal. ANONYMOUS y otros grupos 4. Uso de INTERNET por terroristas / Ciberterrorismo Objetivo : Comunicaciones, obtención de información, propaganda o financiación // Ataque a Infraestructuras críticas ETA, organizaciones de apoyo y Grupos Yihaidistas 13

14 Definición APT / Ataques Dirigidos - Ataque Dirigido Ciber Ataque a medida contra un objetivo concreto (organización, empresa, red, sistema) - Threat El atacante tiene la intención y capacidades para ganar acceso a información sensible almacenada electrónicamente - Persistent Una vez infectado, se mantiene el acceso a la red/sistema durante un largo periodo de tiempo Díficil de eliminar - Advanced Habilidad de evitar la detección Adaptabilidad al objetivo Disponibilidad de recursos (tecnológicos, económicos, humanos)

15 INTRUSIÓN GENÉRICA Power: Controladores de dominio 1. Objetivos en masa / dirigidos 2. Usuarios con altos privilegios son el principal objetivo Data: Servidores Aplicaciones Access: Usuarios Equipos 3. Buscan credenciales de lo que sea 4. Búsqueda de credenciales cacheadas, cuentas de acceso a dominio, correo electrónico, etc.. 5. Si logran acceder a toda la red, la empresa está perdida

16 TIEMPOS DE RESPUESTA EN UN APT 16

17 Ataques esponsorizados por estados Mas de empleados en la fábrica Se actúa sobre objetivos diarios por atacante Mejora en la producción : hasta 60 tipos de herramientas diferentes Alta especialización : por industrias y geografías En proceso continuo de mejora : 50 universidades haciendo I+D+i

18 Coste CIBERESPIONAJE. UK M Ciudadanos M Empresas M Gobierno M 18

19 Defensa ante APT,s Trabajar como si se estuviera infectado / comprometido. Equipos de seguridad permanentes Configuraciones de seguridad. Reducción de privilegios. Políticas de seguridad más estrictas. Mayor vigilancia de red / logs equipos / Sistemas de gestión de eventos Aproximación Indicadores de Compromiso (IOC) Búsqueda de anomalías Necesidad de controlar: Trafico de red / Usuarios remotos / Contraseñas Administración

20 Sectores que reciben más ataques en ESPAÑA Energético Administración Industria Nuclear Energético Aeroespacial Espacio Financiero Hídrico Alimentación Transportes Sanidad Industria Química Instalaciones de Investigación Tecnologías de la Información Administración Defensa Farmacéutico Minería Financiero Marítimo Química Ingeniería Comunicaciones Derechos Humanos Infraestructuras Críticas Sectores Estratégicos

21 ESTRATEGIA ESPAÑOLA DE CIBERSEGURIDAD 21

22 Respuesta a incidentes. COORDINACIÓN Fuerzas y Cuerpos de Seguridad OTROS MINISTERIOS / CCAA / AYUNTAMIENTOS 22

23 Situación Ciberseguridad ESPAÑA. Deficiencias 1. Existencia de duplicidades y sistemas que pueden llegar a depender de diversos organismos. 2. Ausencia de un elemento coordinador en ciberseguridad que integre a todos los actores y permita al gobierno conocer la situación nacional en este campo. 3. Insuficiencia de recursos humanos, técnicos y económicos, en los diferentes organismos con competencias en ciberseguridad. 4. Escaso despliegue de mecanismos de defensa en las AA.PP., e insuficiente gestión de infraestructuras comunes. 5. Reducida comunicación entre organismos del sector público y privado. Ausencia de procedimientos y sistemas que permitan un intercambio seguro de información útil y oportuna para implicar al sector privado. 6. Ausencia de un conjunto integrado de medidas de aplicación a los sectores afectados en materia de ciberseguridad que permita la aplicación de la normativa de Protección de Infraestructuras Criticas. 7. Escasez de recursos destinados a las capacidades de prevención y respuesta a las actividades del terrorismo y la delincuencia en el ciberespacio.. 8. // 23

24 CÓMO CONTACTAR: - ccn@cni.es Gracias - INCIDENTES incidentes@ccn-cert.cni.es - SISTEMAS ALERTA TEMPRANA sondas@ccn-cert.cni.es redsara@ccn-cert.cni.es carmen@ccn-cert.cni.es - GENERAL info@ccn-cert.cni.es ens@ccn-cert.cni.es