Herramientas de Seguridad, Defensa y Gestión de Incidentes Centro Criptológico Nacional C/Argentona 20, MADRID

Transcripción

1 Herramientas de Seguridad, Defensa y Gestión de Incidentes 2016 Centro Criptológico Nacional C/Argentona 20, MADRID

2 Centro Criptológico Nacional Ley 11/2002 reguladora del Centro Nacional de Inteligencia. Real Decreto 421/2004, 12 de Marzo, que regula y define el ámbito y funciones del CCN. Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para la Administración Electrónica, modificado por el RD 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, las tecnologías de la información y experiencia de implantación. Establece al CCN-CERT como CERT Gubernamental/Nacional competente HISTORIA 2006 Constitución en el seno del CCN 2007 Reconocimiento internacional 2008 Sistema Alerta Temprana SAT SARA 2009 EGC (CERT Gubernamentales Europeos) 2010 ENS y SAT Internet 2011 Acuerdos con CCAA 2012 CARMEN 2013 Relación con empresas 2014 LUCIA e INES 2015 Ampliación SAT Internet 2016 REYES / MARTA / ROCIO 2017 SAT ICS MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente al Sector Público a afrontar de forma activa las nuevas ciberamenazas. COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas del Sector Público y de empresas y organizaciones de sectores estratégicos para el país en coordinación con el CNPIC.

3 Centro Criptológico Nacional

4 Esquema Nacional de Seguridad Los Principios básicos, que sirven de guía. 2. Los Requisitos mínimos, de obligado cumplimiento. 3. La Categorización de los sistemas para la adopción de medidas de seguridad proporcionadas. 4. La auditoría de la seguridad que verifique el cumplimiento del ENS. 5. La respuesta a incidentes de seguridad. Papel del CCN- CERT. 6. El uso de productos certificados. Papel del Organismo de Certificación (CCN). 7. La formación y concienciación. 75

5 Ciberamenaza Ciberataques/Administraciones Públicas o o o La ciberamenaza es una de las amenazas más importantes del siglo XXI. La tecnología forma parte ya de nuestras vidas, la ciberseguridad va irremediablemente unida a ella. No se es consciente de hasta qué punto el día a día de los ciudadanos depende de un adecuado nivel de ciberseguridad Los dos retos más importantes con relación a la ciberseguridad son: La complejidad y sofisticación de los ciberataques La falta de formación y concienciación en profesionales y directivos El Sector Público es objetivo de primera línea de los ciberataques. Ya no se trata sólo de empleados descontentos, hackers, ciberdelincuentes o grupos criminales, también los Estados. La nueva Guerra Fría entre naciones, hacktivistas y grupos independientes con sus propios intereses en la red.

6 Incidentes bajo medio alto muy alto crítico

7 Ciberamenaza. Agentes

8 Ciberamenaza. Insuficiente Protección - Falta de concienciación (Éxito de la Ingeniería Social) Infecciones rápidas y masivas - Existencia de vulnerabilidades día cero - Sistemas de Seguridad Reactivos No se quieren falsos positivos Actualizaciones lentas o sin ejecutar en algunas tecnologías - Poco personal dedicado a seguridad Escasa vigilancia (solo el perímetro) Fácil progresión por las redes internas de las organizaciones - Mayor superficie de exposición: redes sociales, BYOD, telefonía móvil y servicios en la nube - Organizaciones poco proclives a comunicar incidentes - La atribución es MUY DIFÍCIL.

9 Ciberamenaza. APT CICLO Evolución DE VIDA Técnicas DE UN APT Exfiltrar datos Ocultar trazas y permanecer oculto Definir objetivo Desarrollar o adquirir herramientas Asegurar persistencia Investigación de la infraestructura / empleados del objetivo Expandir el acceso y obtención de credenciales Test para detección 1. Infraestructura 2. Malware 3. Vector de Infección 4. Comunicaciones 5. Colonización/Persistencia Conexión salida establecida Intrusión inicial Desarrollo

10 Ciberamenaza. APT Características Generales Estados/Industrias/Empresas. Ataques Dirigidos (APT). Dificultad de atribución. Contra los Sectores Privado y Público. Ventajas políticas, económicas, sociales Rusia China Utilización de herramientas diseñadas específicamente contra el objetivo Conocimiento técnico muy elevado Evitar atribución Esfuerzo HUMINT AA.PP. Interés en Propiedad intelectual (asegurar crecimiento económico) Aeroespacial/Energía/Defensa/Farmacéutico/Químico/Financiero/ TIC/Transporte Uso de herramientas comerciales Diferentes grupos con nivel técnico diverso Otros países?

11 Ciberamenaza. APT Otros actores con grandes capacidades Estados Unidos Reino Unido Canadá Francia Australia Alemania Países Bajos Otros actores adquiriendo grandes capacidades Marruecos Irán Corea del Norte Pakistán India Colombia Venezuela Reconocimiento Código Dañino Entreg a Explotación Instalació n Mando y Control Acción sobre el objetivo

12 Ciberamenaza. Casos Ejemplo RUSIA SNAKE APT 28 SOFACY APT 29 COZYDUKE BLACKENERGY CHINA APT 3 GHOTIC PANDA APT 25 VIXEN PANDA K3CHANG APT 27 EMISSARY PANDA

13 Ciberamenaza Origen Rusia Herramientas y tácticas diseñadas específicamente contra el objetivo y permanentemente actualizadas. Conocimiento técnico muy elevado. Especial incidencia en Entidades Gubernamentales y AA. PP. de los países atacados. Actividades de naturaleza SECRETA y con importante esfuerzo HUMINT. Caracterizado por evitar la detección y la subsiguiente atribución. Complejidad técnica mediante mecanismos de ocultación de su actividad (exfiltración información y movimientos laterales). Snake/Uroburos/Turla Red October Duke/APT-29 Sofacy/APT-28 Black Energy

14 Ciberamenaza Origen China APT-1 (Unit 61398) APT-3/Gothic Panda APT-15/Ke3Chang APT-27/Emissary Panda

15 Hacktivismo y Ciberyihadismo Tendencias. Ciberyihadismo Desde el comienzo de siglo no se ha observado que grupos anarquistas, antisistema o de cualquier otra militancia sobre el terreno hayan desarrollado sus propias capacidades ciberarmadas. No obstante, es probable que sea cuestión de tiempo más a largo plazo que a corto que emerjan grupos antisistema organizados sobre el terreno y con sus propias capacidades de ciberataque desarrolladas y puestas al servicio de la causa como un tipo de ciberterrorismo de bajo perfil. A corto y medio plazo, el ciberyihadismo se mantendrá limitado al espectro del hacktivismo ciberyihadista o proyihadista, principalmente dedicado a la propaganda y a la presencia de identidades en redes sociales, así como restringido en su potencial de amenaza cibernética a ataques de baja ejecución técnica contra objetivos de bajo perfil.

16 Seguridad Física / Ciberseguridad Invertir en CIBERSEGURIDAD al menos una cantidad equivalente que en SEGURIDAD FÍSICA.

17 Como hacer posible la Ciberseguridad La Ciberseguridad necesita Políticas y Procedimientos. Incorporar este aspecto a los procesos de decisión. Tecnología Certificada. Que soporte procesos de calidad del SW, empleo de técnicas de desarrollo seguro sometidas a auditorías externas Implementación Verificada. En cada una de las fases de diseño/desarrollo/implementación/mantenimiento de cualquier sistema Personal experto dedicado. Capacidad de inspeccionar y auditar los sistemas de acuerdo a los requisitos establecidos. Usuarios motivados y concienciados. Capacidades de Detección y Vigilancia. Actuación proactiva buscando a posibles atacantes. Comunidad. Capacidad de intercambio de información casi en tiempo real.

18 Ciberseguridad

19 Ciberseguridad Herramientas Ciberseguridad DETECCIÓN ANÁLISIS AUDITORÍA INTERCAMBIO SONDA AGE

20 Prevención Prevención La Prevención abarca todas las actividades de: Concienciación Formación Elaboración de políticas, procedimientos y requisitos de seguridad Desarrollo, evaluación y certificación de la seguridad de productos y sistemas Implementación de medidas técnicas, configuraciones y arquitecturas de seguridad Valoración, inspección, acreditación y auditoría de la seguridad

21 Prevención Usuarios registrados por origen 2% 5% 12% % 67% Usuarios Portal CCN-CERT

22 Prevención Concienciación y Formación Objetivos 2017: 1 2 Aumentar la oferta de formación a distancia para EELL y CCAA Cursos específicos para mejorar eficiencias de los responsables de seguridad XIII Curso STIC XI Curso Básico STIC Infraestructura Red IX Curso STIC Búsqueda Evidencias VIII Curso STIC Seguridad App Web XI Curso STIC Inspecciones Seguridad XIII Curso STIC Acreditación Windows XI Curso Básico STIC BBDD XXVII Curso Especialidades Criptológicas I Curso STIC Gestión Incidentes XIII Curso Gestión STIC XII Curso STIC Detección Intrusos (IDS) XI Curso STIC Seg. Redes Inalámbricas VII Curso STIC Herramienta PILAR V Curso STIC Dispositivos Móviles II Curso STIC Gestión Incidentes Curso STIC Ad Hoc para la DGP Curso STIC Ad Hoc para el ET Curso STIC Ad Hoc México 3 Curso CEC Ad Hoc Perú Curso online Ad Hoc Windows Armada Curso Acreditación Empresas (ONS) Sesión teleformación INES 4 Sesión teleformación ENS 5 Más formación ON LINE (Acuerdos Universidades) Actualización del curso del Esquema Nacional de Seguridad y del curso básico STIC de Seguridad en entornos Linux (online) I Curso Avanzado Gestión Incidentes de Ciberseguridad

23 Prevención Elaboración de Guías e Informes 269 Guías 366 Documentos 117 Informes de Amenazas (IA) (30) Informes de Código Dañino (ID) (27) Informes Técnicos (IT) (56) Buenas Prácticas (BP) (4) nuevas guías 5 actualizadas nuevas guías 12 actualizadas Guía CCN- STIC 461 Guía CCN- STIC 462 Guía CCN-STIC 001 Guía CCN-STIC 101 Guía CCN- STIC 599 Guía CCN- STIC 899 Guía CCN- STIC 830 Guía CCN- STIC 845

24 Prevención Evaluación y Certificación del ámbito STIC

25 Prevención Herramientas de Auditoría Versión 6.2 MicroPILAR Protección Datos MicroPILAR Infraestructuras Críticas Integración con INES Integración con CLARA Integración con ROCIO Apoyo a Documentación Seguridad Sistemas Clasificados Modelo distribuido Análisis de MS Windows 10 Valoración continua del nivel de seguridad de los sistemas Aplicación de las CCN-STIC Apoyo a la configuración de Seguridad Sistemas Clasificados Análisis equipos comunicaciones Conexiones Firmware y sistema operativo Configuración Apoyo a la configuración de Seguridad Sistemas Clasificados

26 Prevención Herramientas de Auditoría Kibana Logstash ElasticSearch Recopilación centralizada de registros en todas las plataformas orientada a cumplimiento de ENS/STIC Minería de registros Inventario de software Cuadros de mando para nivel de cumplimiento Alertas: anomalías, discrepancias, eventos predefinidos

27 Detección Detección La Detección abarca todas las actividades de: Despliegue de detectores y sistemas de alerta Recolección de logs, monitorización de tráfico y vigilancia de la red Análisis de malware, ingeniería inversa y análisis forense Caracterización técnica de la amenaza y elaboración de inteligencia técnica sobre la misma

28 Detección Sistemas de Alerta Temprana Servicio por suscripción Despliegue de sondas. 109 Organismos 130 sondas + 90 millones eventos incidentes Servicio para la Intranet Administrativa Coordinado con MINHFP-SEFP-SGAD 50/54 Áreas de Conexión 70 Millones de eventos/mes Incidentes/año Mejoras 2016: Portal de informes Análisis de Vulnerabilidades Mejoras HW Memoria IDS Mejoras en la correlación Organismos Sondas

29 Detección Sistemas de Alerta Temprana AGE CCAA EELL Universidades 53 organismos 65 sondas usuarios 13 organismos 15 sondas usuarios 14 organismos 15 sondas usuarios 10 organismos 10 sondas usuarios V V2.0 Multinivel 30 sensores desplegados Nuevo motor de correlación Nuevas fuentes de información SECTOR PÚBLICO 18 EMPRESAS ESTRATEGICAS

30 Detección Sistemas de Alerta Temprana Sonda AGE 20 Gb / seg 20 Gb / seg Despliegue de dos sondas en los dos puntos de agregación (Verint) Sondas en Tecnoalcalá (Telefónica) y en el CPD del MEYSS. Envío de eventos al Sistema Central del SAT de Internet. Servicio a organismos que no están en el SAT actualmente.

31 Detección Sistemas de Alerta Temprana Sistemas Control Industrial 1. Mínima intrusión en el sistema monitorizado. La concepción es la de un sistema de alerta, sin bloquear en ningún caso ni restringir la operación del mismo. 2. Detección de acciones anómalas contra los procesos industriales basadas en el análisis del contexto. 3. Disectores específicos de protocolos industriales y motor de correlación local. EthernetIP (ya desarrollado y probado) S7Com (Siemens) FINS (Omron) Modbus TCP (Estándar) SECTOR PÚBLICO

32 Detección Sistemas de Alerta Temprana CARMEN Permite el estudio estadístico / basado en conocimiento del tráfico: HTTP DNS SMTP NetBIOS Puede capturar tráfico en vivo, analizar logs de proxy o cargar tráfico a partir de pcaps. 45 incidentes de criticidad > alto en appliances desplegados 9 appliances en proceso de despliegue Adquisición Certificados HTTPS Integración Bot Killer Cookies HTTP Investigaciones Informe de investigaciones Mejoras en el interfaz Mejora en la gestión Ene Feb Mar Abr de listas en eventos May Jun Jul Ago Sep Oct Nov Dic Interoperabilidad Integración con LUCIA Integración con REYES Integración con emas Investigaciones Múltiples investigaciones abiertas Mejoras en el interfaz Agrupación por Referer Previsto: 30/12/16 Puesto de usuario Windows Carmen Agent

33 Detección ANÁLISIS FORENSE Recuperación de información como Perito Judicial Análisis de registros de auditorías de diferentes dispositivos: Firewall / Detectores de intrusos / Registros Proxies / Resoluciones DNS Registros de estaciones trabajo / servidores Análisis e interpretación de tráfico entre equipos / sistemas. Búsqueda de evidencias ante fugas de información clasificada / sensible INGENIERÍA INVERSA Desensamblado de código Análisis estático / dinámico Interpretación de funcionalidades AUDITORÍAS WEB Bajo Demanda

34 Ciberseguridad. Intercambio Información INTERCAMBIAR = CONFIANZA

35 Ciberseguridad. Intercambio Información Intercambio y Conocimiento de la Amenaza

36 Ciberseguridad. Intercambio Información Intercambio y Conocimiento de la Amenaza APLICACIÓN DE TICKETING LUCIA APLICACIÓN DE TICKETING PROPIETARIA O SONDA SAT-INET/SAT-SARA O SONDA SAT-INET/SAT-SARA REST SOAP Wrapper REST SOAP Wrapper Incidentes de Seguridad - Tráfico unidireccional (Sólo información de metadatos del ticket) Incidentes de Seguridad - Tráfico bidireccional (Información completa del ticket del SAT) CCN-CERT REST REST Componente de Mensajería Segura Componente de Sincronización H T T P S Administradores CCN-CERT Operadores CCN-CERT 15 Organismos federados 7 Organismos federándose + 90 LUCIA central OBLIGACIÓN DE NOTIFICAR: RD 3/2010 que regula el Esquema Nacional de Seguridad (ENS) Ley 8/ RD 704/2011 Protección de las Infraestructuras Críticas (Instrucciones de la SES para IC). Reglamento (UE) 2016/679 de Tratamiento y libre circulación datos personales. DIRECTIVA (UE) 2016/1148 de (NIS). Servicios Esenciales (Seguridad Redes y sistemas)

37 Ciberseguridad. Intercambio Información Intercambio y Conocimiento de la Amenaza INFORMES DE INTELIGENCIA Servicios Inteligencia SIGINT informes sobre APT eventos atributos Elaboración Capacidades Forenses e Ingeniería Inversa Federación Feeds Eventos Clasificados APTs Ransomware 330 Botnet 46 CERT-EU

38 Servicios en la Nube Servicios a través de red Los servicios en la nube consisten en la disposición de software, plataformas o infraestructuras por parte de un proveedor Cloud Service Provider (CSP) o por parte de la propia entidad, accesibles en red, con independencia de donde se encuentren alojados los sistemas de información y de forma transparente para el usuario final.

39 Servicios en la Nube Medidas de Seguridad La computación en nube se presenta cada vez más como como una alternativa más segura respecto a procesar y almacenar los datos localmente ya que actualmente los sistemas no están tan herméticamente cerrados (mayor superficie de exposición) como en el pasado: uso de servicios móviles, tendencia BYOD, intercambio de plataformas con clientes, etc. Seguridad Física y Lógica. Eficiencia Energética. Minimizar y Gestionar el Riesgo.

40 Ciberamenaza. Conclusiones CONCLUSIONES Incremento constante del número, sofisticación y complejidad de los ciberataques El ciberespionaje sobre el Sector Público y las empresas estratégicas es la amenaza más importante para los intereses nacionales y la seguridad nacional La dificultad de atribución es el factor que caracteriza esta amenaza en relación con otras. La amenaza procede tanto de países con intereses encontrados como de países amigos. Es preciso reforzar la capacidad de prevención y protección en todas las instancias del Estado (ciudadanos, empresas y sector público). Es preciso reforzar las capacidades de INTELIGENCIA para la identificación de atacantes, determinación de sus objetivos y difusión de Inteligencia al respecto.

41 Ciberseguridad. Decálogo 1. Aumentar la capacidad de Vigilancia. 2. Herramientas de Gestión Centralizada. 3. Política de seguridad. 4. Aplicar configuraciones de seguridad. 5. Empleo de productos confiables y certificados. 6. Concienciación de usuarios. 7. Compromiso de dirección (Aceptación Riesgo) 8. Legislación y Buenas Prácticas. 9. Intercambio de Información. 10.Trabajar como si se estuviera comprometido.

42 Muchas Gracias s Páginas web: