2016 Centro Criptológico Nacional C/Argentona 20, MADRID DEFENSA ANTE CIBERATAQUES Y CONTROL DE SEGURIDAD

Transcripción

1 2016 Centro Criptológico Nacional C/Argentona 20, MADRID DEFENSA ANTE CIBERATAQUES Y CONTROL DE SEGURIDAD

2 Ciberamenaza. Cambio de Paradigma Cambio de paradigma Hay que tener en cuenta el cambio de paradigma, de pasar del Doctor NO al paradigma de la resiliencia, de que el peso de la seguridad recaiga en medidas preventivas a la necesidad de aceptar un riesgo residual y a que cada vez tengan más peso las capacidades de monitorización y vigilancia junto a una respuesta eficaz.

3 Seguridad Física / Ciberseguridad Invertir en CIBERSEGURIDAD al menos una cantidad equivalente que en SEGURIDAD FÍSICA.

4 Ciberamenaza. Incidentes 2017 INCIDENTES bajo medio alto muy alto crítico

5 Ciberamenaza. Agentes

6 Ciberamenaza. Cibercrimen como servicio

7 Ciberamenaza. Cibercrimen como servicio Cibercrimen como servicio El Hacking Team fue comprometido (400 GB datos) permitiendo que se hicieran públicos exploits de día cero (sin parche de seguridad). The Shadow Brokers, la identidad digital que apareció por primera vez en el verano de 2016, publicó varias filtraciones que contenían herramientas de hacking supuestamente de la NSA (Equation Group), incluyendo varios exploits de día cero. La serie "Vault 7", se estrenó el con el capítulo "Year Zero. Es la filtración de datos de inteligencia más extensa hasta la fecha, superando a ShadowBrokers. Se revelan capacidades de ataque significativas, con múltiples herramientas disponibles para varias plataformas como Linux, Windows, Android, ios, macos,

8 Ciberamenaza. Ransomware El ransomware está contribuyendo a hacer la ciberamenaza real Familia/Versión Ransomware: Herramientas de descifrado:

9 Ciberamenaza. Casos de Estudio WannaCry y NotPetya como caso de estudio para futuros ciberataques

10 Ciberamenaza. Casos de Estudio GT Seguridad Vector de la infección? No ha sido identificado. Momento de las infecciones iniciales. Primeras infecciones (NHS y Telefónica) se informaron entre las 11:00 y 12:00 horas. Ejecución inicial y el dominio Killswitch. El instalador (killswitch no está disponible y se ejecuta) responsable de la propagación e infección de las máquinas. El instalador explota la vulnerabilidad SMB, identificando conexiones al puerto 445 (SMB) en direcciones IPv4 generadas al azar. Se crea también un mutex. "Global\MsWinZonesCacheCounterMutexA Se escribe bitcoin wallet ID (archivo c.wnry). Preparación para que todos los usuarios accedan a los archivos y sub directorios. Inicio proceso de cifrado.

11 Ciberamenaza. Casos de Estudio GT Seguridad Herramientas. Caso WannaCry descargas descargas

12 Ciberamenaza. Casos de Estudio NotPetya Comenzó a propagarse en Ucrania el , para poco después extenderse por todo el mundo. Contrariamente a WannaCry, NotPetya permanece en la red local y no intenta expandirse para infectar Internet. 12

13 Ciberamenaza. Casos de Estudio NotPetya Vector de ataque inicial basado en la explotación del mecanismo de actualización de un software de contabilidad (M.E. Doc). Los movimientos laterales constituyen el verdadero peligro, máquinas parcheadas podían resultar infectadas vía psexec y WMIC. Versión sin mecanismos de mando y control conocido. Sectores de arranque cifrados no pueden ser restaurados e incluso pueden ser borrados en su totalidad. Mecanismo de pago implica que el rescate sólo se justifica como cobertura, no para ganar dinero. (causar el mayor daño posible) Ningún medio para recuperar archivos, el ISP retiró de inmediato la única dirección de correo electrónico que servía como medio de comunicación. 13

14 Ciberamenaza. Casos de Estudio NotPetya y su impacto No ha tenido impacto en el Sector Público español, a pesar de que se trata de un código dañino más sofisticado que en el caso de WannaCry. Se tiene constancia de que algunas filiales de empresas multinacionales radicadas en España han sido afectadas, siendo la más significativa la empresa danesa de transporte marítimo MAERSK. No solo cifra archivos del sistema sino que puede cifrar el disco duro completo del equipo afectado. Todo indica, que podría tratarse de un ataque de falsa bandera para ocultar las verdaderas pretensiones del agresor. 14

15 Ciberamenaza. Casos de Estudio Struts2 y su impacto STRUTS es una librería de JAVA. JAVA es el principal motor de aplicaciones de los Organismos Públicos. La vulnerabilidad de Struts permite tomar el control de la máquina atacada. La máquina víctima puede atacar a objetivos internos comprometiendo la integridad del organismo, sus servicios y datos. El vector de ataque se hizo público y fácilmente utilizable. Organismos Notificados: 86 Organismos comprometidos: 20 Organismos investigando o evaluando impacto: 34 Organismos donde el CCN-CERT desplazó personal: 3 15

16 Ciberamenaza. Lecciones Aprendidas Lecciones Aprendidas Evitar el pánico. Sensibilizar a la alta Dirección. Establecer canales de comunicación alternativos. Blogs Chats Mensajería instantánea. Reevaluación de las medidas de seguridad. Auditorías de seguridad. Boletines de alerta de vulnerabilidades. Tiempos mínimos de actualización. Despliegue de equipos de respuesta. Necesidad de una mayor capacidad de actuación en la AGE. Incrementar y ampliar las capacidades de vigilancia. Mejorar el intercambio. REYES (Herramienta de Gestión Incidentes). Comité Sectorial de Administración Electrónica

17 SOC-AGE. Idea de Actuación GT SOC Seguridad de la AGE. Idea de Actuación El SOC aglutinará las funciones de gestión, operación, mantenimiento, provisión, administración, tratamiento de incidentes de seguridad y generación de informes, garantizando los niveles de servicio y calidad acordados. El SOC dispondrá de dos (2) niveles: Operación. Vigilancia. Inteligencia de Seguridad. VIGILANCIA Alertas Operación OPERACIÓN Equipos Desplegables Alertas de Seguridad Análisis y Corte Correo IPS WAF SIEM Análisis Vulnerabilidaes Proxy Web IPS RADIUS DNS NTP

18 Esquema Nacional de Seguridad Los Principios básicos, que sirven de guía. 2. Los Requisitos mínimos, de obligado cumplimiento. 3. La Categorización de los sistemas para la adopción de medidas de seguridad proporcionadas. 4. La auditoría de la seguridad que verifique el cumplimiento del ENS. 5. La respuesta a incidentes de seguridad. Papel del CCN- CERT. 6. El uso de productos certificados. Papel del Organismo de Certificación (CCN). 7. La formación y concienciación. 75

19 Esquema Nacional de Seguridad Resultados INES Nivel de cumplimiento 2016 BAJO (64%). 2. Es necesario mejorar algunos indicadores: Concienciación y Formación Recursos Continuidad 3. Responsable de seguridad no es suficiente. Necesidad de equipos de seguridad 4. Pocas tareas de vigilancia de la red. No revisión de logs / No hay monitorización real. 5. Dudas sobre aplicación de seguridad real. Auditoría / Certificación de Conformidad.

20 Ciberseguridad. Inteligencia Importancia de la Inteligencia Las evidencias de ataques contra Administraciones públicas y empresas de sectores estratégicos se han incrementado. La ciberseguridad no se puede quedar sólo en la atribución, tiene que ir más allá. Hay que integrar la información: motivación, capacidades, modus operandi, factores ambientales e histórico de actividades. El objetivo que se persigue es obtener, evaluar e interpretar información y proponer la difusión de la inteligencia. Prevenir, detectar y, en su caso, contribuir a neutralizar todas aquellas actividades basadas en el ciberespacio dirigidas contra intereses propios.

21 Ciberseguridad. Inteligencia Adaptación a la amenaza Capacidad de Defensa de Redes. (ENS/CCN-CERT) Seguimiento de las organizaciones y actores más activos en el ámbito de los ciberataques. (Contrainteligencia) Determinación del impacto de los ciberataques en la información manejada por empresas Estratégicas. (Inteligencia Económica) Aportación de información de interés mediante las capacidades técnicas disponibles (anillos cercano, medio y lejano). (SIGINT) Impulsar Comunidad de Inteligencia.

22 Ciberseguridad. Inteligencia Prevención y Detección Inteligencia de Señales Detección Temprana Firmas, Patrones, Conectividades Análisis de Tráfico Minería de Datos Intercambio Información Técnica Ciberseguridad Quién? Qué? Cómo? Inteligencia Prevención Gestión de Incidentes Resiliencia Defensa de Redes Políticas Procedimientos Medidas técnicas Gestión de Incidentes Análisis Forense / Ingeniería Inversa Coordinación Informativa SOC/CERTs Base de Datos Amenaza Resiliencia Atacantes, Víctimas, Estados Motivación Medios e Infraestructura

23 Ciberamenaza. APT CICLO Evolución DE VIDA Técnicas DE UN APT Exfiltrar datos Ocultar trazas y permanecer oculto Definir objetivo Desarrollar o adquirir herramientas Asegurar persistencia Investigación de la infraestructura / empleados del objetivo Expandir el acceso y obtención de credenciales Test para detección 1. Infraestructura 2. Malware 3. Vector de Infección 4. Comunicaciones 5. Colonización/Persistencia Conexión salida establecida Intrusión inicial Desarrollo

24 Ciberamenaza. Comunicaciones Movimientos Laterales

25 Ciberamenaza. Tiempos Actuación TIEMPOS DE RESPUESTA EN UN APT Las víctimas de ciberespionaje siguen sufriendo ataques a lo largo del tiempo.

26 Ciberseguridad

27 Ciberseguridad. Herramientas Herramientas Ciberseguridad DETECCIÓN ANÁLISIS AUDITORÍA INTERCAMBIO

28 Prevención Prevención La Prevención abarca todas las actividades de: Concienciación Formación Elaboración de políticas, procedimientos y requisitos de seguridad Desarrollo, evaluación y certificación de la seguridad de productos y sistemas Implementación de medidas técnicas, configuraciones y arquitecturas de seguridad Valoración, inspección, acreditación y auditoría de la seguridad

29 Prevención. Gestión de Riesgos Importancia de la Gestión de Riesgos La gestión de riesgos es necesaria pero no trivial. Requiere esfuerzos de varias personas y la coordinación de personas entre sí y con los órganos de gobierno. Nunca termina y debería ser objeto de una plan de mejora continuo. Los resultados del AR deben reflejarse en el Plan de Seguridad.

30 Prevención. Herramientas Auditoría Herramientas de Auditoría Versión 6.2 MicroPILAR Protección Datos Modelo distribuido Análisis de MS Windows 10 Análisis equipos comunicaciones Conexiones Firmware y sistema operativo Configuración Apoyo a la configuración de Seguridad Sistemas Clasificados MicroPILAR Infraestructuras Críticas Integración con INES Integración con CLARA Integración con ROCIO Integración con CLAUDIA Apoyo a Documentación Seguridad Sistemas Clasificados Valoración continua del nivel de seguridad de los sistemas Aplicación de las CCN-STIC Apoyo a la configuración de Seguridad Sistemas Clasificados Kibana Logstash ElasticSearch Recopilación centralizada de registros en todas las plataformas para cumplimiento de ENS/STIC Minería de registros Inventario de software Cuadros de mando para nivel de cumplimiento Alertas: anomalías, discrepancias, eventos predefinidos

31 Detección Detección La Detección abarca todas las actividades de: Despliegue de detectores y sistemas de alerta Recolección de logs, monitorización de tráfico y vigilancia de la red Análisis de malware, ingeniería inversa y análisis forense Caracterización técnica de la amenaza y elaboración de inteligencia técnica sobre la misma

32 Detección. Alerta Temprana Sistemas de Alerta Temprana Servicio por suscripción Despliegue de sondas. 149 Organismos 151 sondas + 90 millones eventos incidentes Servicio para la Intranet Administrativa Coordinado con MINHFP-SEFP-SGAD 50/54 Áreas de Conexión 70 Millones de eventos/mes +900 Incidentes/año Mejoras 2016: Portal de informes Análisis de Vulnerabilidades Mejoras HW Memoria IDS Mejoras en la correlación Organismos Sondas

33 Detección. Alerta Temprana Sistemas Control Industrial 1. La sonda SAT ICS permite monitorizar la actividad en los sistemas de control industrial y SCADA de los Organismos. 2. Detección de acciones anómalas contra los procesos industriales basadas en el análisis del contexto. 3. Disectores específicos de protocolos industriales y motor de correlación local. EthernetIP (ya desarrollado y probado) S7Com (Siemens) FINS (Omron) Modbus TCP (Estándar) SECTOR PÚBLICO

34 Ciberseguridad. Intercambio Información Plataforma Común Una plataforma común para facilitar y automatizar los procesos de notificación, comunicación e información sobre incidentes. (El operador decide que y cuando notifica / intercambia) De tal manera que los operadores no deban efectuar varias notificaciones en función de la autoridad a la que deban dirigirse.

35 Intercambio. Herramienta REYES Intercambio y Conocimiento de la Amenaza Centraliza en una plataforma todo el conocimiento: Descarga de muestras, informes, reglas e indicadores Realizar búsquedas en múltiples repositorios con un clic Acceso a información exclusiva y restringida Almacenar y compartir información Permite añadir contexto a cada amenaza [+] IOC [+] Patrones [+] Información sobre incidentes [+] Reglas [+] Muestras malware [ ] Permite la automatización de tareas (API REST) Permite sincronizar con otras instancias REYES-MISP Permite realizar una investigación de forma rápida y sencilla Empleado por CERT europeos y empresas estratégicas

36 Ciberseguridad. Intercambio Información Servicios a través de red La computación en nube se presenta cada vez más como como una alternativa más segura respecto a procesar y almacenar los datos localmente ya que actualmente los sistemas no están tan herméticamente cerrados (mayor superficie de exposición) como en el pasado: uso de servicios móviles, tendencia BYOD, intercambio de plataformas con clientes, etc. Seguridad Física y Lógica. Eficiencia Energética. Minimizar y Gestionar el Riesgo.

37 Ciberseguridad. Intercambio Información Twitter (10-18 mayo) Tweet Fecha Impresion es Interaccion es #CCNCERTNoMoreCryTool: Herramienta para prevenir infección por #ransomware #WannaCry desarrollada 13/05/ #NoMoreCryTool, CCN-CERT's tool to prevent the execution of the #Ransomware #WannaCry 13/05/ Medidas frente al ataque de ransomware que afecta a sistemas Windows 12/05/ Impresiones Interacciones totales Clics en el enlace 631 Retweets 202 Abrir el detalle 193 Clics en el perfil 91 Me gusta 89 Respuestas 9 Seguimientos 1 Medidas frente ataque de #ransomware que afecta a sistemas Windows 12/05/ Informe #Ransomware #WannaCry con vacuna y medidas para su detección y desinfección Updated 's tool to prevent the execution of the #Ransomware #WannaCry Actualizado el Informe de Código Dañino del #ransomware #WannaCry. Nuevas aportaciones de campaña #ransomware #WannaCry: esfuerzo, colaboración, contención y mitigación #NoMoreCry nueva versión de vacuna frente a #Ransomware #WannaCry Actualizada para todos los sistemas Windows la vacuna #CCNCERTNoMoreCryTool frente al #Ransomware #WannaCry 14/05/ /05/ /05/ /05/ /05/ /05/ Malware about #Ransomware #WannaCry in English 16/05/ Javier Candau, sobre la autoría del ciberataque: 'Es un ataque bastante ruidoso 15/05/ Impresiones: número de veces que los usuarios vieron el tweet) Interacciones: número de veces que el usuario ha interectuado con el tweet)

38 Intercambio. Relaciones Relaciones Ámbito Nacional / Internacional Ámbito Internacional SERVICIOS (Inteligencia, SIGINT, Bilaterales) NCIRC (NATO Computer Incident Reponse Capability) FIRST: Full Member CERT/CC - Encuentro CSIRTs Nacionales CERT / CSIRT Bilaterales Ámbito Europeo SERVICIOS (Grupos, Bilaterales) EGC Grupo CERTs Gubernamentales Europeo CSIRT Network de UE TERENA TF-CSIRT Listada / Acreditado / Certificado ENISA - Grupo de Trabajo de CERTs Nacionales CERT Unión Europea

39 Intercambio. Relaciones Relaciones Ámbito Nacional / Internacional Ámbito Nacional CSIRT.es Asociación de CERTs Españoles Foro ABUSES - Equipos Abuse de ISP Españoles (RedIRIS) Fuerzas y Cuerpos de Seguridad del Estado Comunidad del CCN-CERT MCCD (MINISDEF) / CNPIC / INCIBE Otras Relaciones Fuentes Humanas Grupos específicos (Amenaza APT) Microsoft (GSP/SCP/DISP Program) AntiPhishing WG //

40 Ciberamenaza. Conclusiones Conclusiones Incremento constante del número, sofisticación y complejidad de los ciberataques. El ciberespionaje sobre el Sector Público y las empresas de interés estratégico es la amenaza más importante para los intereses nacionales y la seguridad nacional. La dificultad de atribución es el factor que caracteriza esta amenaza en relación con otras. La amenaza procede tanto de países con intereses encontrados como de países amigos. Es preciso reforzar la capacidad de prevención y protección en todas las instancias del Estado (ciudadanos, empresas y sector público). Es preciso reforzar las capacidades de INTELIGENCIA para la identificación de atacantes, determinación de sus objetivos y difusión de Inteligencia al respecto.

41 Ciberseguridad. Decálogo 1. Aumentar la capacidad de Vigilancia. 2. Herramientas de Gestión Centralizada. 3. Política de seguridad. 4. Aplicar configuraciones de seguridad. 5. Empleo de productos confiables y certificados. 6. Concienciación de usuarios. 7. Compromiso de dirección (Dueños del Riesgo) 8. Legislación y Buenas Prácticas. 9. Intercambio de Información. 10.Trabajar como si se estuviera comprometido.

42 Muchas Gracias s Páginas web: