CIBERDEFENSA IX CICLO DE CONFERENCIAS UPM TASSI

Transcripción

1 CIBERDEFENSA IX CICLO DE CONFERENCIAS UPM TASSI Juan Carlos BATANERO 6 Marzo 2013, Madrid

2 Í N D I C E La Amenaza La Respuesta Perspectiva a Futuro Indra

3 El Ciberespacio El uso común se refiere a los sistemas de información y proceso de datos interconectados por redes de comunicaciones qué es? La palabra proviene del griego cibernético (κσβερνήτης) - piloto o timón usado por el matemático Norbert Wiener para describir la tecnología de sistemas de control RAE Ámbito artificial creado por medios informáticos La primera vez que se utilizó el término CIBERESPACIO fue en el libro Neuromancer (1984) de William Gibbson para denominar a Matrix, el entorno virtual de sus novelas. Reconocido por el Pentágono como el quinto dominio de la guerra junto a tierra, mar, aire, y espacio

4 4 Ficción o Realidad 4

5 5 Los Paradigmas están cambiando COTS Cloud Computing STUXNET 5

6 Cronología de ciberataques Primeros ataques telefónicos 1870 Primer gusano Morris 1988, hacks de la NASA y Pentagon Stuxnet, Conficker, Ghostnet, Night Dragon, Aurora, Anonymous, Antisec, Shady Rat, APT, etc Arpanet se convierte en Internet Primer DDoS contra un país, Estonia 6

7 Aumento en sofisticación e impacto NIVEL DE SOFISTICACIÓN Conficker Stuxnet Primeros ataques telefónicos Crackeo de Enigma Ataques telefónicos masivos en EEUU Pentagon hackeado por Tenenbaum Hack de DoD, NASA, USAF por Datastream Kevin Mitnick Gusano Morris Gusanos CodeRed, Nimda, Kornoukova, Sadmind, slapper, Iloveyou, Mellissa, Blaster, etc APT Ghostnet, Night Dragon, Titan Rain, Shady Rat, Aurora Estonia DDoS Anonymous Antisec

8 Evolución de los atacantes y su motivación RECURSOS Profesionales, equipos de ciberguerra, mafias, hacktivistas, con motivos políticos o estratégicos Experimentación e investigación de tecnologías nuevas Hackers, motivados por curiosidad, pero la mayoría benignos Script kiddies, intentando causar daños y hacerse famosos pero sin objetivos claros Cibercriminales, con motivos comerciales, phishing, malware, bots

9 La Jungla del Ciberespacio Lulzsecurity Wikileaks Operación Buckshot Yankee Hacktivismo? Anonymous Venganza? Entretenimiento? 9 9

10 Advanced Persistent Threat Operación Aurora Intrusiones confirmadas en las redes de varias empresas americanas de software Código fuente de su software robado. Operación Night Dragon Ataques profesionales contra empresas de energía. Ghostnet Varias embajadas, consulados y ministerios de asuntos exteriores infiltrados por el ejercito chino durante años. Ataque contra el ministerio de hacienda canadiense en marzo Titan Rain Intrusiones en las redes de las FFAA de los EEUU, la NASA y empresas de defensa desde Motivo espionaje con decenas de miles de millones de en juego 11

11 Nuevo contexto y las ciberamenzas Guerra asimétrica Irrupción de ciberactivistas y ciberterroristas. Nuevos tipos de amenazas: Amenazas Persistentes Avanzadas (APT, APA). Subversive Multi-Vector Threats (SMT). Advanced Evasion Techniques (AETs). La identificación de estas amenazas es clave para poder protegerse de las mismas, así como lo es el intento de predicción de futuras amenazas todavía desconocidas 12

12 13 El Conflicto asimétrico 13

13 Caracterización Ciberguerra - la guerra asimétrica Pequeños actores pueden tirar las IICC de un país. Toda nuestra vida depende de sistemas SCADA que son altamente vulnerables: Tiendas, fabricas, autopistas, trenes, etc. Los americanos han expresado su voluntad de que un ciberataque pueda ser contestado con un ataque cinético o físico. Es difícil asignar culpabilidad. Es difícil decidir un nivel de proporcionalidad para una respuesta. Actores independientes del estado, son patrocinados por los estados Ataques lanzados por un cibercriminal, patrocinado por el estado. En el ataque a Georgia se coordinaron los ataques cibernéticos con los físicos. Los gobiernos entienden que hay una amenaza, pero no entienden bien como combatirla Ahora los problemas fundamentales son logísticos y organizativos. 14

14 Í N D I C E La Amenaza La Respuesta Situación y Perspectiva a Futuro Indra

15 Qué entendemos por Ciberdefensa? Como concepto GENERALISTA, es el conjunto de medidas técnicas, políticas y organizativas enfocadas a proteger los sistemas de información, comunicaciones y control ante ciberataques de cualquier índole Como concepto MILITAR, se centra en las medidas técnicas, políticas y organizativas que protegen los sistemas y redes militares de ciberataques, e incluye las capacidades de reacción y ataque propias de un conflicto armado (utilizando el ciberespacio) La protección puede extenderse a sistemas de información de terceros (civiles) que puedan resultar críticos para la nación o la misión. Desde un punto de vista práctico, la ciberdefensa se sustenta mayoritariamente en tecnología de ciberseguridad ampliamente probada y desplegada en el sector civil. No obstante, y debido a la situación tecnológica actual, surge la necesidad de desarrollar nuevas tecnologías así como reorientar las ya existentes. 16

16 Qué entendemos por Ciberdefensa? La Ciberdefensa persigue diferentes objetivos complementarios, que, juntos aportan una garantía suficiente respecto al grado de prevención, resistencia y recuperación de los sistema de información ante un ciberataque: Debe prevenir la ocurrencia de ciberataques, eliminando la oportunidad. Debe proteger a los sistemas de información en caso de ocurrencia de un ciberataque, impidiendo que éste sea satisfactorio. Debe detectar la ejecución en curso, incluso en etapas tempranas. Debe facilitar la reacción rápida que posibilite la recuperarse a un estado estable previo al ciberataque, en caso que éste haya sido satisfactorio, y de manera que el impacto en el negocio sea mínimo. Adicionalmente, debe incorporar la capacidad de disuadir a un adversario potencial de la ejecución de ciberataques (prevención), mediante la implantación de medidas que impliquen: Consecuencias penales. Acciones militares de respuesta sobre el ciberespacio. 17

17 CICLO DE MEJORA CONTINUA Un esfuerzo de todos Directrices Define Norma y Procedimientos Métricas Implanta soluciones que opera Supervisa la Implantación Supervisa la Operación 18

18 19 El papel de la Tecnología En la seguridad la clave de gestionar las amenazas es tener una visibilidad del entorno global del riesgo Prácticas Seguridad Tradicionales Mecanismos Protección Actuales Nuevas Tecnologías Avanzadas AV/AM Control de Acceso Gestión de Vulnerabilidades Análisis Malware Análisis Forense DRA/DRM Dynamic Risk Assessment/Management IDS/IPS Intrusion detection/ prevention system DLP/IRM Data Leak Prevention Info. Rights Management SIEM Security Information and Event Management Otros CiberInteligencia, DataDiode, Simulación Avanzada 19

19 F I R E W A L L S I N T R U S I O N P R E V E N T I O N E M A I L / W E B F I L T E R I N G A N T I V I R U S V U L N E R A B I L I T Y A S S E S S M E N T C O N F I G U R A T I O N M A N A G E M E N T Protección Tradicional: Defensa en profundidad Known malware Known bad code behaviors YOUR DATA Known application exploits Advanced Persistent Threats Rootkits Morphing Malware Zero-days Insider Threats ENDPOINT Unapproved communication channels Malicious websites Overt unknown malware 2010 IT-Harvest La mentalidad de fortaleza no funciona en el Ciberespacio. No podemos protegernos detras de una Linea Maginot de cortafuegos.. Si permanecemos quietos durante un minuto nuestro adversario nos adelantará. William Lynn, U.S. Deputy Secretary of Defense. January

20 Fases Ciberataque y contramedidas para la Ciberdefensa Fases de un ataque APT Plannign & Info Gathering Attack & Compromise (Breach) Establish Command & Control Authorization & Credential Theft Manual Exploitation & Info Gathering Data Ex-filtration Maintain Persistence Training & awareness Traditional defense & prevention (vuln mgmt, end-point sand perimeter security) Network layering enhanced monitoring & APT detection methods Hardening, policy enforcement, training & endpoint security Increased network & OS logging & auditing with advanced monitoring techniques Extended monitoring at, application, BD levels, data cleaning & destruction. Implement DLP Advanced anomaly and behavioral monitoring & advanced APT detection methods Prácticas Seguridad Tradicionales Mecanismos Protección Avanzados Nuevas Tecnologías Avanzadas 2011 Solutionary, Inc. 21

21 Cambio de paradigma La seguridad como un proceso continuo totalmente integrado con el resto de procesos de las organizaciones. Capacidad para analizar, comprender y reaccionar Seguridad proactiva en tiempo real. Seguridad ligada al contexto. 22

22 24 Estados Unidos toma la iniciativa ESTADOS UNIDOS Febrero 2003 Mayo 2009 Septiembre 2010 Febrero 2011

23 Europa se prepara REINO UNIDO ALEMANIA FRANCIA Junio 2009 Estrategia de Ciberseguridad Octubre 2010 Estrategia Nacional de Seguridad Octubre 2005 Plan Nacional sobre Protección Infraest. Información Febrero 2011 Estrategia de Ciberseguridad Junio 2008 Libro blanco sobre Defensa y Seguridad Nacional? Primavera 2011 Estrategia de Ciberdefensa. Sin publicar. Junio 2011 Informe Parlamentario sobre Ciberseguridad Diciembre 2005 Plan de Implementación de protección de IICC Febrero 2011 Defensa y Séguridad de los sistemas de información 25

24 26 Iniciativas Supranacionales LA OTAN define un nuevo concepto estratégico Los asesores de política de las naciones de la OTAN se reunieron en Bruselas, el 25 de Enero 2011 para intercambiar opiniones sobre como desarrollar la política de Ciberdefensa de la Alianza. Discutieron como la OTAN puede proporcionar valor añadido para la defensa conjunta de la Alianza contra ciberamenazas y como usar los activos y capacidades de la OTAN en el campo de la Ciberdefensa Durante la apertura, el Secretario General de la OTAN remarcó que los ciberataques están creciendo tanto en frecuencia como sofisticación. Decidimos en la Cumbre de Lisboa el pasado Noviembre 2010 que la OTAN tendrá que dedicar una mayor atención al ciberespacio. Simplemente no puede haber seguridad verdadera sin ciberseguridad. 26

25 27 Iniciativas Supranacionales UNIÓN EUROPEA Estrategia Europea de Ciberseguridad (Publicada en Febrero de este año) En la Unión Europea ha habido dos iniciativas: ENISA y eucert. "An Open, Safe and Secure Cyberspace" - represents the EU's comprehensive vision on how best to prevent and respond to cyber disruptions and attacks. This is to further European values of freedom and democracy and ensure the digital economy can safely grow. Specific actions are aimed at enhancing cyber resilience of information systems, reducing cybercrime and strengthening EU international cyber-security policy and cyber defence. The strategy articulates the EU's vision of cyber-security in terms of five priorities: Achieving cyber resilience Drastically reducing cybercrime Developing cyber defence policy and capabilities related to the Common Security and Defence Policy (CSDP) Developing the industrial and technological resources for cyber-security Establishing a coherent international cyberspace policy for the European Union and promoting core EU values

26 Nuestro País no es una excepción ESPAÑA ESPAÑA Noviembre 2010 Esquema Nacional de Seguridad CM 24 junio, 2011 Estrategia Española Seguridad 28 de abril Ley 8/2011, medidas para la protección de las infraestructuras críticas 20 de mayo RD 704/2011, aprobación Reglamento de protección infraestructuras críticas RESPONSABILIDADES DEL JEMAD EN EL ÁMBITO DE LA CIBERDEFENSA MILITAR: Definir las implicaciones en el uso del ciberespacio derivadas del Concepto de Estrategia Militar Estudiar y evaluar la amenaza en el ciberespacio desde el punto de vista militar Promulgar la doctrina conjunta al respecto Definir e impulsar el desarrollo de la capacidad de ciberdefensa militar que permita garantizar el uso del ciberespacio en la conducción de las operaciones militares Asegurar la eficacia operativa de las FAS en el ámbito de la ciberdefensa 28

27 Í N D I C E La Amenaza La Respuesta Perspectiva de Futuro Indra

28 El Futuro está por construir In cyberspace, the balance of power is on the side of the attacker. Attacking a network is much easier than defending a network That may change eventfully- there might someday be the cyberspace equivalent of trench warfare, where the defender has the natural advantage - but not anytime soon Bruce Schneier Schneier on Security 30

29 31 El Futuro está por construir La media de los virus y ataques que hemos visto, no requieren más de unas decenas de líneas de código. Por el contrario, el software de seguridad que hace frente a estas amenazas y que se ha desarrollado en los últimos años representa millones de líneas de código 31

30 Nuevo entorno y las ciberamenazas Movilidad Virtualización Externalización y colaboración Cloud computing Incremento consumo IT / Redes Sociales Industrialización de hackers Crimeware as a Service (CaaS): HaaS, FaaS, DDoSaS, Todas estas tendencias convergentes hacen tambalearse las fronteras bien definidas de los negocios. Las infraestructuras de seguridad estáticas ya no son suficientes en un entorno altamente dinámico, virtualizado y global, donde pronto hablaremos de decenas de miles de millones de dispositivos interconectados y ya hablamos de decenas de miles de millones de en pérdidas derivadas de los ciberdelitos 32

31 El Smartphone y el malware Conforme ha crecido el uso de dispositivos móviles inteligentes (smartphones), los riesgos asociados a su uso también han experimentado un crecimiento sin precedentes, tanto el malware, como la potencial pérdida de datos Aumento de riesgo de pérdida de información Aumento de riesgo de malware para móviles

32 Visión de Futuro para un Reto Actual ORGANIZACIÓN CONCIENCIACIÒN ACTUALIZACIÓN NORMATIVA Y TECNOLÓGICA Conciencia de la Situación SOSTENIBILIDAD PRESUPUESTARIA 35 35

33 Escalada de ciberataques 36

34 Í N D I C E La Amenaza La Respuesta Perspectiva a Futuro Indra

35 Quiénes somos Multinacional de Consultoría y Tecnología número 1 en España y de las principales de Europa y Latinoamérica M ventas profesionales 118 países Tecnología propia I+D+i: 7%-8% ventas 38

36 Organización abierta Innovación y sostenibilidad profesionales 83% titulados y de alta cualificación 200 universidades y centros de investigación Gasto en I+D+i 2011: 189 M Universidades Instituciones del conocimiento Profesionales Proveedores Partners 2ª compañía europea de su sector en inversión en I+D 1ª compañía mundial de su sector en los Dow Jones Sustainability Indexes 174 alianzas con partners Clientes Colaboración con fundaciones y asociaciones Sociedad Centros de investigación 39

37 Unidad de Ciberseguridad En Indra entendemos CIBERSEGURIDAD como el conjunto de tecnologías, procesos, procedimientos y servicios encaminados a proteger los activos (físicos, lógicos, o de servicios) de una empresa u organismo, que dependan en alguna medida de un soporte TIC 40

38 El Centro de Operaciones de Ciberseguridad de Indra (i-csoc) se constituye como un centro de referencia en Ciberseguridad a nivel nacional e internacional OBJETIVOS Entorno físico, y personal con las habilitaciones necesarias para abordar proyectos clasificados Servicios de seguridad gestionada: Monitorización de seguridad, operación de sistemas de seguridad, gestión de vulnerabilidades y gestión de incidentes Laboratorio avanzado para homologación de productos, análisis de malware, análisis forense y desarrollo de soluciones propias Servicios de ciberinteligencia Servicios de ciberseguridad en la nube. Proyectos e iniciativas de I+D+i Centro de formación y fuente de conocimiento de referencia en materia de ciberseguridad

39 Muchas gracias por vuestra atención 42

40