Ciberterrorismo: La nueva realidad de la Seguridad de la Información. Manuel Humberto Santander Peláez Arquitecto Seguridad de la Información

Transcripción

1 Ciberterrorismo: La nueva realidad de la Seguridad de la Información Manuel Humberto Santander Peláez Arquitecto Seguridad de la Información

2 AGENDA o o o o Introducción Ciberterrorismo: una realidad actual Respuesta a incidentes de seguridad Caso práctico: Colombia

3 Historia Los viejos días Windows 3.1 DOS era usado para la gran mayoría de los programas Internet Incipiente Modems!!! Computación Centralizada Mainframes

4 Historia (2) La información de la compañía residía en libros Consultas manuales en archivos físicos de las compañías Aseguramiento físico de la información La operación de infraestructura crítica se hacía en sitio Protocolos y maquinas propietarios

5 Los viejos fraudes Los mensajes anónimos se realizaban manualmente Se cortaban letras de revistas Había que evitar los reconocimientos grafológicos El correo público, ideal para camuflar el emisor de la comunicación

6 Los viejos fraudes (2) Las suplantaciones igualmente existían Qué tan fácil se puede suplantar una firma? Cuántas personas cayeron en conversaciones telefónicas con una persona ficticia? Los atentados terroristas también existían Bombas Tomas guerrilleras Ningún sistema crítico se conecta a TI

7 Los viejos fraudes (3) Los virus de aquel entonces no hacían mayores estragos Se desplegaban por diskettes Pocas aplicaciones en red Internet inexistente Los sistemas críticos tenían redes de datos incipientes y aisladas Tecnología no era una variable crítica en la empresa

8 Los viejos fraudes (4) Los sistemas críticos tenían redes de datos incipientes y aisladas Las contingencias en los sistemas críticos se hacían análogamente configurando y moviendo físicamente dispositivos Los sistemas de gestión eran análogos Poca comunicación con el mundo real

9 Pero La tecnología evolucionó Internet hizo su aparición en el país Los negocios empezaron a requerir intercambio de archivos dinámico, incluyendo a los sistemas industriales La información ya no estaba sólo en servidores centrales

10 Nuevos riesgos Suplantación de usuarios Robo cuentas MSN Robo cuentas Facebook Qué pasa si se roban las cuentas con privilegios de escritura en el sistema SCADA? Envío de correos electrónicos anónimos Hotmail, GMAIL, yahoo, Qué pasa si el correo anónimo es interno? Robo información estratégica de las

11 Nuevos riesgos (2) Robo información estratégica de las compañías Modificación de sitios web de las compañías Ataques distribuidos de negación de servicio Muy comunes en anonymous Busquen webhive en twitter ;)

12 Nuevos riesgos (3)

16 Qué es ciberterrorismo? Es la combinación de ataques a las redes de cómputo y técnicas especiales de operación y defensa Tiene 8 principios Ausencia de limitaciones físicas Debe tener efectos físicos: agua, energía, telecomunicaciones Invisibilidad

17 Qué es ciberterrorismo? (2) Tiene 8 principios Mutabilidad e inconsistencia Identidad y privilegios Uso dual de herramientas para ataque y defensa Control de infraestructura Información como ambiente operacional

18 Qué es ciberterrorismo? (3) Temas a considerar: Actividad maliciosa: crimen, espionaje, terrorismo, ataques La clasificación se realiza dependiendo de las intenciones del perpetrador y el efecto del acto Todos estos actos comienzan como incidente de seguridad

19 Servicios críticos para el país Sistema Bancario Los bancos controlan el flujo de efectivo en el país Si se afecta la operación de los tres mas grandes se crea un impacto lo suficientemente grande como para interrumpir la normal vía diaria de la población Se paraliza la economía

20 Servicios críticos para el país (2) Sistema Bancario Múltiples canales para el manejo de información Múltiples vectores de vulnerabilidades Grandes infraestructuras con buena inversión en seguridad Regulados por la circular 052 Foco principal de ciberdelincuentes

21 Servicios críticos para el país (3) Sistema eléctrico Controlado por sistemas SCADA para la generación, transmisión y distribución de energía eléctrica Infraestructura obsoleta tecnológicamente Windows NT Server Windows XP sin parches Máquinas SOLARIS sin parches Todas las anteriores con configuraciones por defecto

22 Servicios críticos para el país (4) Sistema eléctrico Conectado a las redes de datos para el intercambio de información del negocio Posibilidad de materialización de múltiples riesgos en la infraestructura Si se materializa, puede dejar el país a oscuras completamente

23 Cómo se realiza ciberterrorismo? Utilización de herramientas para penetration testing pero con fines terroristas Causar un apagón Inutilizar el sistema bancario Deshabilitar los servicios de comunicaciones del país Cualquier cosa que pueda causar caos

24 Sistema Interconectado Nacional

25 Sistema Interconectado Nacional (2)

26 Sistema Interconectado Nacional (3)

27 Red SCADA Sistema Eléctrico

28 Cómo se realiza ciberterrorismo? (2) Exploits al alcance de cualquier persona Herramientas para análisis de vulnerabilidades

30 Ciclo de vida respuesta a incidentes Preparación Detección y Análisis Contención, Erradicación y Recuperación Actividades Post- Incidente

31 Preparación de incidentes Debe establecerse una capacidad de respuesta a incidentes en la organización Deben instalarse controles para que los equipos de cómputo, la red y las aplicaciones son suficientemente seguros Comunicaciones de los administradores de incidentes Hardware y software para respuesta a incidentes

32 Controles Técnicos de Seguridad Firewalls Aplicación Red Sistemas de Detección de Intrusos Red (NIDS) Host (HIPS) Controles de navegación URL

33 Controles Técnicos de Seguridad (2) Control antimalware Servidores y PC Internet (http, ftp, smtp) Data loss prevention Servidores PC Internet NAC

34 Controles Técnicos de Seguridad (3) Mitigan el riesgo de seguridad de la información No lo eliminan Sí, puede materializarse el riesgo aún teniendo controles Pueden proveer evidencia en caso de la ocurrencia de un incidente de seguridad Qué hacer empresarialmente?

35 Modelo Seguridad SCADA

36 Prevención de incidentes El riesgo debe ser mínimo Los controles necesarios deben ser implementados Si no están implementados, el número de incidentes aumenta Proceso de gestión del riesgo Parte del Sistema de Gestión de Seguridad de la Información El entorno cambia continuamente

37 Prevención de incidentes (2) Controles de seguridad para prevención de incidentes Administración de parches Línea base para servidores y PC Seguridad en Red Prevención de código malicioso Entrenamiento para usuarios

38 Detección y análisis Los incidentes deben agruparse en categorías Definición de procedimientos por cada categoría de incidente Permite mayor rapidez para atender los incidentes

39 Detección y análisis (2) Tipos de incidente Denial of Service Código malicioso Acceso no autorizado Uso inapropiado

40 Detección y análisis (3) Análisis de incidentes Las señales de incidentes no corresponden necesariamente a incidentes que hayan ocurrido o estén ocurriendo Deben descartarse problemas en la infraestructura o en el software antes de determinar que fue un incidente de seguridad

41 Detección y análisis (4) Análisis de incidentes Cómo determinar si ocurrió un incidente? Determine patrones en los equipos y las redes de datos Determine los comportamientos normales Use logs centralizados y cree una política de retención de logs

42 Contención, erradicación y recuperación Escogencia de una estrategia de contención Captura y manejo de evidencia Debe aplicarse la normatividad legal para la captura de la evidencia Erradicación y recuperación El servicio debe recuperarse Qué es primero? Evidencia o servicio?

43 Actividades post incidente Lecciones aprendidas Qué pasó exactamente y en qué tiempos? Cómo manejó la gerencia y el personal el incidente? Se siguieron los procedimientos? Fueron adecuados? Métricas del proceso de respuesta a incidentes Número de incidentes atendidos Tiempo por incidente Auditoría del proceso de respuesta a incidentes

45 Entidades encargadas de la respuesta a incidentes en Colombia ColCERT: Dependencia del Ministerio de Defensa encargado de coordinar la respuesta del país a incidentes de seguridad que afecten su funcionamiento Centro Cibernético Policial (CCP): Dependencia adscrita a la DIJIN, encargada de las labores de investigación y procesamiento inicial de delincuentes informáticos

46 Entidades encargadas de la respuesta a incidentes en Colombia (2) Comando Conjunto Cibernético (CCP): Dependencia adscrita al Comando de las Fuerzas Militares, el cual se encarga de coordinar la respuesta a incidentes de seguridad que afecten la seguridad nacional Todas creadas a partir del documento CONPES 3701

47 Simulacro de ataques a la infraestructura crítica nacional La Organización de Estados Americanos y el ColCERT organizaron los días 21 y 22 de septiembre los primeros ejercicios de simulacro de ataques a la infraestructura crítica nacional Invitados de los sectores críticos del país Presidencia Bancos

48 Simulacro de ataques a la infraestructura crítica nacional Invitados de los sectores críticos del país Sector eléctrico Universidades CCP CCC ColCERT Se trabajó con base en una circunstancia particular del país

49 Simulacro de ataques a la infraestructura crítica nacional (2) Conclusiones del ejercicio Los sectores críticos del país no están preparados para contener un incidente de seguridad de naturaleza ciberterrorista No existen iniciativas de coordinación entre los diversos sectores

50 Contacto o Manuel Humberto Santander Peláez manuel.santander@epm.com.co Teléfono:

51