2018 Centro Criptológico Nacional C/Argentona 30, MADRID DEFENSA ANTE CIBERATAQUES Y CONTROL DE SEGURIDAD

Transcripción

1 2018 Centro Criptológico Nacional C/Argentona 30, MADRID DEFENSA ANTE CIBERATAQUES Y CONTROL DE SEGURIDAD

2 Centro Criptológico Nacional

3 La realidad es muy tozuda Demostración fuerza Sabotaje RESUMEN 2017 Espionaje Desinformación Elecciones EE.UU.

4 Lecciones aprendidas Lecciones aprendidas Evitar el pánico. Sensibilizar a la alta Dirección. Establecer canales de comunicación alternativos. Blogs, chats y mensajería instantánea. Boletines de alerta de vulnerabilidades. Tiempos mínimos de actualización. Reevaluación de las medidas de seguridad. Auditoría continua. Incrementar y ampliar las capacidades de vigilancia. Despliegue de equipos de respuesta. Colaboración Público-Privada. Iniciativa CSIRT.es Mejorar notificación de incidentes e intercambio información sobre amenazas. Plataforma Común. (Notificación Incidentes) Inteligencia de seguridad. (Gestión Incidentes)

5 Ciberseguridad

6 Necesidad de personal experto Diseño curricular / certificación personas

7 Necesidad de personal experto Formación 18 cursos presenciales + 13 sesiones VANESA solicitudes 574 alumnos presenciales a distancia 1295 horas lectivas

8 Búsqueda de talento Plataforma de desafíos Qué es? 53 retos distinta dificultad puntos ATENEA es una plataforma de desafíos de seguridad informática Diversa temática: ciberseguridad básica, criptografía y esteganografía, exploiting, reversing, análisis de tráfico, forense, hacking web Objetivos Involucrar a todo aquél con experiencia en seguridad TIC. Concienciar personal TIC sobre los riesgos de la seguridad informática. Mostrar a las personas con menos experiencia en la seguridad TIC que los retos son divertidos y que la seguridad no es una ciencia secreta que nunca entenderán. Accediendo a la siguiente URL:

9 No se trata de prohibir, hay que educar En el paradigma de la resiliencia Hay que tener en cuenta el cambio de paradigma, de pasar del Doctor NO al paradigma de la resiliencia, de que el peso de la seguridad recaiga en medidas preventivas a la necesidad de aceptar un riesgo residual y a que cada vez tengan más peso las capacidades de monitorización y vigilancia junto a una respuesta eficaz.

10 Tiempos de actuación TIEMPOS DE RESPUESTA EN UN APT Las víctimas de ciberataques siguen sufriendo ataques a lo largo del tiempo.

11 Alerta temprana Sistemas de Alerta Temprana (SAT) La Detección abarca todas las actividades de: Despliegue de detectores y sistemas de alerta. Recolección de logs, monitorización de tráfico y vigilancia de la red. Análisis de malware, ingeniería inversa y análisis forense. Caracterización técnica de la amenaza y elaboración de inteligencia técnica sobre la misma.

12 Alerta temprana Sistemas de Alerta Temprana Servicio por suscripción Despliegue de sondas. 171 Organismos 175 sondas + 90 millones eventos incidentes Mercado personalizado (buses privados y protocolos). La tecnología específica requiere sondas específicas. Viejos dispositivos todavía desplegados. Diferentes estrategias de ataque (sin patrones habituales).

13 Alerta temprana Servicio monitorización - Niveles El servicio de monitorización está formado por dos (2) niveles: Nivel 1 Operadores de seguridad: Realizan su trabajo en servicio 24x7, con turnos rotativos durante los cuales el servicio no queda desatendido. Nivel 2 Analistas de seguridad: Realizan su trabajo en servicio 8x5 con guardias semanales, en formato rotativo, para dar soporte a Nivel 1 en caso de necesidad o requerimiento. Plataforma Técnicos de redes y sistemas: Realizan su trabajo en 8x5 con guardias semanales, en formato rotativo, manteniendo el funcionamiento de la infraestructura del CCN-CERT. Todo el personal ha sido formado antes de entrar en la explotación del servicio y cuenta con certificaciones de reconocido prestigio.

14 Alerta temprana Servicio monitorización - Niveles Modelo de servicio Estructura de servicio de un servicio de monitorización de ciberseguridad

15 Incidentes 2018 INCIDENTES bajo medio alto muy alto crítico

16 Automatización de procesos Automatización y Orquestación Ratios de Eficiencia Reducción del trabajo manual y repetitivo de los operadores/analistas de seguridad en los procesos de detección y respuesta a incidentes AdG

17 Caso de éxito Automatización y reducción tiempos de respuesta La integración de las capacidades de "security information and event management" (SIEM), notificación de incidentes y ciberinteligencia se hace especialmente necesaria para la mejora de las técnicas de correlación compleja de eventos

18 Cambio de paradigma Hacia el paradigma de la respuesta Mientras que los autores de ciberataques, tanto estatales como no estatales, solo teman al fracaso, carecerán de motivos para dejar de intentarlo Una respuesta más eficaz, centrada en la detección, la trazabilidad y el emprendimiento de acciones penales contra los ciberdelincuentes, es fundamental para fomentar una disuasión efectiva. Colaboración con las Fuerzas y Cuerpos de Seguridad del Estado. Una disuasión efectiva significa poner en marcha un marco de medidas que sean a la vez creíbles y disuasorias para posibles ciberdelincuentes y ciberatacantes. Identificar a los actores maliciosos. Aumentar la disuasión a través de la capacidad de defensa. Reforzar la respuesta policial. Cooperación de sectores público y privado. Marco regulatorio. Aumentar la disuasión a través de la capacidad de defensa. Generar dudas coste/beneficio al ciberatacante.

19 Aproximación práctica a la Ciberseguridad Ciclo de vida de un incidente DETECCIÓN INTERCAMBIO ANÁLISIS Ingeniería Inversa Incidente Cerrado Información Compartida

20 Aproximación práctica a la Ciberseguridad Proveer servicios / dar soluciones AUDITORÍA DETECCIÓN ANÁLISIS INTERCAMBIO FORMACIÓN

21 Intercambio e integración de soluciones Integración con otras soluciones CCN-CERT 21

22 22 Incrementar la vigilancia Aproximación a la ciberseguridad TIEMPOS DE RESPUESTA EN UN APT CERT - Computer Emergency Response Team Un "CERT" es una organización dedicada a la ciberseguridad con el fin de proporcionar servicios de respuesta a incidentes, publicar avisos sobre las vulnerabilidades y amenazas, y otro tipo de información para ayudar a mejorar la ciberseguridad. - CERT se entiende como una fuerza meramente reactiva CSIRT - Computer Security and Incident Response Team Proveedor de servicios de seguridad, incluidos los servicios preventivos, como los avisos de alerta o de gestión de la seguridad y los servicios. SOC - Security Operation Centre - Centro de Operaciones de Seguridad. - Gestión de la seguridad de una organización (informática TIC) - Muchas veces servicio externalizado Monitorización seguridad Tratamiento y custodia registros Resolución incidentes Cibervigilancia 22

23 Incrementar la vigilancia

24 Incrementar la vigilancia Centro Operaciones de Ciberseguridad El valor añadido del SOC será directamente proporcional a las capacidades de análisis y tratamiento de tráfico en la zona de corte, no solo la concepción habitual de operación de la seguridad perimetral e integración con SIEM. El SOC dispone de tres (3) niveles: Operación. Vigilancia. Inteligencia de Seguridad. VIGILANCIA Alertas Operación OPERACIÓN Equipos Desplegables Alertas de Seguridad Análisis y Corte Correo IPS WAF SIEM Análisis Vulnerabilidaes Proxy Web IPS RADIUS DNS NTP

25 Incrementar la vigilancia Prevención Operación Actuación Formación Mejora Gestión de elementos de seguridad perimetral (FW, IPS, IDS, F5, ) Cortafuegos de aplicaciones Web (WAF) /Anti-DoS Capa 7 Análisis de tráfico cifrado con SSL/TLS Vigilancia digital Monitorización y correlación de eventos (GLORIA/CARMEN) Monitorización de eventos internos Auditorías Técnicas Gestión de incidentes de seguridad Investigación de ciberamenazas/análisis forense y respuesta a incidentes Gestión de vulnerabilidades Formación en seguridad Concienciación en seguridad Asesoramiento en ciberseguridad Gestión de elementos de seguridad internos (FW, IPS/IDS, ) Navegación segura (Proxy) Correo seguro/sandbox DNS Pasivo Revisión automática de vulnerabilidades Pruebas de seguridad Pruebas de caja blanca (Análisis de código fuente) Pruebas de caja negra (Pentest) Gestión de alertas (SAT) Gestión de alertas anti- DOS Análisis de código dañino (MARTA/MARÍA) SOC Centro de Operaciones de Ciberseguridad Prevención de fuga de datos (DLP) Seguridad de end-point /Bastionado/GPO Acceso remoto (VPN) Antivirus

26 Cibervigilancia Características servicio cibervigilancia Para adscribir un servicio de cibervigilancia a una estructura de ciberseguridad, hay que considerar si la cibervigilancia se incardina con capacidades de respuesta a incidentes o no (CERT que puede estar combinado y/o integrado con un SOC) Tipología: si se dedicará a vigilar una o varias expresiones de amenaza. Flujo de Negocio: ante qué órgano dentro de la estructura de ciberseguridad responderá y será el receptor de sus productos informativos: órgano de gestión y respuesta (SOC o CERT) o órgano de gestión y decisión (departamento institucional).

27 Cibervigilancia Características servicio cibervigilancia La misión de un Servicio de Cibervigilancia es proporcionar información de valor sobre la presencia de ciberamenazas que permita adoptar decisiones para prevenirlas, mitigarlas, controlarlas, contenerlas o anularlas. El valor de la información producida dependerá: Oportunidad: cuanto más preventiva sea la información aportada por Cibervigilancia, mayor será el tiempo de reacción proporcionado a los órganos de respuesta y/o decisión. Exactitud: cuanto más acertado sea el análisis de la información aportada, más ajustada será la respuesta y/o decisión que haya que adoptarse en base a esa información. El seno del Servicio de Cibervigilancia se optimiza articulando su estructura interna a través del despliegue de dos equipos: Equipo de Alerta: encargado de desplegar y operar los dispositivos y procedimientos de monitorización de las ciberamenazas para las que se haya establecido el servicio. (elaboración de contenidos para el Equipo de Análisis) Equipo de Análisis: efectúa una evaluación oportuna sobre el potencial de riesgo que implica la amenaza. La evaluación pone en contexto la amenaza y proporciona a los sistemas de respuesta y decisión mayor capacidad de acción inteligente. (evita sobre- o infra-reacciones)

28 Intercambio de información INTERCAMBIAR = CONFIANZA

29 Cooperación Pública-Privada Iniciativa de CSIRT/CERT, públicos o privados, cuyo ámbito de actuación es el territorio español con el objetivo de compartir e intercambiar de una manera real Andalucía CERT BBVA CERT Caixabank CSIRT CCN-CERT CERTSI CertUC3M CESICAT-CERT CNPIC CSIRT-CV CSUC-CSIRT InnoTec-Entelgy-CSIRT escert-upc ESP DEF CERT esoc Ingenia Eulen-CCSI-CERT Guardia Civil MAPFRE-CCG-CERT Mº Interior Policía Nacional Prosegur CERT RedIRIS S2 Grupo CERT S21sec CERT Telefónica-CSIRT

30 Redes sociales. Alertar, no alarmar Twitter (10-18 mayo) 8022 seguidores Tweet Fecha Impresion es Interaccion es #CCNCERTNoMoreCryTool: Herramienta para prevenir infección por #ransomware #WannaCry desarrollada 13/05/ #NoMoreCryTool, CCN-CERT's tool to prevent the execution of the #Ransomware #WannaCry 13/05/ Medidas frente al ataque de ransomware que afecta a sistemas Windows 12/05/ Impresiones Interacciones totales Clics en el enlace 631 Retweets 202 Abrir el detalle 193 Clics en el perfil 91 Me gusta 89 Respuestas 9 Seguimientos 1 Medidas frente ataque de #ransomware que afecta a sistemas Windows 12/05/ Informe #Ransomware #WannaCry con vacuna y medidas para su detección y desinfección Updated 's tool to prevent the execution of the #Ransomware #WannaCry Actualizado el Informe de Código Dañino del #ransomware #WannaCry. Nuevas aportaciones de campaña #ransomware #WannaCry: esfuerzo, colaboración, contención y mitigación #NoMoreCry nueva versión de vacuna frente a #Ransomware #WannaCry Actualizada para todos los sistemas Windows la vacuna #CCNCERTNoMoreCryTool frente al #Ransomware #WannaCry 14/05/ /05/ /05/ /05/ /05/ /05/ Malware about #Ransomware #WannaCry in English 16/05/ Javier Candau, sobre la autoría del ciberataque: 'Es un ataque bastante ruidoso 15/05/ Impresiones: número de veces que los usuarios vieron el tweet) Interacciones: número de veces que el usuario ha interectuado con el tweet)

31 Aproximación pragmática no hay que resignarse Valor añadido Gestión de seguridad de las DMZ. Gestión de la navegación de usuario. Monitorización, gestión y actuación en los endpoints. Protección en el correo electrónico. Administración de entrada y salida de las comunicaciones. Gestión y obtención de ciberinteligencia a través del DNS. Actuación directa en los incidentes detectados por el SOC. Gestión de vulnerabilidades. Auditoría continua externa e interna. Control de aplicaciones (WAF). Revisión y acondicionamiento del ENS.

32 Conclusiones Conclusiones La parte más importante de las medidas a adoptar para protegerse recae en el propio personal del Organismo. Es preciso reforzar la capacidad de prevención, monitorización, vigilancia y respuesta en todas las instancias (ciudadanos, empresas y sector público). Cooperación de sectores público y privado. Impulso de la comunidad de inteligencia (construir confianza mutua). Vigencia del Ciclo de Inteligencia para contribuir a la ciberseguridad mediante identificación del atacante, determinación de sus objetivos y difusión de Inteligencia. Mejorar el intercambio de patrones de detección en cualquier formato (IOC, reglas Yara, etc.) junto con herramientas que faciliten el intercambio automático. Aumentar la disuasión a través de la capacidad de defensa. (generar dudas coste/beneficio al ciberatacante) Una respuesta más eficaz, centrada en la detección, la trazabilidad y el emprendimiento de acciones penales contra los ciberdelincuentes.

33 Decálogo de ciberseguridad 1. Aumentar la capacidad de Vigilancia. 2. Herramientas de Gestión Centralizada. 3. Política de seguridad. 4. Aplicar configuraciones de seguridad. 5. Empleo de productos confiables y certificados. 6. Concienciación de usuarios. 7. Compromiso de dirección (Dueños del Riesgo) 8. Legislación y Buenas Prácticas. 9. Intercambio de Información. 10.Trabajar como si se estuviera comprometido.

34 Centro Criptológico Nacional Muchas Gracias s Páginas web: