EVOLUCIÓN DEL CONCEPTO DE CIBERDEFENSA. Col. Javier López de Turiso y Sánchez Jefe del Estado Mayor del MCCD

Transcripción

1 EVOLUCIÓN DEL CONCEPTO DE CIBERDEFENSA Col. Javier López de Turiso y Sánchez Jefe del Estado Mayor del MCCD Pozuelo de Alarcón, 24 de mayo de 2018

2 ÍNDICE Antecedentes. Seguridad de la información. INFOSEC. Ciberdefensa. Ciberdefensa y operaciones militares. Operaciones en el ciberespacio. 2

3 TEORÍAS DE LAS CAPAS DEL CIBERESPACIO GEOGRÁFICA FÍSICA LÓGICA CIBERIDENTIDADES PERSONAS 3

4 TEORÍAS DE LAS CAPAS DEL CIBERESPACIO FÍSICA (Capa 1) Nodos: ordenadores, servidores, routers, hubs, switches, móviles, tablets, satélites, antenas, etc. Enlaces: cableados (fibra, cable) e inalámbricos (Wi-Fi, radio, 3G, 4G, etc.) Relacionada con la capa geográfica -> Relación fija o variable. LÓGICA (Capa 2) Datos, firmware, sistemas operativos, protocolos, aplicaciones y todo tipo de software generado mediante código. Dependiente de la capa física. Permite la comunicación de las ciberidentidades a través de los nodos y los enlaces. CIBERIDENTIDADES (Capa 3) Direcciones de correo-e, ID de usuario, cuentas de redes sociales, alias, etc. Identidades virtuales de personas/organizaciones reales. 1 persona/organización -> multiples ciberidentidades. 1 ciberidentidad -> multiples personas/organizaciones. 4

5 VULNERABILIDADES FALLOS FÍSICOS Equipos informáticos Electrónica de red Diseño Equipos de comunicaciones Fabricación Limitaciones estructurales Resistencia de los materiales FALLOS LÓGICOS Diseño Programación FALLOS HUMANOS Ignorancia Ingenuidad Protocolos Sistemas operativos Aplicaciones Negligencia De configuración Validación de entrada Salto de directorio Seguimiento de enlaces Inyección de comandos en el sistema operativo Secuencias de comandos en sitios cruzados (XSS) Inyección SQL Inyección de código Error de búfer (desbordamiento, agotamiento) Formato de cadena Errores numéricos Revelación/Filtrado de información Gestión de credenciales Permisos, privilegios y/o control de acceso Fallo de autenticación Carácter criptográfico Falsificación de petición en sitios cruzados (CSRF) Condición de carrera Error en la gestión de recursos Error de diseño (Abril 2018) 5

6 PROTECCIÓN DE LA INFORMACIÓN 6

7 SEGURIDAD DE LA INFORMACIÓN 7

8 SEGURIDAD DE LA INFORMACIÓN 1ª Política OTAN: 1950 C-M(55)15(Final) 2002 Revisión del C-M(55)15(Final) Anexo INFOSEC Identificación y aplicación de las medidas de seguridad para proteger información procesada, almacenada o transmitida en sistemas de información, comunicaciones o electrónicos contra la pérdida de confidencialidad, integridad o disponibilidad. 8

9 INFOSEC COMSEC COMPUSEC Medidas de seguridad para impedir a personas no autorizadas información de valor que podría derivarse del acceso y análisis de las telecomunicaciones o para asegurar la autenticidad de las mismas. CRYPTO TRANSEC EMSEC Medidas de seguridad para proteger las transmisiones de interceptaciones y/o explotación no autorizadas mediante el uso de medios de cifra. Medidas de seguridad para proteger las transmisiones de interceptaciones y/o explotación no autorizadas mediante el uso de otros medios distintos que la cifra. Medidas de seguridad contra la explotación de información procedente de las emisiones radioeléctricos de los sistemas propios. Aplicación de medidas de seguridad al HW, SW y FW de los sistemas informáicos para prevenir o protegerlo contra la divulgación, manipulación, modificación o borrado no autorizado de información o la denegación de servicio. SEGURIDAD SW SEGURIDAD HW Aplicaciones de seguridad para proteger los datos y los recursos que manejan las TIC. Medidas para asegurar que se emplea solo HW autorizado. 9

10 INFOSEC INFOSEC trata de: 1. Organización de la seguridad TIC. 2. Arquitectura de seguridad. 3. Documentación de seguridad. 4. Gestión de riesgos: amenazas de bajo riesgo y vulnerabilidades. 5. Controles de acceso 6. Inspecciones, auditorías y acreditaciones. 7. Seguridad en las interconexiones. 8. Cifrado. 9. Seguridad en las emisiones. 10. Eventos de seguridad: fallos y/o actividad maliciosa. 11. Configuraciones mínimas de seguridad. 12. Prevención y protección contra malware. Prevención Protección Recuperación 13. Violaciones de seguridad de información clasificada: divulgación, copia, etc. 14. Recopilación masiva de información no autorizada. 15. Insiders. 16. Escalado de privilegios de usuarios no autorizados. 17. Recuperación ante incidentes. 10

11 INFOSEC 2013 INFOSEC SEGURIDAD CIS (CIS Security) Aplicación de medidas de seguridad para la protección de los sistemas de información, comunicaciones y otros sistemas electrónicos y la información que es almacenada, procesada o transmitida en estos sistemas con respecto a la confidencialidad, integridad, disponibilidad, autenticación y trazabilidad. Y ESTO TIENE ALGO QUE VER CON LA CIBERSEGURIDAD? 11

12 CIBERSEGURIDAD 1 CIBERSEGURIDAD NACIONAL: estado a alcanzar Emana de la Estrategia de Ciberseguridad Nacional Seguridad Nacional (Ley 36/2015): La Defensa Nacional. La Seguridad Pública. La Acción Exterior. Ciberseguridad técnica Ciberdefensa Ciberseguridad Nacional 2 CIBERSEGURIDAD TÉCNICA: seguridad CIS Conjunto de medidas técnicas para la prevención del daño, protección y recuperación de equipos, redes, sistemas y servicios de información y de comunicaciones y la información que contienen para asegurar su confidencialidad, integridad, disponibilidad, autenticidad frente a amenazas identificadas. Es una parte de la CIBERDEFENSA. 12

13 SEGURIDAD CIS EL FOCO LAS TIC 13

14 EMPLEO MALWARE CAMBIO ESTRATÉGICO Nuevos retos emergentes. Nuevas amenazas: se potencian el espionaje y la explotación de información; aparece la interrupción a gran escala. Nuevas formas de actuación. Nuevas capacidades. 14

15 CAMBIO ESTRATÉGICO 15

16 CAMBIO ESTRATÉGICO EL FOCO LAS AMENAZAS 16

17 CAMBIO ESTRATÉGICO Amenaza: es cualquier actor con voluntad, que actúa con unas determinadas intenciones, que dispone de unas capacidades y que afecta a los activos explotando las oportunidades que se le ofrezcan o incidiendo en las debilidades existentes. Personas, organizaciones o estados: Hackers. Terroristas. Criminales. Organizaciones criminales. Partidos políticos extremistas. Movimientos religiosos fanáticos. Insiders. Servicios de inteligencia. Fuerzas militares adversarias. 17

18 CAMBIO ESTRATÉGICO Peligro: Es cualquier actor (involuntario, natural o fortuito), que actúa con negligencia, ignorancia o el azar, que dispone de un potencial dañino y que afecta a los activos incidiendo en las debilidades existentes. Riesgo: probabilidad de materialización de una amenaza o un peligro que produzca un impacto en la organización en términos de operatividad, de integridad física de personas, de material o de imagen. Riesgo = P(amenaza/peligro) x impacto. 18

19 CAMBIO ESTRATÉGICO LA NUEVA AMENAZA IMPLICABA: Intenciones determinadas. Acciones planificadas, organizadas y coordinadas. Acciones dirigidas sobre objetivos seleccionados (importantes, vulnerables, de fácil acceso, etc.) Acciones relacionadas distantes en tiempo y/o lugar. Elaboración y ejecución profesional: modo de operación y disciplina. Explotación de múltiples vulnerabilidades, muchas desconocidas. Capacidad de propagación discriminada. 19

20 CAMBIO ESTRATÉGICO TOMAR ACCIÓN Detectar, reaccionar y contrarrestar la amenaza. Averiguar su modo de operación: Acceso a recursos de red. Uso ilegítimos del sistema o de credenciales. Violación de la confidencialidad o la integridad Denegación de servicios. Alteración de datos. Introducción de código dañino. Descubrir el motivo de la acción: Sabotaje. Subversión. Espionaje. Terrorismo. Actividades criminales. Descubrir los autores (actores de la amenaza). Elaborar inteligencia de amenazas de otros sectores de la sociedad con posible repercusión en la Defensa. Actuar frente a amenazas identificadas y no identificadas. Proporcionar respuesta legítima, oportuna y proporcionada. 20

21 CAMBIO ESTRATÉGICO Adoptar nuevas medidas que sobrepasaban las funciones asignadas a la Seguridad CIS. Medidas contra la amenaza y sus formas de acción. MEDIDAS Detección Reacción AMENAZAS Capacidades de información y ciberinteligencia de amenazas. Capacidades de respuesta: dentro fuera de nuestras redes. 21

22 CAMBIO ESTRATÉGICO MEDIDAS focalizando las TIC Prevención Protección Recuperación MEDIDAS focalizando la AMENAZA Detección Reacción CIBERDEFENSA 22

23 CIBERDEFENSA 1ª Política OTAN: er Concepto OTAN: 2008 Concepto de Ciberdefensa (MC0571): Los medios para alcanzar y ejecutar medidas defensivas para contrarrestar los ciberataques y mitigar sus efectos y preservar la seguridad de los sistemas de información, comunicaciones y electrónicos o la información que es almacenada, procesada o transmitida por estos sistemas. Políticas. Conceptos. Entrenamiento. Instrucciones. Medidas pasivas y activas. Soluciones técnicas y no técnicas. Métodos, planes y procedimientos. 23

24 CIBERDEFENSA Concepto de Ciberdefensa (MC0571): Los medios para alcanzar y ejecutar medidas defensivas para contrarrestar los Ciberataque: ciberataques y mitigar sus efectos y preservar la seguridad de los sistemas de información, comunicaciones y electrónicos o la información que es almacenada, Acto procesada o acción o transmitida iniciada en por el ciberespacio estos sistemas. para causar daño, comprometiendo los sistemas de información, telecomunicaciones y electrónicos o la información que es almacenada, procesada o transmitida por estos sistemas. CRITERIO INTENCIÓN DE CAUSAR DAÑO 24

25 DEFENSA PREVENCIÓN PROTECCIÓN DETECCIÓN REACCIÓN RECUPERACIÓN CIBERDEFENSA Concepto de Ciberdefensa EXPLOTACIÓN ALERTA TEMPRANA CONOCIMIENTO SITUACIÓN INTELIGENCIA ATAQUE RESPUESTA OPORTUNA, LEGÍTIMA, PROPORCIONADA DEMOSTRACIÓN PODER MILITAR 25

26 CIBERDEFENSA DEFENSA PREVENCIÓN PROTECCIÓN DETECCIÓN REACCIÓN RECUPERACIÓN Monitorización. Recopilación e interpretación logs correlados. Creación, triaje, investigación y resolución de incidentes. Generación reglas correlación y detección. Recopilación e investigación de evidencias. Elaboración de procedimientos. MEDIDAS focalizando las TIC Prevención Protección Recuperación Seguridad CIS Capacidad de Defensa MEDIDAS focalizando la AMENAZA Detección Reacción 26

27 CIBERDEFENSA EXPLOTACIÓN ALERTA TEMPRANA CONOCIMIENTO SITUACIÓN INTELIGENCIA Capacidad de Explotación Permite obtener información del ciberespacio y elaborar inteligencia. Según la finalidad de la información, puede ser: Inteligencia en el ciberespacio: para ser empleada por cualquier ámbito, unidad u organismo. Ciberinteligencia: inteligencia de ciberamenazas para ser utilizada por las Fuerzas de Ciberdefensa para la ejecución de operaciones. 27

28 CIBERDEFENSA ATAQUE RESPUESTA OPORTUNA, LEGÍTIMA, PROPORCIONADA DEMOSTRACIÓN PODER MILITAR Capacidad de Ataque Respuesta legítima, oportuna y proporcionada en acciones específicas, en apoyo de otras Fuerzas o como demostración de fuerza militar en el ciberespacio. 28

29 CIBERDEFENSA PRIMEROS ENFRENTAMIENTOS AÉREOS (1914) PRIMERAS ACCIONES AÉREAS (1912) PRIMERAS COMBATES AÉREOS (1915) Aéronautique Militaire Servicio de Aeronáutica Militar Fliegentruppen Royal Flying Corps US Army Air Corps 1918 RAF 1933 L Armée de l Air 1935 Luftwaffe 1939 Ejército del Aire 1947 USAF 29

30 CIBERDEFENSA ACCIÓN REACCIÓN(ES) ESCALA DE ACCIONES MILITARES Acciones: a diario. Enfrentamientos: a diario. Combates: infecciones prolongadas y/o recurrentes (Conficker, Houdini, I Love You, etc.). Batallas: WannaCry, Petya, etc. Operaciones: Octubre Rojo, Careto, Harkonnen, etc. Campañas: phishing, APT. 30

31 CIBERDEFENSA Acciones puntuales o concatenadas DEFENSA EXPLOTACIÓN RESPUESTA DEFENSA EXPLOTACIÓN 31

32 CIBERDEFENSA Y OPERACIONES MILITARES ACCIONES DE CIBERDEFENSA PLANEAMIENTO Y CONDUCCIÓN Dirección Coordinación Control ACC. ESPECÍFICAS Planeamiento táctico ACC. CONJUNTAS Planeamiento operacional Fuerzas de Defensa Fuerzas de Explotación Fuerzas de Ataque OPERACIONES EN EL CIBERESPACIO 32

33 CIBERDEFENSA Y OPERACIONES MILITARES FUERZAS DE DEFENSA QUÉ, CÓMO, DÓNDE, CUÁNDO Decidir acciones defensivas no automáticas. Distribuir el esfuerzo defensivo. Priorizar la defensa de determinados sistemas. Decidir acciones de retardo o engaño. Decidir activar trampas o señuelos. Decidir la cuarentena de redes, sectores o sistemas. Decidir cortes de comunicaciones. Coordinar con otros organismos nacionales e internacionales. FUERZAS DE EXPLOTACIÓN Y ATAQUE QUIÉN, POR QUÉ, CONTRAS FUERZAS DE CIBERDEFENSA PLANEAMIENTO SEGÚN COPD Definir objetivos tácticos. Definir misiones y acciones: Defensivas. Explotación. Ataque. Apoyo Coordinación misiones de apoyo. Mando que apoya. Mando apoyado. Definir objetivos ciber e integrar en lista de objetivos conjuntos. Decidir investigación del atacante y su entorno. Decidir investigación del lugar de origen. Decidir efectos deseados. Decidir descubrimiento de vulnerabilidades adversarias. Decidir acciones de respuesta. 33

34 CIBERDEFENSA Y OPERACIONES MILITARES ESTRUCTURA OPERATIVA CONJUNTA MANDO DE OPERACIONES MANDO COMPONENTE TERRESTRE MANDO COMPONENTE MARÍTIMO MANDO COMPONENTE AÉREO MANDO COMPONENTE OPERACIONES ESPECIALES MANDO COMPONENTE CIBER OPLAN LCC OPLAN MCC OPLAN ACC OPLAN SOCC OPLAN CCC OBJETIVOS OPERACIONALES 34

35 OPERACIONES EN EL CIBERESPACIO Y CIBEROPERACIONES POR QUÉ SE HACEN OPERACIONES EN EL CIBERESPACIO? Porque el ciberespacio es un dominio de las operaciones, igual que el terrestre, el naval o el aeroespacial (Cumbre de Varsovia de la OTAN, 2016). QUÉ SON LAS OPERACIONES EN EL CIBERESPACIO? El empleo de capacidades operativas de ciberdefensa para llevar a cabo acciones coordinadas en tiempo, espacio y propósito por una autoridad militar para alcanzar objetivos militares o lograr efectos EN o A TRAVÉS del ciberespacio de acuerdo con lo establecido en una directiva, plan u orden. QUIÉN HACE LAS OPERACIONES EN EL CIBERESPACIO? La Fuerza de Ciberdefensa La Fuerza Conjunta 35

36 CIBERDEFENSA Y OPERACIONES MILITARES QUÉ TIPOS DE OPERACIONES SE HACEN EN EL CIBERESPACIO? Pasivas Activas 2013 Red (DODIN) Sistemas propios Pasivas MDI Respuesta Ataque Defensivas Ofensivas Sistemas adversarios Activas Prevención Protección Recuperación Detección Reacción OSINT CYTECH DoS Alteración 2015 Pasivas Defensa Sistemas propios Activas Explotación Sistemas adversarios Ataque 2016 Preparación entorno Pasiva Activa ISR Ataque Defensivas Ciber ISR Ofensivas Sistemas propios Sistemas adversarios Pasivas Activas 2018 Uso CIS Seguridad CIS De Infraestructura Manto. CIS Sistemas propios MDI Defensivas MDE No intrusiva Ciber ISR Intrusiva Sistemas adversarios Denegación Ofensivas Manipulación 36

37 CIBERDEFENSA Y OPERACIONES MILITARES QUÉ TIPOS DE OPERACIONES SE HACEN EN EL CIBERESPACIO? (2015) OPERACIONES DE DEFENSA Prevención Protección Recuperación Detección Reacción OPERACIONES DE EXPLOTACIÓN OPERACIONES DE ATAQUE 37

38 CIBERDEFENSA Y OPERACIONES MILITARES CYBERSPACE OPERATIONS IMSM mar 18 (2018) CIS Infraestructure Operations CIS Infraestructure Employment CIS Infraestructure Security CIS Infraestructure Operations & Maintenance Defensive Cyberspace Operations Internal Defence Measures External Defence Measures Cyberspace ISR Non-intrusive Collection Intrusive Collection Operational Preparation of the Environment Offensive Cyberspace Operations Denial Operations Manipulation Operations Operational Preparation of the Environment

39 CIBERDEFENSA Y OPERACIONES MILITARES (2015) (2018)

40 OPERACIONES EN EL CIBERESPACIO Y CIBEROPERACIONES CAMBIO DE PARADIGMA? 1. El ciberespacio no es una exclusividad de las Fuerzas de Ciberdefensa. 2. Se pueden considerar operaciones en el ciberespacio: a) En la capa 1 (física): i. Operaciones cinéticas contra los nodos y/o los enlaces. ii. Operaciones de guerra electrónica. iii. CCC: mando apoyado. b) En la capa 2 (lógica): i. Ciberoperaciones. ii. CCC: operaciones específicas, mando que apoya y mando apoyado. c) En la capa 3 (ciberidentidades): i. Operaciones de influencia. ii. CCC: mando que apoya. 40

41 OPERACIONES EN EL CIBERESPACIO Y CIBEROPERACIONES FÍSICA (Capa 1) Nodos: ordenadores, servidores, routers, hubs, switches, móviles, tablets, satélites, antenas, OPERACIONES etc. CINÉTICAS Enlaces: cableados (fibra, cable) e inalámbricos (Wi-Fi, radio, 3G, OPERACIONES DE GUERRA ELECTRÓNICA EFECTOS 4G, etc.) Relacionada con la capa geográfica -> Relación fija o variable. LÓGICA (Capa 2) Datos, firmware, sistemas operativos, protocolos, aplicaciones y todo tipo de software generado mediante código. Dependiente de la capa CIBEROPERACIONES física. Permite la comunicación de las ciberidentidades a través de los nodos y los enlaces. CIBERIDENTIDADES (Capa 3) Direcciones de correo-e, ID de usuario, cuentas de redes sociales, alias, etc. EFECTOS Identidades virtuales OPERACIONES de personas/organizaciones DE INFLUENCIAreales. 1 persona/organización -> multiples ciberidentidades. 1 ciberidentidad -> multiples personas/organizaciones. 41

42 CONCLUSIONES 1 EL CAMINO DE LAS OPERACIONES EN EL CIBERESPACIO 2002 < 2008 > INFOSEC SEGURIDAD CIS - CIBERSEGURIDAD Enfocada a las TIC. No son un fin en sí mismos. Medidas de prevención, protección y recuperación. Es la base para la ciberdefensa. 42

43 CONCLUSIONES 3 4 CIBERDEFENSA Enfocada a las TIC y a las amenazas. Medidas de Seguridad CIS (prevención, protección y recuperación) + medidas de detección y reacción. Se sustenta sobre la Seguridad CIS. Capacidades de Defensa, Explotación y Ataque. OPERACIONES EN EL CIBERESPACIO Ejecutadas por la Fuerza de Ciberdefensa. El fin: alcanzar la libertad de acción en el ciberespacio. Empleo operativo de las capacidades de Defensa, Explotación y Ataque. Diseño operaciones nacionales (2015), congruente con diseño OTAN (2018). 43

44 REFLEXIONES 1 EN UN FUTURO INMEDIATO Las operaciones en el ciberespacio podrán prevenir guerras. Las operaciones en el ciberespacio reducirán el coste de las guerras. Las operaciones en el ciberespacio ayudarán a ganar las guerras. 2 UNA VISIÓN ESTRATÉGICA En un futuro muy próximo, en el que las operaciones se desarrollarán en un entorno multidominio, donde todos van a estar interrelacionados, el dominio del ciberespacio será imprescindible para el control del espacio. El control del espacio, para alcanzar el control del aire. Quien controle el aire, controlará la superficie. 44

45 EVOLUCIÓN DEL CONCEPTO DE CIBERDEFENSA Col. Javier López de Turiso y Sánchez Jefe del Estado Mayor del MCCD Pozuelo de Alarcón, 24 de mayo de 2018