CIBERAMENAZA Centro Criptológico Nacional C/Argentona 20, MADRID

Transcripción

1 CIBERAMENAZA 2016 Centro Criptológico Nacional C/Argentona 20, MADRID

2 El cambio es exponencial Sociedad de los datos Después de 2015 Sociedad de Internet Sociedad agraria 4000 a.c. ~ 1763 Sociedad industrial 1764 ~ ~ 2014 Consumo medio de información per cápita Penetración de internet Consumo medio de proteínas per cápita Consumo medio de electricidad per cápita

3 1991 El ordenador en tu MANO es más POTENTE Toda esta TECNOLOGÍA que el que cargaban estos 13 hombres en está ahora en un smartphone 1957

4 OCT 2015 Las REDES SOCIALES tienen un IMPACTO instantáneo y masivo ,490 1,

5 La disrupción en servicios es cada vez más rápida año 3 meses años 4 meses años 4 meses Tiempo necesario para alcanzar 100 millones de usuarios años 2 meses 4 años 6 meses años 5 meses años años años Año de lanzamiento

6 Ser disruptivos o no ser La mayor compañía de taxis del mundo, no tiene ningún coche Nueva York, 2015 El mayor dueño de contenidos del mundo, no los genera 6 años El minorista más valorado, no tiene inventarios El mayor proveedor de alojamientos, no posee ninguna propiedad Uber ha crecido más rápido en sus primeros 5 años que Facebook en los suyos

7 Vemos problemas de seguridad a diario Ficheros de datos perdidos o robados desde diariamente por hora por minuto 42 por segundo Puedes cambiar tu contraseña pero no tus datos personales

8 Huella Digital La huella digital de nuestra vida, consciente o desapercibida, tendrá un enorme valor económico en el futuro, y se podrá vender e intercambiar por efectivo, descuentos, productos o servicios que cada vez están más personalizados y adaptados al cliente. Si no estás pagando por el producto, TU eres el producto

9 9 Riesgos asociados a las redes sociales

10 10 Riesgos asociados a las redes sociales

11 11 Riesgos asociados a las redes sociales

12 12 Riesgos asociados a las redes sociales

13 13 Riesgos asociados a las redes sociales

14 14 Riesgos asociados a las redes sociales

15 ÍNDICE 1. CCN / CCN-CERT Marco Legal 2. ESTADO DE LA AMENAZA PARTE OFENSIVA PARTE DEFENSIVA 3. Concienciación en Ciberseguridad

16

17 El CCN actúa según el siguiente marco legal: Ley 11/2002, 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI), que incluye al Centro Criptológico Nacional (CCN) Real Decreto 421/2004, 12 de marzo, que regula y define el ámbito y funciones del CCN. Orden Ministerio Presidencia PRE/2740/2007, de 19 de septiembre, que regula el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica RD 951/2015, 4 de Noviembre. Actualización

18 Centro Criptológico Nacional Sobre el CCN Ley 11/2002 reguladora del Centro Nacional de Inteligencia, Real Decreto 421/2004, 12 de Marzo, que regula y define el ámbito y funciones del CCN. Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para la Administración Electrónica, modificado por el RD 951/2015 de 23 de octubre. Establece al CCN-CERT como CERT Gubernamental/Nacional HISTORIA 2006 Constitución en el seno del CCN 2007 Reconocimiento internacional 2008 Sistema Alerta Temprana SAT SARA 2009 EGC (CERT Gubernamentales Europeos) 2010 ENS y SAT Internet 2011 Acuerdos con CCAA 2012 CARMEN 2013 Relación con empresas 2014 LUCÍA e INES 2015 Ampliación SAT Internet 2016 REYES MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a las Administraciones Públicas y a las empresas estratégicas, y afrontar de forma activa las nuevas ciberamenazas. COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de la Administración y de empresas pertenecientes a sectores designados como estratégicos.

19 Actividades del CCN Normativa Art 2. Apdo.2a RD 421/2004: Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de las TIC Desarrollo normas, procedimientos, instrucciones y guías: Serie CCN-STIC Formación Art 2. Apdo.2b RD 421/2004: Formar al personal de la Administración especialista en el campo de la seguridad de las TIC Concienciación Cursos STIC Velar Art 2. Apdo.2f RD 421/2004: Velar por el cumplimiento normativa relativa a la protección de la información clasificada en Sistemas TIC Inspecciones técnicas STIC Análisis vulnerabilidades Auditorías de seguridad

20 Actividades del CCN Desarrollo Art 2. Apdo.2e RD 421/2004: Coordinar la promoción, desarrollo, obtención, adquisición, explotación y uso de tecnologías de seguridad Conocimiento amenazas Necesidades operativas Estado tecnología seguridad Conocimiento industria sector Evaluación Art 2. Apdo.2d RD 421/2004: Valorar y acreditar capacidades de productos de cifra para manejar información de forma segura Seguridad funcional Criptológica TEMPEST Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación del ámbito STIC APROBACIÓN DE USO Equipos para proteger información clasificada Difusión Limitada Routers IPSec De acuerdo con al configuración segura y el documento: - CCN-PE Configuración de seguridad routers IPSec - CCN-IT Implementación segura VPN con IPSec APROBADO Seguridad funcional Criptológica TEMPEST

21 Actividades del CCN Detección de la Amenaza Ley 11/2007 y Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para la Administración Electrónica. RD 951/2015, 23 de octubre. Actualización Diversidad de fuentes de información Sistemas de Alerta Ingeniería Inversa Análisis forense Gestión de Incidentes Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para la Administración Electrónica. RD 951/2015, 23 de octubre. Actualización Sistemas de gestión de incidentes Sistemas de intercambio de información

22 AMENAZAS 2015 TENDENCIAS 2016

23 Año Concepto Seguridad Amenaza Cambios Tecnológicos Compusec Netsec Transec Naturales Telecomunicaciones Sistemas Clasificados Infosec Info. Assurance Intencionadas Redes corporativas Sist. Control industrial Infraestructuras Criticas Ciberseguridad Ciberdefensa Ciberespionaje Ciberterrorismo Telefonía móvil Redes sociales Servicios en Cloud Ciberresiliencia Seg. Transparente Defensa activa Ciberguerra APT Hacktivismo BYOD Shadow IT //

24 Tomando el control Power: Controladores de dominio Data: Servidores Aplicaciones Access: Usuarios Equipos 1. Objetivos en masa / definidos 2. Usuarios con altos privilegios son el principal objetivo 3. Buscan credenciales de lo que sea 4. Búsqueda de credenciales cacheadas, cuentas de acceso a dominio, correo electrónico, etc.. 5. Si logran acceder a toda la red, la empresa está perdida

25 Definiciones. Agentes de la amenaza CIBERSEGURIDAD La habilidad de proteger y defender las redes o sistemas de los ciberataques. Estos según su motivación pueden ser: CIBERESPIONAJE Ciberataques realizados para obtener secretos de estado, propiedad industrial, propiedad intelectual, información comercial sensible o datos de carácter personal. CIBERDELITO / CIBERCRIMEN Actividad que emplea las redes y sistemas como medio, objetivo o lugar del delito. HACKTIVISMO Activismo digital antisocial. Sus practicantes persiguen el control de redes o sistemas (sitios web) para promover su causa o defender su posicionamiento político o social. CIBERTERRORISMO Actividades dirigidas a causar pánico o catástrofes realizadas en las redes y sistemas o utilizando éstas como medio. CIBERCONFLICTO / CIBERGUERRA CIBERATAQUE Uso de redes y comunicaciones para acceder a información y servicios sin autorización con el ánimo de robar, abusar o destruir. 25

26 Vulnerabilidad Tecnología El 90% de los incidentes aprovechan un defecto del software ya conocido (No son zero-day) El análisis de 45 aplicaciones de negocio mostró que cerca del 70% de los defectos de seguridad eran defectos de diseño Un millón de líneas de código tiene una media de entre 1000 y 5000 defectos software en producción Existe una demostrada incapacidad de los fabricantes para desarrollar aplicaciones carentes de vulnerabilidades

27 Ciberamenaza La ciberamenaza es una de las amenazas más importantes del siglo XXI. La tecnología forma parte ya de nuestras vidas, la ciberseguridad va irremediablemente unida a ella. No se es consciente de hasta qué punto el día a día de los ciudadanos depende de un adecuado nivel de ciberseguridad Los dos retos más importantes a los que nos enfrentamos en relación con la ciberseguridad son: La complejidad y sofisticación de los ciberataques La falta de formación y concienciación en profesionales y directivos En el actual escenario mundial, las ADMINISTRACIONES PÚBLICAS y EMPRESAS son objetivos de primera línea de los ciberataques. Ya no sólo las atacan los empleados descontentos, los hackers, los ciberdelincuentes o los grupos criminales, también los Estados.

28 Incidentes

29 Ciberataque. Motivación Atacantes - Motivación ROBO DE INFORMACIÓN BENEFICIO ECONÓMICO PROVOCACIÓN DE DAÑOS REIVINDICACIÓN SOCIAL O POLÍTICA SUPERIORIDAD EN EL CIBERESPACIO Ciberespionaje Ciberdelito Ciberterrorismo Hacktivismo Ciberdefensa

30 Ciberamenaza. Agentes

31 Ciberamenaza. Agentes Ciberespionaje/Robo patrimonio tecnológico, propiedad intelectual China, Rusia, Irán, otros Servicios de Inteligencia/Fuerzas Armadas/Otras empresas 2. Ciberdelito/Cibercrimen Hackers y Crimen Organizado = 3. Ciberactivismo ANONYMOUS y otros grupos Usuarios Internos Uso de INTERNET por terroristas Objetivo : Comunicaciones, obtención de información, propaganda, radicalización o financiación 5. Ciberterrorismo Ataque a Infraestructuras críticas y otros servicios

32 Ciberamenaza. APT Estados / Industrias / Empresas Ataques Dirigidos (APT) Dificultad de atribución. Contra los Sectores Privado y Público. Ventajas políticas, económicas, sociales RUSIA Utilización de herramientas diseñadas específicamente contra el objetivo Conocimiento técnico muy elevado Evitar atribución Esfuerzo HUMINT AA.PP. CHINA Programa activo desde Interés en Propiedad intelectual EMPRESAS Aeroespacial / Energía / Defensa / Gubernamental / Farmacéutico / Químico / Tecnologías de información / Financiero / Transporte Uso de herramientas comerciales Diferentes grupos con nivel técnico diverso OTROS PAÍSES?

33 Agentes de la Amenaza. Niveles Clasificación por capacidades Nivel 1 Nivel 2 Nivel 3 Nivel 4 Profesionales que emplean desarrollos de código dañino y mecanismos de infección de terceros (usan exploits conocidos). Profesionales de gran experiencia que desarrollan herramientas propias a partir de vulnerabilidades conocidas. Profesionales que se focalizan en el empleo de código dañino desconocido. Usan Rootkits en modo usuario y kernel. Usan herramientas de minería de datos. Atacan personal clave en las organizaciones para robar datos personales / corporativos para su venta a otros criminales. Grupos Criminales / esponsorizados por Estados organizados, con capacidades técnicas y financiados para descubrir nuevas vulnerabilidades y desarrollar exploits. Nivel 5 Nivel 6 Grupos esponsorizados por Estados que crean vulnerabilidades mediante programas de influencia en productos y servicios comerciales durante su diseño, desarrollo o comercialización o con la habilidad de atacar la cadena de suministro para explotar redes / sistemas de interés. Estados con la capacidad de ejecutar operaciones conjuntas (ciber, de inteligencia y militares) para conseguir sus objetivos políticos, económicos, militares

34

35 Ciberataque. Factores de la Amenaza

36 Ciberataque. Fases Entorno Intrusión Establecimiento Credenciales, Propagación Instalación Fuga Mantener estándar datos inicial persistencia utilidades incremento (exfiltration) de de puerta red y informática de quién trasera privilegios sabe? (backdoor) Atacante C&C CLOUD Servidores repositorio atacante INTERNET DIVISIÓN B Contraseña? Admin? Keylogger DIVISIÓN C Contraseña? Admin? Keylogger PROVEEDOR DIVISIÓN A SUBSIDIARIA RED INTERCONEXIÓN CORPORATIVA SUBSIDIARIA Contraseña? Admin? Keylogger

37 Ciberamenaza. Infraestructura Infraestructura Siempre Varios saltos para dificultar la geolocalización del ataque, Se utilizan diferentes infraestructuras para realizar los ciberataques: Infraestructura propia Compra de VPS (Virtual Private Server) en empresas que ofrecen estos servicios, utilizando datos ficticios. Uso de servicios de DNS dinámico. Infraestructura prestada Comprometimiento de servidores web legítimos. Comprometimiento de servidores web del objetivo. Varios saltos para evitarla geolocalización del ataque. Se puede obtener el código fuente del servidor de mando y control. Dificulta la detección de la infección.

38 Ciberamenaza. Comunicaciones Comunicaciones Externas/Internas Comunicaciones externas Básico. Protocolo HTTP. Puerto 80 / 443. Comunicación periódica contra el servidor de Mando y Control Medio. Uso de cifrado simétrico Avanzado. Uso de cifrado asimétrico (PGP / GPG). Comunicación distribuida contra varios servidores de Mando y Control Comunicaciones internas Protocolo SMB Uso de tuberías nombradas (named pipes) Conexiones a IPC$ Utilización de credenciales de administración

39 Ciberamenaza. Comunicaciones Comunicaciones Externas. Exfiltración. Diferentes formas de enviar la información robada: Básico. Dentro de peticiones POST hacia el servidor de Mando y Control Medio. Subida a un FTP externo hackeado Avanzado Uso de redes sociales: Twitter, Facebook, Uso de correo electrónico: GMail, Yahoo!, Uso de servicios de almacenamiento en la nube: DropBox, Amazon AWS, Google Drive, Uso de Google Docs Tratamiento de la información robada B/M Compresión de ficheros con contraseña utilizando el compresor rar. Almacenamiento información robada en papelera de reciclaje del equipo A. Contenedores cifrados NO Visibles.

40 Ciberamenaza. Herramientas Malware Dependiendo de los recursos disponibles se utiliza malware comercial o desarrollado a medida. Por qué malware comercial? No hay que invertir recursos adicionales. Se puede modificar para que sea invisible ante los antivirus. Porque FUNCIONA. EJEMPLOS: WebC2 Para comunicarse con su servidor de mando y control introduce comentarios dentro del código HTML Poison Ivy Del tipo RAT (Remote Administrator Tool). Altamente configurable Cifrado de las comunicaciones

41 Ciberamenaza. Vectores de Infección Vector de infección. Correo electrónico En el 75 % de los casos se utilizan ataques de Spear Phishing para conseguir la infección de la red objetivo. Correo electrónico especialmente diseñado para engañar al receptor y obtener datos sensibles de éste. Se centra únicamente en objetivos concretos Analizar: Cabeceras del correo electrónico Cuerpo Anexos / enlaces

42 Ciberamenaza. Vectores de Infección Vector de infección. Watering Hole Este ataque está relacionado con Drive-by Download Attack: cualquier tipo de descarga e instalación de software no deseado desde Internet (programas, ActiveX., Java Applets ) típicamente a través de , ventanas de pop-up o una web Ataque a un grupo concreto de usuarios con un interés común donde se compromete un sitio confiable para todos ellos de manera que, al visitarlo, queden infectadas o se descarguen aplicaciones maliciosas.

43 Ciberamenaza. Colonización/Persistencia Colonización / Persistencia Acciones realizadas por el atacante dentro de nuestra red: Robo de credenciales mimikatz, gsecdump Fuerza bruta contra controladores de dominio Instalación de puertas traseras Instalación de shell remotas en servidores Infección de equipos con otro tipo de malware Otras acciones que suelen realizarse por parte de los atacantes: Si son descubiertos, lanzan un ataque DDoS como distracción. Mayor resistencia a la Ingeniería Inversa. Mayor Seguridad de Operaciones. Cese de actividad en un período de tiempo Maniobras distracción, mayor relación con otros grupos Menor actividad en países de habla inglesa Empleo de nuevas técnicas Watering Hole

44 Ciberataque. Taxonomía - Socio-Política, que vincula al Adversario con su Víctima - Tecnológica, que vincula la Infraestructura con la Capacidad Atacantes Actores Motivación Financiación Formación Modus Operandi // Infraestructuras Sistemas C&C Nodos Saltos IP,s / Dominios // Capacidades Exploits propios Vectores infección Cifrado / RAT Persistencia // The Diamond Model of Intrusion Analysis Víctimas Sectores afectados Métodos detección //

45 Ciberamenaza. Factores Factores facilitadores de los Ciberataques (INSUFICIENTE PROTECCIÓN) - Falta de concienciación = Éxito de la Ingeniería Social Infecciones rápidas y masivas - Existencia de vulnerabilidades día cero - Sistemas de Seguridad Reactivos No se quieren falsos positivos Actualizaciones lentas o sin ejecutar en algunas tecnologías - Poco personal dedicado a seguridad Escasa vigilancia. Solo el perímetro Fácil progresión por las redes internas de las organizaciones - Mayor superficie de exposición: redes sociales, telefonía móvil y servicios en la nube - Organizaciones poco proclives a comunicar incidentes - La atribución es MUY DIFÍCIL.

46 Ciberamenaza. APT Qué hemos aprendido todos este tiempo sobre las APT?

47 Ciberamenaza. APT Advanced Persistent Threat Ataque Dirigido Threat Ciber Ataque a medida contra un objetivo concreto (administración, empresa, red, sistema). El atacante tiene la intención y capacidades para ganar el acceso a información sensible almacenada electrónicamente. Persistent Una vez infectado, se mantiene el acceso a la red/sistema durante un largo periodo de tiempo Muy difícil de eliminar Advanced Habilidad de evitar la detección Se adapta al objetivo Disponibilidad de recursos tecnológicos, económicos, humanos

48 Ciberamenaza. APT

49 Ciberamenaza. Tiempos Actuación TIEMPOS DE RESPUESTA EN UN APT VERIZON rp_data-breach-investigations 2012

50 Ciberamenaza. APT CAMPAÑAS MÁS CONOCIDAS Agent BTZ ( ) Snake / Uroburos / Turla (2006) USBLink/Zawadi (2010/2013/2015) Red October (2013) WebDav (2014) Energetic Bear / Dragonfly (2014) Crounching Yeti Duke (APT29) ( ) TeamSpy (2010) Sofacy/APT 28 (2015)

51 Ciberamenaza. Tendencias 2016 Respecto de El número de atacantes (estados o delincuentes profesionales) con capacidad para desarrollar ciberataques Es de esperar aumentará. Debido al número limitado de desarrolladores de software de calidad el denominado Cybercrime-As-A-Service aumentará, reduciendo las barreras de entrada para los ciberdelincuentes. La sofisticación de los adversarios El spear-phishing se incrementará, por lo que la detección y la respuesta serán más difíciles. seguirá siendo muy utilizado por los atacantes, así como es previsible el aumento de las infecciones por Watering Hole. El Ransomware/Cryptoware seguirá siendo una amenaza de las de mayor importancia. Los adversarios con altas capacidades de destrucción (ciberterrorismo) aumentarán en número, así como el volumen de incidentes. No se prevé incremento sustancial en las capacidades técnicas Las desfiguraciones de páginas web y secuestro de medios de comunicación social aumentará.

52 Me puede pasar a mí?

53 IMPACTO EN ORGANIZACIONES

54 Debilidades de Nuestros Sistemas de Protección Falta de concienciación y desconocimiento del riesgo Sistemas con Vulnerabilidades, escasas configuraciones de seguridad y Seguridad Reactiva. (OBJETIVOS BLANDOS) Poco personal de seguridad y escasa vigilancia Ausencia herramientas faciliten investigación Mayor superficie de exposición (Redes sociales, Telefonía móvil (BYOD) y Servicios en nube) Afectados NO comparten información. NO comunican incidentes

55 Informe ransomware

56 Ciberamenaza. Tendencias 2016 Familia y versión de ransomware:

57 Qué es el ransomware? Ransom = Rescate Ware = Software 57

58 Historia del ransomware I AIDS ransomware Dr. Joseph Popp diseña aplicación sobre el virus del SIDA Aplicación de pago, pide renovación licencia Cuando el equipo es arrancado 90 veces Cifrado simétrico 58

59 Historia del ransomware II 1996 Primera PoC de ransomware usando RSA 2006 Reaparición usando RSA y claves de 660 bits 2011 Virus de la Policía 2013 Aparición de CryptoLocker 59

60 Tipos Ransomware Locker (Virus Policía) CriptoVirus 60

61 Evolución histórica 61

62 Víctimas Home users Empresas Instituciones públicas 62

63 Tendencias actuales Windows OSX Teslacrypt Locky Torrentlocker [ ] KeRanger Linux Linux.Encoder 63

64 Nuevas tendencias Web Servers Móviles SmartWatch TV s [IoT] 64

65 Ciberamenaza. Tendencias 2016

66 Locky Malware diseñado para robar datos bancarios. Las víctimas reciben un correo electrónico que simula ser una factura o el envío de un paquete con un albarán adjunto. Los equipos se infectan al descargar el archivo adjunto de Microsoft Word que contiene macros. Este malware cifra los archivos del ordenador y exige un pago a quien quiera recuperar el control del equipo infectado. 66

67 Teslacrypt Ransomware que se dirige a 185 extensiones de archivos relacionados con 40 juegos diferentes, cifrando dichos archivos. Las últimas versiones también infectan equipos sin juegos instalados, buscando extensiones típicas de archivos Word o pdf. Este malware aprovecha una vulnerabilidad de Adobe Reader para infectar los equipos. 67

68 Nuevas tendencias - Abril 2016 Petya Tipo de ransomware que está empezando a detectarse durante este mes. Cifra la MFT y modifica el MBR. Ya existe descifrador! 68

69 Nuevas tendencias - Abril 2016 Campaña de Correos Se recibe un indicando que se intentó entregar un paquete sin éxito. Se adjunta una url donde acceder para ver los datos del envío, esta url lleva una redirección para la descarga del ransomware. Esta campaña utiliza una variante de torrentlocker conocida como crypt0l0cker, se han detectado 7 oleadas hasta la fecha, reportándose 151 incidentes en lo que va de

70 Medidas preventivas Mantener copias de seguridad periódicas de los datos importantes Mantener el sistema actualizado con los últimos parches de seguridad Mantener un antivirus actualizado con las últimas firmas de código dañino, así como una correcta configuración de los firewalls. Disponer de sistemas antispam a nivel de correo electrónico Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware Bloquear el tráfico relacionado con dominios y servidores C&C mediante un IDS/IPS Establecer una defensa en profundidad empleando herramientas como EMET No utilizar cuentas con privilegios de administrador. 70

71 Deshabilitar JS en Acrobat Reader 71

72 Deshabilitar Flash y PDF en Chrome Chrome://plugins 72

73 Desinstalar QuickTime Sin soporte de Apple 2 vulnerabilidades críticas descubiertas 14/04/

74 Medidas reactivas Desconectar las unidades de red. Comprobar si el proceso dañino aún sigue ejecutándose. Finalizar la ejecución del proceso dañino. Arrancar el equipo en Modo Seguro. Realizar una copia de seguridad del equipo. Comunicar el incidente de seguridad al equipo/persona competente. 74

75 Estadísticas 2015 Tipo Nº incidentes Cryptolocker 93 Torrentlocker 89 Teslacrypt 73 Cryptowall 109 Otros 73 Otros 17% Cryptolocker 21% Cryptowall 25% Torrentlocker 20% Teslacrypt 17% 75

76 Estadísticas 2016 Tipo Nº incidentes Locky 231 Teslacrypt 132 Torrentlocker* 151 Otros 37 Otros 7% Torrentlocker 27% Locky 42% * Incluye Crypt0l0cker Teslacrypt 24% 76

77 Solución general? 77

78 Ciberamenaza. Tendencias 2016 El día de mañana o o o o o Windows, Linux, OS X, Android, ios... uno no sabe ya donde esconderse o qué medidas tomar. Puedes desactivar Java, Flash e incluso reducir el uso de Javascript, usar un navegador seguro y actualizado e incluso no andar por ahí con una cuenta privilegiada o analizar los adjuntos del correo. Ya no te infectas navegando o te hacen llegar un archivo con "las nóminas de todo el personal.xls.exe". Se aprovechan de nuestra confianza en qué aquello que estamos descargando es "está limpio" porque viene de un sitio conocido o controlado. Ni eso al final, el malware encontrará un resquicio por donde pasar.

79 Prevención Prevención La Prevención abarca todas las actividades de: Concienciación Formación Elaboración de políticas, procedimientos y requisitos de seguridad Desarrollo, evaluación y certificación de la seguridad de productos y sistemas Implementación de medidas técnicas, configuraciones y arquitecturas de seguridad Valoración, inspección, acreditación y auditoría de la seguridad

80 Prevención Usuarios registrados por origen 2% 5% Usuarios Portal CCN-CERT 14% 12% 67% general autonómica local universidades empresas Formación - Cursos STIC

81 Detección Detección La Detección abarca todas las actividades de: Despliegue de detectores y sistemas de alerta Recolección de logs, monitorización de tráfico y vigilancia de la red Análisis de malware, ingeniería inversa y análisis forense Caracterización técnica de la amenaza y elaboración de inteligencia técnica sobre la misma

82 Detección Sistemas de Alerta Temprana (SAT) RED SARA [SAT- SARA] Servicio para la Intranet Administrativa Coordinado con MINHAP-SEAP 49/54 Áreas de Conexión SALIDAS DE INTERNET [SAT INET] Servicio por suscripción Basado en despliegue de sondas. 96 Organismos / 115 sondas

83 Detección Sistema Alerta Temprana Entidades Locales 11% Universidades 7% Empresas 12% Ad. Autonómica 13% AGE 57%

84 Respuesta Respuesta La Respuesta abarca: Por una parte, todas las actividades para: Neutralizar técnicamente la amenaza Limpiar y desinfectar los sistemas Mitigar el impacto Elaborar inteligencia sobre la amenaza, su impacto y sobre el agente de la amenaza Por otra parte, también puede suponer llevar a cabo acciones de respuesta de carácter Político / Diplomático Contrainteligencia/operaciones de información Militar/Information Warfare Legal, judicial y/o policial.

85 Ciberseguridad. Herramientas HERRAMIENTAS DETECCIÓN ANÁLISIS AUDITORÍA INTERCAMBIO

86 Ciberseguridad. Retos RETOS DE LA CIBERSEGURIDAD Ser menos vulnerable Equilibrio entre Privacidad y Seguridad Desplegar y Coordinar Sistemas de Alerta Colaboración Pública-Privada Concienciación y Formación Capacitación Técnica e Inteligencia Capacitación Legal Estímulo de la Economía vs Ciberseguridad

87 Ciberseguridad. Decálogo 1. Aumentar la capacidad de Vigilancia. 2. Herramientas de Gestión Centralizada. 3. Política de seguridad. 4. Aplicar configuraciones de seguridad. 5. Empleo de productos confiables y certificados. 6. Concienciación de usuarios. 7. Compromiso de dirección (Aceptación Riesgo) 8. Legislación y Buenas Prácticas. 9. Intercambio de Información. 10.Trabajar como si se estuviera comprometido.

88 Qué puedo hacer yo?

89 Vector de entrada - Ingeniería Social En el 95% de los casos se utilizan ataques de spear phishing para conseguir la infección de la red objetivo. En qué consiste el spear phishing? Correo electrónico especialmente diseñado para engañar al receptor y obtener datos sensibles de éste. En qué se diferencia del phishing? El phishing está pensado para engañar a un elevado número de víctimas, mientras que el spear phishing se centra únicamente en objetivos concretos.

90 Vector de entrada - Ingeniería social Cómo cazar un bicho? Cuidado con los adjuntos Ejecutable Realmente alguien sigue ejecutando ficheros.exe desde el correo hoy en día? Solución: RTLO, salvapantallas (.scr) Word, Excel, PowerPoint PDF Se debe evitar la apertura de estos ficheros si no estamos seguros completamente del remitente. Macros!! Se debe evitar la apertura de estos ficheros si no estamos seguros completamente del remitente. Uso de herramientas corporativas!! SIN CLASIFICAR

91 Telefonía móvil. De diversificación a oligopolio en sistemas operativos Cuota de ventas I Unidades 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Other 1T09 1T10 1T11 1T12 1T13 1T14 4T % Un riesgo potencial adicional Posición dominante en Preferencias del consumidor Plataformas de servicios Servicios y aplicaciones Dispositivos

92 Teléfonos móviles. Código dañino - Código dañino Llamadas entrantes y salientes Mensajes SMS, Ficheros descargados Las coordenadas GPS Mensajeria (Whatsup ) Lista de contactos CCN-STIC 450/53/54/55/57 CCN-STIC 827

93 Cómo de seguro es tu PIN. Dónde lo almacenas? 80% Comienzan desde una esquina 45% Comienzan desde esquina superior izda. De media usan sólo 5 puntos = combs. MÁS SIMPLE QUE UN PIN DE 4 DÍGITOS Ignorancia de buenas prácticas de seguridad y a la falta de concienciación por parte de los usuarios del Sistema

94 Teléfonos móviles. Seguridad en las aplicaciones A qué acceden? 1. Revisa los permisos de las aplicaciones que instalas 2. Restringe al máximo los privilegios de las apps 3. El mejor antivirus es el sentido común 4. La política de seguridad debe ser equivalente a la aplicada a los portátiles corporativos 94

95 Soportes de Información En los discos duros de los ordenadores hay enormes cantidades de datos ocultos para los usuarios, pero fácilmente accesibles. Entre estos datos se encuentran archivos que ingenuamente creemos que hemos borrado, claves de acceso, versiones descifradas de archivos confidenciales y todo tipo de rastros sobre la actividad del equipo. Cuidado con las copias sin cifrar! Usar unidades de red Número de tarjeta de crédito Copias en legibles de los documentos cifrados Los registros temporales con datos de clientes Claves de acceso a sitios seguros 95

96 Ciberamenaza. Conclusiones CONCLUSIONES Incremento constante del número, sofisticación y complejidad de los ciberataques El ciberespionaje sobre las administraciones públicas y las empresas estratégicas es la amenaza más importante para los intereses nacionales y la seguridad nacional La dificultad de atribución es el factor que caracteriza esta amenaza en relación con otras. La amenaza procede tanto de países con intereses encontrados como de países amigos. Es preciso reforzar la capacidad de prevención y protección en todas las instancias del Estado (ciudadanos, empresas y administraciones públicas) Es preciso reforzar las capacidades de INTELIGENCIA para la identificación de atacantes, determinación de sus objetivos y difusión de Inteligencia al respecto.

97 s Websites Gracias