CENTRO CRIPTOLOGICO NACIONAL...
Transcript of CENTRO CRIPTOLOGICO NACIONAL...
Madrid, enero de 2013
CENTRO CRIPTOLOGICO NACIONAL
CIBERSEGURIDAD. UNA PRIORIDAD NACIONAL
SIN CLASIFICAR
SIN CLASIFICAR 2
Conceptos
- 1980-1990 --- COMPUSEC / NETSEC / TRANSEC
AMENAZAS NATURALES
- 1990 ---- INFOSEC
AMENAZAS INTENCIONADAS Hacker / Virus / Gusanos carácter destructivo..
- 2002 – INFORMATION ASSURANCE
AMENAZAS INTENCIONADAS (Operaciones de información) Usuarios internos Cibercrimen
- 2003 – PROTECCIÓN INFRAESTRUCTURAS CRÍTICAS Servicios críticos soportados sistemas de información 80% Sector privado
CIBERTERRORISMO
- 2006 – CIBERDEFENSA / CIBERSEGURIDAD
CIBERESPIONAJE. Atribución a los gobiernos / empresas….
SIN CLASIFICAR 3
Índice
• Centro Criptológico Nacional / CCN-CERT
- Marco Legal / Funciones
• CIBERSEGURIDAD
- Agentes / Coste ciberespionaje - APT
- Infraestructuras Críticas
• Estrategia Española de CIBERSEGURIDAD
- Situación actual.
- Deficiencias
- Objetivos / Líneas de acción
- LA 1 / LA 2 …
SIN CLASIFICAR 4
El CCN actúa según el siguiente marco legal:
Real Decreto 421/2004, 12 de marzo, que
regula y define el ámbito y funciones del CCN.
Ley 11/2002, 6 de mayo, reguladora del Centro
Nacional de Inteligencia (CNI), que incluye al
Centro Criptológico Nacional (CCN).
Marco Legal
Orden Ministerio Presidencia PRE/2740/2007, de 19
de septiembre, que regula el Esquema Nacional de
Evaluación y Certificación de la Seguridad de las
Tecnologías de la Información
Real Decreto 3/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad en el ámbito
de la Administración Electrónica
SIN CLASIFICAR 5
CCN-CERT. www.ccn-cert.cni.es
HITOS RELEVANTES
• 2006 Creación • 2007 Recon. internacional
• 2008 EGC
• 2009 Sondas SARA
• 2010 Sondas INTERNET
RD 3/2010
• 2012 CARMEN / Distribución reglas
MISIÓN
Contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta
nacional que coopere y ayude a responder de forma rápida y eficiente a las Administraciones
Públicas y a las empresas estratégicas, y afrontar de forma activa las nuevas
ciberamenazas.
COMUNIDAD
Responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de la
Administración y de empresas pertenecientes a sectores designados como estratégicos.
SIN CLASIFICAR
RD 3/2010 Esquema Nacional de Seguridad --- CCN-CERT
Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas. 1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes servicios:
a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas.
El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados.
b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros
de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración.
c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes.
d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias.
2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.
SIN CLASIFICAR
• RED SARA:
- Servicio para la Intranet Administrativa
- Coordinado con MINHAP.
- 49/58 áreas de conexión
• SONDAS SALIDAS DE INTERNET AAPP:
- Servicio por suscripción de los Organismos.
- Despliegue de Sensores.
- 38/42 sondas. Previstas 35-40.
• SISTEMA CARMEN
- Análisis LOG,s en el perímetro (Proxy….)
- Búsqueda anomalías de tráfico
- Fase piloto: 5 sondas
SISTEMAS ALERTA TEMPRANA
SIN CLASIFICAR
CLASIFICACIÓN DE LOS INCIDENTES
• APT con exfiltración información
• DoS Distribuido
CRÍTICOS
• Ataques Dirigidos
• DoS
• Código dañino específico
MUY ALTO
• Mayoría Incidentes
• Ataques externos sin consecuencias
• Código dañino genérico
BAJO / MEDIO / ALTO
Guía CCN-STIC-817– Criterios Comunes y Gestión de Incidentes
SIN CLASIFICAR
Estadísticas incidentes
SIN CLASIFICAR
Estadísticas incidentes / CRITICIDAD
2012
0
200
400
600
800
1000
bajo medio alto muyalto
crítico
172
900749
858
Criticidad de los Incidentes
2011
SIN CLASIFICAR 11
AGENTES DE LA AMENAZA
COSTE DEL CIBERESPIONAJE
SIN CLASIFICAR
Definiciones. Agentes de la amenaza
12
CIBERSEGURIDAD
La habilidad de proteger y defender las redes o sistemas de los ciberataques.
Estos según su motivación pueden ser:
CIBERESPIONAJE Ciberataques realizados para obtener secretos de estado, propiedad industrial, propiedad
intelectual, información comercial sensible o datos de carácter personal.
CIBERDELITO / CIBERCRIMEN
Actividad que emplea las redes y sistemas como medio, objetivo o lugar del delito.
HACKTIVISMO Activismo digital antisocial. Sus practicantes persiguen el control de redes o sistemas (sitios
web) para promover su causa o defender su posicionamiento político o social.
CIBERTERRORISMO Actividades dirigidas a causar pánico o catástrofes realizadas en las redes y sistemas o
utilizando éstas como medio.
CIBERCONFLICTO / CIBERGUERRA
CIBERATAQUE
Uso de redes y comunicaciones para acceder a información y servicios sin autorización
con el ánimo de robar, abusar o destruir.
SIN CLASIFICAR 13
2. Ciberdelito / cibercrimen Objetivo: Robo información de tarjetas de crédito / Fraude Telemático /
Blanqueo de dinero…
HACKERS y crimen organizado
3. Ciberactivismo
Objetivo: Ataques a servicios webs / Robo y publicación de datos e información sensible o de carácter personal.
ANONYMOUS y otros grupos
Hackers
Ciberamenazas. Agentes
1. Ciberespionaje / Robo propiedad intelectual Objetivo: Administraciones públicas / Empresas estratégicas
China, Rusia, Irán, otros… Servicios de Inteligencia / Fuerzas Armadas / Otras empresas
4. Uso de INTERNET por terroristas / Ciberterrorismo
Objetivo : Comunicaciones , obtención de información, propaganda o financiación // Ataque a Infraestructuras críticas
ETA , organizaciones de apoyo y Grupos Yihaidistas
SIN CLASIFICAR
• Definición APT / Ataques Dirigidos
- Ataque Dirigido Ciber Ataque “a medida” contra un objetivo concreto
(organización, empresa, red, sistema)
- Threat El atacante tiene la intención y capacidades para ganar acceso a
información sensible almacenada electrónicamente
- Persistent Una vez infectado, se mantiene el acceso a la red/sistema durante
un largo periodo de tiempo
Díficil de eliminar
- Advanced Habilidad de evitar la detección
Adaptabilidad al objetivo
Disponibilidad de recursos (tecnológicos, económicos, humanos)
SIN CLASIFICAR
INTRUSIÓN GENÉRICA
Access: Usuarios Equipos
Power: Controladores
de dominio
Data: Servidores
Aplicaciones
1. Objetivos en masa / dirigidos
2. Usuarios con altos privilegios
son el principal objetivo
3. Buscan credenciales “de lo que
sea”
4. Búsqueda de credenciales
cacheadas, cuentas de acceso a
dominio, correo electrónico, etc..
5. Si logran acceder a toda la red,
la empresa está perdida
SIN CLASIFICAR 16
TIEMPOS DE RESPUESTA EN UN APT
SIN CLASIFICAR
Ataques esponsorizados por estados
Mas de +10.000 “empleados” en la “fábrica” Se actúa sobre 30-40 objetivos diarios por atacante
Mejora en la “producción”: hasta 60 tipos de
“herramientas” diferentes
Alta “especialización”: por industrias y
geografías…
En proceso “continuo de mejora”: 50 universidades
haciendo I+D+i
SIN CLASIFICAR
Coste CIBERESPIONAJE. UK
18
27.000 M £
Ciudadanos …… 3.100 M£ Empresas……… 21.000 M£ Gobierno
2.200 M£
SIN CLASIFICAR
Defensa ante APT,s
Trabajar como si se estuviera infectado / comprometido. Equipos de seguridad permanentes
Configuraciones de seguridad. Reducción de privilegios. Políticas de
seguridad más estrictas.
Mayor vigilancia de red / logs equipos / Sistemas de gestión de eventos
Aproximación
Indicadores de Compromiso (IOC)
Búsqueda de anomalías
Necesidad de controlar:
Trafico de red / Usuarios remotos / Contraseñas Administración
SIN CLASIFICAR
Sectores que reciben más ataques en ESPAÑA
Energético
Transportes
Tecnologías de la Información
Industria Nuclear
Financiero
Sanidad
Alimentación Hídrico
Espacio
Industria Química
Instalaciones de Investigación
Administración
Infraestructuras Críticas
Aeroespacial
Defensa
Química
Comunicaciones
Energético
Ingeniería
Financiero
Derechos Humanos
Administración
Minería
Farmacéutico
Marítimo
Sectores Estratégicos
SIN CLASIFICAR 21
ESTRATEGIA ESPAÑOLA DE CIBERSEGURIDAD
SIN CLASIFICAR
Respuesta a incidentes. COORDINACIÓN
22
Fuerzas y Cuerpos de
Seguridad
OTROS MINISTERIOS / CCAA / AYUNTAMIENTOS
SIN CLASIFICAR
Situación Ciberseguridad ESPAÑA. Deficiencias
23
1. Existencia de duplicidades y sistemas que pueden llegar a depender de diversos
organismos.
2. Ausencia de un elemento coordinador en ciberseguridad que integre a todos los actores y
permita al gobierno conocer la situación nacional en este campo.
3. Insuficiencia de recursos humanos, técnicos y económicos, en los diferentes organismos
con competencias en ciberseguridad.
4. Escaso despliegue de mecanismos de defensa en las AA.PP., e insuficiente gestión de
infraestructuras comunes.
5. Reducida comunicación entre organismos del sector público y privado. Ausencia de
procedimientos y sistemas que permitan un intercambio seguro de información útil y
oportuna para implicar al sector privado.
6. Ausencia de un conjunto integrado de medidas de aplicación a los sectores afectados en
materia de ciberseguridad que permita la aplicación de la normativa de Protección de
Infraestructuras Criticas.
7. Escasez de recursos destinados a las capacidades de prevención y respuesta a las
actividades del terrorismo y la delincuencia en el ciberespacio..
8. …//…
SIN CLASIFICAR
Gracias • CÓMO CONTACTAR:
- INCIDENTES
- SISTEMAS ALERTA TEMPRANA
- GENERAL