Professional Documents
Culture Documents
Información y Comunicaciones.
Conclusiones 2010
Tendencias 2011
SIN CLASIFICAR 2
Índice
• Centro Criptológico Nacional
- Marco Legal / Funciones
- CCN-CERT
• CIBERAMENAZAS 2010 / TENDENCIAS 2011
Agentes de la amenaza
Vulnerabilidades
Código dañino ENERO 2001:
Sobre 458 millones
Troyanos / Botnets usuarios Internet
Ataques servicios Web
SCADA
Otros ataques
Usuarios
Estrategias de ciberseguridad ENERO 2009:
Sobre 1.500 millones
Conclusiones usuarios Internet
SIN CLASIFICAR 3
Marco Legal
Real Decreto
Comisión 3/2010,del
Delegada de Gobierno
8 de enero, porasuntos
para el que sede
regula el Esquema
Inteligencia. DefineNacional de Seguridad
los objetivos del CNI. en el ámbito
de la Administración Electrónica
SIN CLASIFICAR 4
Marco Legal (1): CNI (Ley 11/2002)
Art. 4 a) Inteligencia
Art. 4 b) ContraInteligencia
Art. 4 c) Relaciones
Riesgos Art. 4 d) SIGINT
Emergentes
Art. 4 e) STIC
• Valorar y acreditar capacidad productos de cifra y Sistemas de las TIC (incluyan medios
de cifra) para manejar información de forma segura
• Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones
similares de otros países. Para el desarrollo de las funciones mencionadas, coordinación
oportuna con las Comisiones nacionales a las que la leyes atribuyan responsabilidades en
el ámbito de los sistema de las Tecnologías de la Información y de las Comunicaciones.
SIN CLASIFICAR 6
Marco Conceptual (1): Inteligencia y Seguridad
Riesgos
Emergentes
SIN CLASIFICAR 7
RD 3/2010
SIN CLASIFICAR 8
RD 3/2010
Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones
públicas.
1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los
siguientes servicios:
a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan
la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la
Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de
cualquiera de las administraciones indicadas.
El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier
agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados
en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados.
b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las
Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de
las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas,
instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los
sistemas de tecnologías de la información en la Administración.
d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de
diversas fuentes de reconocido prestigio, incluidas las propias.
SIN CLASIFICAR 10
Normativa
• 156 documentos, normas, instrucciones, guías y recomendaciones
(21 pendientes de su aprobación)
• Nueva serie 800: ESQUEMA NACIONAL DE SEGURIDAD
10 Guías
• Nueva clasificación:
Cumplen con el ENS
Adaptables al ENS
- CCN-STIC 000: Instrucciones/Políticas STIC
- CCN-STIC 100: Procedimientos
- CCN-STIC 200: Normas
- CCN-STIC 300: Instrucciones Técnicas
- CCN-STIC 400: Guías Generales
- CCN-STIC 500: Guías Entornos Windows
- CCN-STIC 600: Guías Otros Entornos
- CCN-STIC 800: Guías desarrollo ENS
- CCN-STIC 900: Informes Técnicos
SIN CLASIFICAR 11
Formación
Formar al personal de la Administración especialista en el campo
de la seguridad de los sistemas de las tecnologías de la
información y las comunicaciones.
Cursos de Especialización
Disponibles www.ccn-cert.cni.es
SIN CLASIFICAR 12
CCN-CERT
• MISIÓN:
- Ser el centro de alerta y respuesta de incidentes de seguridad,
ayudando a las AAPP a responder de forma más rápida y eficiente
ante las amenazas de seguridad que afecten a sus sistemas de
información.
• COMUNIDAD:
Administraciones Públicas de España
• HITOS RELEVANTES
• 2006 Creación
• 2007 Recon. internacional
• 2008 EGC
• 2009 Sondas SARA
• 2010 Sondas INTERNET
RD 3/2010
SIN CLASIFICAR • 13
Portal CCN-CERT
SIN CLASIFICAR 14
CCN-CERT …. www.ccn-cert.cni.es
SIN CLASIFICAR 15
SISTEMAS DE ALERTA TEMPRANA
• RED SARA:
- Servicio para la Intranet Administrativa
- Coordinado con Mº Presidencia.
- Portal de Informes.
• BENEFICIOS:
- Detección de Ataques
- Estadísticas propias y patrones de ataque
- Actualización de Firmas
SIN CLASIFICAR 16
AMENAZAS
VULNERABILIDADES
SIN CLASIFICAR 17
Ciberamenazas. Agentes
- Ciberespionaje
Estados
Objetivo: Industrias / empresas
Amenaza:
Servicios de Inteligencia /FFAA Hackers
Hackers
Otras empresas de la competencia
- Cibercrimen
Robo propiedad intelectual
Robo de información de tarjetas de crédito /
certificados
Fraude Telemático / Blanqueo de dinero
Robo de identidades…
- Ciberterrorismo
Comunicaciones / Obtención info Usuarios internos
Propaganda / financiación
Infraestructuras críticas ¿?
- Hacking Político / Patriótico
China- Japón; Azerbaiyán-Turquía; India-Pakistán; Árabe-Israelí….
SIN CLASIFICAR 18
Coste del cibercrimen
SIN CLASIFICAR 19
Vulnerabilidades 2010
-Desmotivación de investigadores
Programas de recompensas
SIN CLASIFICAR 21
Vulnerabilidades 2010. Conclusiones
SIN CLASIFICAR 22
Vulnerabilidades 2011. Tendencias
SIN CLASIFICAR 23
Amenazas 2010. Código Dañino
SIN CLASIFICAR 24
Características APT
• Patrón de ataque
-Escaso número de objetivos (10-100)
-No es detectado por el SW antivirus / IDS / Firewall de los equipos (No dispone de firma)
-Permanece sin ser detectado por MESES. Para la explotación / actualización usa
protocolos autorizados
SIN CLASIFICAR 25
Capacidad de defensa ante APT
-MONITORIZACIÓN DE SISTEMA
Despliegue de IDS.
Firewall / Proxy
Análisis de protocolos autorizados
SIN CLASIFICAR 26
ATAQUES. Tendencia para año 2010
1. Troyanos / Rootkits
Sistemas windows / unix
Exploits Dia CERO
4. Robo de información
Robo de equipos
SCADA
SIN CLASIFICAR 27
Zombies-Botnets
Robot network
“Botnet” es un término utilizado para una colección de robots
(software) autónomos que pueden ser controlados remotamente
por diversos medios (IRC / P2P) con propósitos maliciosos
SIN CLASIFICAR 29
Amenazas 2010. Código Dañino. Sistemas SCADA (1)
Algunos casos:
- Vertidos industriales
- Apagones en brasil
- Corte de cables submarinos
• Tendencia
- “U.S. government is seeing a rise
in cyber attacks aimed at taking
over control systems that
operate critical infrastructure”
SIN CLASIFICAR 30
Amenazas 2010. Código Dañino. Sistemas SCADA (2)
•Interconexiones sistemas
SIN CLASIFICAR 31
Amenazas 2010. Código Dañino. Sistemas SCADA (3)
STUXNET
• Características principales:
- Empleo de vulnerabilidad día 0 (Infección USB).
- Uso de dos certificados comprometidos
- ataques dirigidos contra sistemas SCADA
SIMATIC WinCC o SIMATIC Step7 de Siemens.
- Usa protocolo Web para la comunicación con los servidores
C&C
• CCN-CERT ID 01/10
- Detectado Julio 2010
SIN CLASIFICAR 32
Amenazas 2010. Código Dañino. Sistemas SCADA (3)
STUXNET
SIN CLASIFICAR 33
Ataques servicios Web. Tipos
• Vías de ataque
=
=
+
SIN CLASIFICAR - 34
-
Amenazas 2010. Teléfonos móviles
- Sistemas operativos
- Android (Google)
- iOS (iphone)
- Windows (6.5-7)
- Symbiam
- Nuevas amenazas (ZeuS 2.x)
- Código dañino
Llamadas entrantes y salientes
Mensajes SMS,
Ficheros descargados
Las coordenadas GPS
SIN CLASIFICAR 35
Amenazas 2010. Otras
SIN CLASIFICAR 36
Amenazas 2010. Otras
SIN CLASIFICAR 37
Amenazas 2011. Tendencias
1. Troyanos / Rootkits…. (APT)
Sistemas windows
Exploits Dia CERO
2. Robots de Internet (Botnet)
Ataques de DDoS / Robo información
3. Ataques servicios web
4. Robo de información (Usuarios internos)
Robo de equipos
Plataformas móviles
SCADA
SIN CLASIFICAR 38
Importancia del Factor Humano
SIN CLASIFICAR 41
Soportes de Información
SIN CLASIFICAR 43
2009. REINO UNIDO OBJ. ESTRATÉGICOS:
• Reducción del riesgo del uso del Reino Unido del Ciberespacio
actuando
- Sobre la amenaza (disminuyendo su motivación y capacidad)
- sobre sus vulnerabilidades y sobre el impacto de cualquier
actuación en los intereses nacionales.
• Aprovechar las oportunidades en el ciberespacio mediante
- La obtención de inteligencia que apoyo las políticas
nacionales
- Actuar contra los adversarios.
• Mejorar el conocimiento / capacidades / procesos de decisión
- Incrementando las actividades de concienciación
- Desarrollando una doctrina y sus políticas derivadas
- Mejorando las capacidades propias humanas y técnicas.
Presupuesto = 550 m£
SIN CLASIFICAR 44
Colaboración CERT,s
SIN CLASIFICAR 45
¿Qué estamos haciendo?. España… ENS
SIN CLASIFICAR 46
Conclusiones
• Vulnerabilidades
- Mejores prácticas en su tratamiento.
- Interés económico de los investigadores
- Vulnerabilidad dia CERO
• Código dañino
- APT. Ataque dirigido
- Botnet. Elevados niveles de infección.
- Servicios Web.
• Aproximación a la solución
- Estrategias nacionales en ciberseguridad
Fortalecer la capacidad de defensa proactiva
Problema transversal a gobiernos, empresas y ciudadanos.
ESQUEMA NACIONAL DE SEGURIDAD
SIN CLASIFICAR 47
• CÓMO CONTACTAR:
Gracias
- ens@ccn-cert.cni.es
- INCIDENTES
incidentes@ccn-cert.cni.es
- SAT SALIDAS INTERNET
sondas@ccn-cert.cni.es
- SAT RED SARA
redsara@ccn-cert.cni.es
- GENERAL
info@ccn-cert.cni.es
SIN CLASIFICAR