amenazas / vulnerabilidades 2008 ccn-cert. respuesta a … · 2015-11-05 · certificación de...
TRANSCRIPT
![Page 1: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/1.jpg)
Amenazas / Vulnerabilidades 2008
CCN-CERT. Respuesta a Incidentes en AAPP
Madrid, Junio de 2008
![Page 2: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/2.jpg)
2SIN CLASIFICAR
Presentación
FORO: Observatorio DINTEL
SESIÓN: Amenazas y Vulnerabilidades previstas para 2008. CCN-CERT Respuesta a incidentes en las AAPP.
OBJETIVO: Describirlas amenazas y vulnerabilidades previstas para 2008 y la iniciativa de CERT Gubernamental.
PONENTE: - Centro Criptológico Nacional
FECHA: 16 de junio de 2008
![Page 3: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/3.jpg)
3SIN CLASIFICAR
Índice
* I. INTRODUCCIÓN / QUE ES EL CCN* II. NUEVAS TECNOLOGÍAS VULNERABILIDADES /
AMENAZAS- SW Dañino.
- Caballos de Troya
* III. CCN-CERT. - Capacidad de Respuesta a Incidentes
* IV. CONCLUSIONES
![Page 4: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/4.jpg)
4SIN CLASIFICAR
Marco Legal
Ley 11/2002, 6 de Mayo, regula el Centro Nacional de Inteligencia (CNI), que incluye al Centro Criptológico Nacional (CCN).
Real Decreto 421/2004, 12 de Marzo, que regula y define el ámbito y funciones del CCN.
Orden Ministerial PRE/2740/2007 de 19 de septiembre, por la que se establece el Reglamento de Evaluación y Certificación de la Seguridad de las TIC
Comisión para asuntos de Inteligencia, Modificar la actividad del CCN de forma proactiva para mitigar los riesgos.
![Page 5: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/5.jpg)
5SIN CLASIFICAR
Funciones del CCN (RD 421/2004)
• Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de las TIC en la Administración.
• Formar al personal de la Administración especialista en el campo de la seguridad de las TIC.
• Constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de aplicación a productos y sistemas de su ámbito.
• Valorar y acreditar capacidad productos de cifra y Sistemas de las TIC (incluyan medios de cifra) para manejar información de forma segura.
• Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los Sistemas antes mencionados.
• Velar por el cumplimiento normativa relativa a la protección de la información clasificada en su ámbito de competencia (Sistemas de las TIC)
• Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países,
• Para el desarrollo de las funciones mencionadas. Coordinación oportuna con las Comisiones Nacionales a las que la leyes atribuyan responsabilidades en el ámbito de los sistema de las Tecnologías de la Información y de las Comunicaciones.
![Page 6: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/6.jpg)
6SIN CLASIFICAR
Operadoras
y proveedores de servicios
Entornos de trabajo
Sistemas de la
Administración
Ciudadano
y PYME
Seguridad y
Defensa
Infraestructuras críticas
Sectores estratégicos
![Page 7: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/7.jpg)
7SIN CLASIFICAR
Vulnerabilidades. Tendencias 2008
1. SISTEMAS OPERATIVOSWINDOWS /LINUXAplicaciones (Office, Acrobat…)Ataques a clientes
2. MENSAJERIA INSTANTANEAPropagación de ROBOTS
3. VIDEOS /WEB SOCIALESYouTube; MySpace….Envio de Spyware / Adware / Troyanos
4. Infraestructuras críticasProgramas SCADA
5. Teléfonos móviles
6. Usuarios sin formación
![Page 8: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/8.jpg)
8SIN CLASIFICAR
ATAQUES. Tendencia para año 2008
1. Robo de informaciónRobo de equipos
2. Troyanos / RootkitsSistemas windows / unixExploits Dia CERO
3. Robots de InternetBotnet
4. Ataques servicios web
5. Phishing
6. Spam. Correo no deseado
NUEVO SW DAÑINO → más peligroso y menos visible.
![Page 9: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/9.jpg)
9SIN CLASIFICAR
Troyano ADAPTADOS AL OBJETIVO
•Patrón de ataque-Escaso número de objetivos (10-100)-Objetivos seleccionados-Emplean exploits basados en vulnerabilidades recientes-No es detectado por el SW antivirus de los equipos (No dispone de firma)-Empleo de mecanismos de cifra resistentes al análisis-Permanece sin ser detectado por MESES
Vulnerability/Exploit timelineVulnerability/Exploit timeline
0
50
100
150
200
250
2001 2002 2003 2004D
ays
?
Slammer
Blaster
NachiSasser
Nimda
Klez
2005 … 868
2006 … 778
2007… 781
![Page 10: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/10.jpg)
10SIN CLASIFICAR
Importancia del Factor Humano
No todos los ataques con éxito basados en ingeniería social son debidos a la ingenuidad de los empleados, la mayoría de los
casos se debe a la ignorancia de buenas prácticas de seguridad y a la falta de concienciación por
parte de los usuarios del Sistema
Cuanto más sofisticadas son las tecnologías empleadas para proteger la información, los ataques se van a centrar más en
explotar las debilidades de la persona
![Page 11: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/11.jpg)
11SIN CLASIFICAR
CCN-CERT – CERT GUBERNAMENTAL
• OBJETIVO:- Contribuir a la mejora del nivel de seguridad de los sistemas
de información de las AAPP de España.
• MISIÓN:- Ser el centro de alerta y respuesta de incidentes de
seguridad, ayudando a las AAPP a responder de forma más rápida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de información.
![Page 12: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/12.jpg)
12SIN CLASIFICAR
CCN-CERT. Comunidad / Autoridad
• Nuestra Comunidad serán las Administraciones Públicas de España: Administración General, Autonómica y Local
• La Autoridad del CCN-CERT es compartida con los organismos de nuestra comunidad, consensuando con ellos las acciones necesarias para cumplir con la misión CCN-CERT:- Se tiene potestad para realizar todas las acciones necesarias para
resolución del incidente en sistemas clasificados- Colaboración y asesoramiento en resolución de incidentes de
sistemas de la administración general, autonómica y local
![Page 13: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/13.jpg)
13SIN CLASIFICAR
Portal Web - www.ccn-cert.cni.es
![Page 14: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/14.jpg)
14SIN CLASIFICAR
• Funcionalidades principales PORTAL WEB:- Servicios públicos:
Estado de AlertaNoticias / Boletines de vulnerabilidades propiosEstadísticas e indicadores de propios / tercerosNotas de prensa / PublicacionesHerramienta PILAR 4.1 / Manual Usuario CCN-STIC 470
- Servicios restringidos AAPP:Series CCN-STIC / Contenido Cursos STICInformes de Seguridad TIC (Informes Semanales / Estudios Amenazas)Interfaces de comunicación de incidentesHerramientas de seguridad
CCN-WindowsHerramienta PILAR
- Mecanismos de publicación no Web:Publicación de noticias por listas de distribución de correo electrónicoPublicación de estadísticas y otros contenidos por hilos RSS
Servicios de Información
![Page 15: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/15.jpg)
15SIN CLASIFICAR
Servicios de Información (2)
![Page 16: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/16.jpg)
16SIN CLASIFICAR
Informes CCN-CERT
Estudios de Amenazas:• Técnicas de Ataques DDoS• Amenazas y Tendencias de la Seguridad Cibernética• Temáticos por Países (Rusia / Israel / Brasil)• Cambios Tecnológicos• Troyanos Bancarios• i-frames• Russian Bussines Network (RBN)Informes Semanales Seguridad TIC:
• CiberDefensa• Código dañino• Infraestructuras Críticas• Ataques Recientes, etc…
![Page 17: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/17.jpg)
17SIN CLASIFICAR
CCN-CERT …. Series CCN-STIC
![Page 18: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/18.jpg)
18SIN CLASIFICAR
Formación
Formar al personal de la Administración especialista en el campo de la seguridad de los sistemas de las tecnologías de
la información y las comunicaciones.
Cursos Informativos y de Concienciación 2
Cursos Básicos de Seguridad 4
Cursos Específicos de Gestión 3
Cursos de Especialización 9
• Datos 2006 / 2007
- 700 funcionarios de 87 organismos diferentes de la Administración (General, Autonómica y Local)
- 1.300 horas lectivas en 18 cursos (Apróx 11.000 transparencias)
![Page 19: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/19.jpg)
19SIN CLASIFICAR
Gestión de Incidentes
• Incidentes prioritarios para CCN-CERT
![Page 20: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/20.jpg)
20SIN CLASIFICAR
Fraude – Phishing…. 01.2007 / 07-08.2007 / 11.20077 / 01.2008
![Page 21: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/21.jpg)
21SIN CLASIFICAR
SERVICIOS CCN-CERT• SERVICIOS REACTIVOS
- ALERTAS Y AVISOS.
- GESTIÓN DE INCIDENTES. Sistemas clasificados
- GESTIÓN DE VULNERABILIDADES.
- ANÁLISIS CÓDIGO DAÑINO.
• SERVICIOS PROACTIVOS
- ANUNCIOS Y AVISOS. A usuarios autorizados.
- AUDITORÍAS O EVALUACIONES DE SEGURIDADSistemas clasificados
- CONFIGURACIÓN Y MANTENIMIENTO DE ELEMENTOS DE SEGURIDAD
- DESARROLLO DE HERRAMIENTAS DE SEGURIDAD
- DETECCIÓN DE INTRUSIONES
- DISEMINACIÓN DE INFORMACIÓN.
- CERTIFICACIÓN DE CALIDAD
• SERVICIOS DE GESTIÓN- ANÁLISIS DE RIESGOS
- CONSULTORÍA SEGURIDAD INFORMÁTICA
- MENTALIZACIÓN Y FORMACIÓN:. Cursos STICSeminarios / workshopsForos de discusión
- EVALUACIÓN Y CERTIFICACIÓN DE PRODUCTOS:
COMMON CRITERIA / TEMPEST / CIFRA.
200620072008-
RD
![Page 22: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/22.jpg)
22SIN CLASIFICAR
Conclusiones
Amenazas cada vez más complejas y difíciles de detectar.Código dañino
Formación de personal para luchar contra:Ingenuidad / Ignorancia de buenas prácticas / Falta de concienciación.
Hay que tomar conciencia de los riesgos.
Necesidad actuación proactiva y de la verificación de seguridadInspecciones de Seguridad / Sistemas de alerta
Gestión de incidentes … CCN-CERT
![Page 23: Amenazas / Vulnerabilidades 2008 CCN-CERT. Respuesta a … · 2015-11-05 · Certificación de aplicación a productos y sistemas de su ámbito. • Valorar y acreditar capacidad](https://reader033.vdocuments.pub/reader033/viewer/2022042708/5f3c0bca864dce025257892e/html5/thumbnails/23.jpg)
SIN CLASIFICAR
Gracias• Correos electrónicos
- [email protected] [email protected] [email protected]
• Páginas Web:- www.ccn.cni.es- www.ccn-cert.cni.es- www.oc.ccn.cni.es