Madrid, enero de 2013

CENTRO CRIPTOLOGICO NACIONAL

CIBERSEGURIDAD. UNA PRIORIDAD NACIONAL

SIN CLASIFICAR

SIN CLASIFICAR 2

Conceptos

- 1980-1990 --- COMPUSEC / NETSEC / TRANSEC

AMENAZAS NATURALES

- 1990 ---- INFOSEC

AMENAZAS INTENCIONADAS Hacker / Virus / Gusanos carácter destructivo..

- 2002 – INFORMATION ASSURANCE

AMENAZAS INTENCIONADAS (Operaciones de información) Usuarios internos Cibercrimen

- 2003 – PROTECCIÓN INFRAESTRUCTURAS CRÍTICAS Servicios críticos soportados sistemas de información 80% Sector privado

CIBERTERRORISMO

- 2006 – CIBERDEFENSA / CIBERSEGURIDAD

CIBERESPIONAJE. Atribución a los gobiernos / empresas….

SIN CLASIFICAR 3

Índice

• Centro Criptológico Nacional / CCN-CERT

- Marco Legal / Funciones

• CIBERSEGURIDAD

- Agentes / Coste ciberespionaje - APT

- Infraestructuras Críticas

• Estrategia Española de CIBERSEGURIDAD

- Situación actual.

- Deficiencias

- Objetivos / Líneas de acción

- LA 1 / LA 2 …

SIN CLASIFICAR 4

El CCN actúa según el siguiente marco legal:

Real Decreto 421/2004, 12 de marzo, que

regula y define el ámbito y funciones del CCN.

Ley 11/2002, 6 de mayo, reguladora del Centro

Nacional de Inteligencia (CNI), que incluye al

Centro Criptológico Nacional (CCN).

Marco Legal

Orden Ministerio Presidencia PRE/2740/2007, de 19

de septiembre, que regula el Esquema Nacional de

Evaluación y Certificación de la Seguridad de las

Tecnologías de la Información

Real Decreto 3/2010, de 8 de enero, por el que se

regula el Esquema Nacional de Seguridad en el ámbito

de la Administración Electrónica

SIN CLASIFICAR 5

CCN-CERT. www.ccn-cert.cni.es

HITOS RELEVANTES

• 2006 Creación • 2007 Recon. internacional

• 2008 EGC

• 2009 Sondas SARA

• 2010 Sondas INTERNET

RD 3/2010

• 2012 CARMEN / Distribución reglas

MISIÓN

Contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta

nacional que coopere y ayude a responder de forma rápida y eficiente a las Administraciones

Públicas y a las empresas estratégicas, y afrontar de forma activa las nuevas

ciberamenazas.

COMUNIDAD

Responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de la

Administración y de empresas pertenecientes a sectores designados como estratégicos.

SIN CLASIFICAR

RD 3/2010 Esquema Nacional de Seguridad --- CCN-CERT

Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas. 1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes servicios:

a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas.

El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados.

b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros

de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración.

c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes.

d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias.

2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.

SIN CLASIFICAR

• RED SARA:

- Servicio para la Intranet Administrativa

- Coordinado con MINHAP.

- 49/58 áreas de conexión

• SONDAS SALIDAS DE INTERNET AAPP:

- Servicio por suscripción de los Organismos.

- Despliegue de Sensores.

- 38/42 sondas. Previstas 35-40.

• SISTEMA CARMEN

- Análisis LOG,s en el perímetro (Proxy….)

- Búsqueda anomalías de tráfico

- Fase piloto: 5 sondas

SISTEMAS ALERTA TEMPRANA

SIN CLASIFICAR

CLASIFICACIÓN DE LOS INCIDENTES

• APT con exfiltración información

• DoS Distribuido

CRÍTICOS

• Ataques Dirigidos

• DoS

• Código dañino específico

MUY ALTO

• Mayoría Incidentes

• Ataques externos sin consecuencias

• Código dañino genérico

BAJO / MEDIO / ALTO

Guía CCN-STIC-817– Criterios Comunes y Gestión de Incidentes

SIN CLASIFICAR

Estadísticas incidentes

SIN CLASIFICAR

Estadísticas incidentes / CRITICIDAD

2012

0

200

400

600

800

1000

bajo medio alto muyalto

crítico

172

900749

858

Criticidad de los Incidentes

2011

SIN CLASIFICAR 11

AGENTES DE LA AMENAZA

COSTE DEL CIBERESPIONAJE

SIN CLASIFICAR

Definiciones. Agentes de la amenaza

12

CIBERSEGURIDAD

La habilidad de proteger y defender las redes o sistemas de los ciberataques.

Estos según su motivación pueden ser:

CIBERESPIONAJE Ciberataques realizados para obtener secretos de estado, propiedad industrial, propiedad

intelectual, información comercial sensible o datos de carácter personal.

CIBERDELITO / CIBERCRIMEN

Actividad que emplea las redes y sistemas como medio, objetivo o lugar del delito.

HACKTIVISMO Activismo digital antisocial. Sus practicantes persiguen el control de redes o sistemas (sitios

web) para promover su causa o defender su posicionamiento político o social.

CIBERTERRORISMO Actividades dirigidas a causar pánico o catástrofes realizadas en las redes y sistemas o

utilizando éstas como medio.

CIBERCONFLICTO / CIBERGUERRA

CIBERATAQUE

Uso de redes y comunicaciones para acceder a información y servicios sin autorización

con el ánimo de robar, abusar o destruir.

SIN CLASIFICAR 13

2. Ciberdelito / cibercrimen Objetivo: Robo información de tarjetas de crédito / Fraude Telemático /

Blanqueo de dinero…

HACKERS y crimen organizado

3. Ciberactivismo

Objetivo: Ataques a servicios webs / Robo y publicación de datos e información sensible o de carácter personal.

ANONYMOUS y otros grupos

Hackers

Ciberamenazas. Agentes

1. Ciberespionaje / Robo propiedad intelectual Objetivo: Administraciones públicas / Empresas estratégicas

China, Rusia, Irán, otros… Servicios de Inteligencia / Fuerzas Armadas / Otras empresas

4. Uso de INTERNET por terroristas / Ciberterrorismo

Objetivo : Comunicaciones , obtención de información, propaganda o financiación // Ataque a Infraestructuras críticas

ETA , organizaciones de apoyo y Grupos Yihaidistas

SIN CLASIFICAR

• Definición APT / Ataques Dirigidos

- Ataque Dirigido Ciber Ataque “a medida” contra un objetivo concreto

(organización, empresa, red, sistema)

- Threat El atacante tiene la intención y capacidades para ganar acceso a

información sensible almacenada electrónicamente

- Persistent Una vez infectado, se mantiene el acceso a la red/sistema durante

un largo periodo de tiempo

Díficil de eliminar

- Advanced Habilidad de evitar la detección

Adaptabilidad al objetivo

Disponibilidad de recursos (tecnológicos, económicos, humanos)

SIN CLASIFICAR

INTRUSIÓN GENÉRICA

Access: Usuarios Equipos

Power: Controladores

de dominio

Data: Servidores

Aplicaciones

1. Objetivos en masa / dirigidos

2. Usuarios con altos privilegios

son el principal objetivo

3. Buscan credenciales “de lo que

sea”

4. Búsqueda de credenciales

cacheadas, cuentas de acceso a

dominio, correo electrónico, etc..

5. Si logran acceder a toda la red,

la empresa está perdida

SIN CLASIFICAR 16

TIEMPOS DE RESPUESTA EN UN APT

SIN CLASIFICAR

Ataques esponsorizados por estados

Mas de +10.000 “empleados” en la “fábrica” Se actúa sobre 30-40 objetivos diarios por atacante

Mejora en la “producción”: hasta 60 tipos de

“herramientas” diferentes

Alta “especialización”: por industrias y

geografías…

En proceso “continuo de mejora”: 50 universidades

haciendo I+D+i

SIN CLASIFICAR

Coste CIBERESPIONAJE. UK

18

27.000 M £

Ciudadanos …… 3.100 M£ Empresas……… 21.000 M£ Gobierno

2.200 M£

SIN CLASIFICAR

Defensa ante APT,s

Trabajar como si se estuviera infectado / comprometido. Equipos de seguridad permanentes

Configuraciones de seguridad. Reducción de privilegios. Políticas de

seguridad más estrictas.

Mayor vigilancia de red / logs equipos / Sistemas de gestión de eventos

Aproximación

Indicadores de Compromiso (IOC)

Búsqueda de anomalías

Necesidad de controlar:

Trafico de red / Usuarios remotos / Contraseñas Administración

SIN CLASIFICAR

Sectores que reciben más ataques en ESPAÑA

Energético

Transportes

Tecnologías de la Información

Industria Nuclear

Financiero

Sanidad

Alimentación Hídrico

Espacio

Industria Química

Instalaciones de Investigación

Administración

Infraestructuras Críticas

Aeroespacial

Defensa

Química

Comunicaciones

Energético

Ingeniería

Financiero

Derechos Humanos

Administración

Minería

Farmacéutico

Marítimo

Sectores Estratégicos

SIN CLASIFICAR 21

ESTRATEGIA ESPAÑOLA DE CIBERSEGURIDAD

SIN CLASIFICAR

Respuesta a incidentes. COORDINACIÓN

22

Fuerzas y Cuerpos de

Seguridad

OTROS MINISTERIOS / CCAA / AYUNTAMIENTOS

SIN CLASIFICAR

Situación Ciberseguridad ESPAÑA. Deficiencias

23

1. Existencia de duplicidades y sistemas que pueden llegar a depender de diversos

organismos.

2. Ausencia de un elemento coordinador en ciberseguridad que integre a todos los actores y

permita al gobierno conocer la situación nacional en este campo.

3. Insuficiencia de recursos humanos, técnicos y económicos, en los diferentes organismos

con competencias en ciberseguridad.

4. Escaso despliegue de mecanismos de defensa en las AA.PP., e insuficiente gestión de

infraestructuras comunes.

5. Reducida comunicación entre organismos del sector público y privado. Ausencia de

procedimientos y sistemas que permitan un intercambio seguro de información útil y

oportuna para implicar al sector privado.

6. Ausencia de un conjunto integrado de medidas de aplicación a los sectores afectados en

materia de ciberseguridad que permita la aplicación de la normativa de Protección de

Infraestructuras Criticas.

7. Escasez de recursos destinados a las capacidades de prevención y respuesta a las

actividades del terrorismo y la delincuencia en el ciberespacio..

8. …//…

SIN CLASIFICAR

Gracias • CÓMO CONTACTAR:

- ccn@cni.es

- INCIDENTES

incidentes@ccn-cert.cni.es

- SISTEMAS ALERTA TEMPRANA

sondas@ccn-cert.cni.es

redsara@ccn-cert.cni.es

carmen@ccn-cert.cni.es

- GENERAL

info@ccn-cert.cni.es

ens@ccn-cert.cni.es