Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Madrid, marzo de 2011
Amenazas y Vulnerabilidades a los Sistemas de Información y Comunicaciones.
Conclusiones 2010
Tendencias 2011
SIN CLASIFICAR
2SIN CLASIFICAR
FORO: VII ciclo de conferencias. Temas avanzados en Seguridad y Sociedad de la Información.
SESIÓN: Ciberamenazas. Escenario 2010. Tendencias 2011.
OBJETIVO: Describir las amenazas y vulnerabilidades a que están sometidos los Sistemas de las TIC. Escenario de 2011.
PONENTE: - Centro Criptológico Nacional
FECHA: 01 de marzo de 2011
Presentación
3SIN CLASIFICAR
Índice
ENERO 2009:Sobre 1.500 millones
usuarios Internet
ENERO 2001:Sobre 458 millones usuarios Internet
• Centro Criptológico Nacional- Marco Legal / Funciones- CCN-CERT
• CIBERAMENAZAS 2010 / TENDENCIAS 2011Agentes de la amenazaVulnerabilidadesCódigo dañino
Troyanos / BotnetsAtaques servicios Web SCADAOtros ataquesUsuarios
Estrategias de ciberseguridadConclusiones
4SIN CLASIFICAR
El CCN actúa según el siguiente marco legal:
Real Decreto 421/2004, 12 de marzo, que regula y define el ámbito y funciones del CCN.
Ley 11/2002, 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI), que incluye al Centro Criptológico Nacional (CCN).
Marco Legal
Comisión Delegada del Gobierno para asuntos de Inteligencia. Define los objetivos del CNI.
Orden Ministerio Presidencia PRE/2740/2007, de 19 de septiembre, que regula el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
5SIN CLASIFICAR
Marco Legal (1): CNI (Ley 11/2002)
Riesgos Emergentes
Art. 4 a) Inteligencia
Art. 4 b) ContraInteligencia
Art. 4 c) Relaciones
Art. 4 d) SIGINT
Art. 4 e) STIC
Art. 4 f) Protección Información Clasificada
Art. 4 g) Seguridad Propia
En la exposición de motivos de la Ley 11/2002 se establece que el CNI tiene quehacer frente a los riesgos emergentes. La Seguridad de las TIC es un ámbito de nuevos riesgos emergentes. Así lo entendió el legislador al definir las funciones del CNI en el artículo 4 de la Ley
NACIONAL
UE / OTAN / ACUERDOS INTERNACIONALES
6SIN CLASIFICAR
Marco Legal (2): Funciones CCN• Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la
seguridad de las TIC en la Administración
• Formar al personal de la Administración especialista en el campo de la seguridad de las TIC
• Constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de aplicación a productos y sistemas de su ámbito
• Valorar y acreditar capacidad productos de cifra y Sistemas de las TIC (incluyan medios de cifra) para manejar información de forma segura
• Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los Sistemas antes mencionados
• Velar por el cumplimiento normativa relativa a la protección de la información clasificadaen su ámbito de competencia (Sistemas de las TIC)
• Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países. Para el desarrollo de las funciones mencionadas, coordinaciónoportuna con las Comisiones nacionales a las que la leyes atribuyan responsabilidades en el ámbito de los sistema de las Tecnologías de la Información y de las Comunicaciones.
7SIN CLASIFICAR
Marco Conceptual (1): Inteligencia y Seguridad
Riesgos Emergentes
Art. 4 b) ContraInteligencia
Art. 4 e) STIC
Ciberdefensa: “La aplicación de medidas de seguridad para proteger las infraestructuras de los sistemas de información y comunicaciones frente a los ciberataques” (MC0571 – NATO Cyber Defence Concept)
InfOps&Ciberataques
Inteligencia
Ciberdefensa
8SIN CLASIFICAR
RD 3/2010
9SIN CLASIFICAR
RD 3/2010Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas.1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes servicios:a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas.El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados.
b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración.
c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes.
d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias.
2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.
10SIN CLASIFICAR
Vulnerabilidades y código dañino
11SIN CLASIFICAR
Normativa• 156 documentos, normas, instrucciones, guías y recomendaciones
(21 pendientes de su aprobación)• Nueva serie 800: ESQUEMA NACIONAL DE SEGURIDAD
10 Guías• Nueva clasificación:
Cumplen con el ENSAdaptables al ENS
- CCN-STIC 000: Instrucciones/Políticas STIC- CCN-STIC 100: Procedimientos- CCN-STIC 200: Normas- CCN-STIC 300: Instrucciones Técnicas - CCN-STIC 400: Guías Generales- CCN-STIC 500: Guías Entornos Windows- CCN-STIC 600: Guías Otros Entornos- CCN-STIC 800: Guías desarrollo ENS- CCN-STIC 900: Informes Técnicos
12SIN CLASIFICAR
Formación
Formar al personal de la Administración especialista en el campo de la seguridad de los sistemas de las tecnologías de la
información y las comunicaciones.
Cursos Informativos y de Concienciación
Cursos Básicos de Seguridad
Cursos Específicos de Gestión
Cursos de Especialización
Disponibles www.ccn-cert.cni.es
13SIN CLASIFICAR
CCN-CERT
• MISIÓN:- Ser el centro de alerta y respuesta de incidentes de seguridad,
ayudando a las AAPP a responder de forma más rápida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de información.
• COMUNIDAD:Administraciones Públicas de España
• HITOS RELEVANTES
• 2006 Creación
• 2007 Recon. internacional
• 2008 EGC
• 2009 Sondas SARA
• 2010 Sondas INTERNET
RD 3/2010
•
14SIN CLASIFICAR
Portal CCN-CERT
15SIN CLASIFICAR
CCN-CERT …. www.ccn-cert.cni.es
16SIN CLASIFICAR
• RED SARA:- Servicio para la Intranet Administrativa- Coordinado con Mº Presidencia.- Portal de Informes.
• SONDAS SALIDAS DE INTERNET AAPP:- Servicio por suscripción de los Organismos.- Despliegue de Sensores.- Portal de Informes.
• BENEFICIOS:- Detección de Ataques- Estadísticas propias y patrones de ataque- Actualización de Firmas
SISTEMAS DE ALERTA TEMPRANA
17SIN CLASIFICAR
AMENAZAS VULNERABILIDADES
18SIN CLASIFICAR
- CibercrimenRobo propiedad intelectualRobo de información de tarjetas de crédito / certificadosFraude Telemático / Blanqueo de dineroRobo de identidades…
- CiberterrorismoComunicaciones / Obtención infoPropaganda / financiaciónInfraestructuras críticas ¿?
- Hacking Político / PatrióticoChina- Japón; Azerbaiyán-Turquía; India-Pakistán; Árabe-Israelí….
HackersHackers
Usuarios internos
Ciberamenazas. Agentes- Ciberespionaje
EstadosObjetivo: Industrias / empresasAmenaza:
Servicios de Inteligencia /FFAAOtras empresas de la competencia
19SIN CLASIFICAR
Coste del cibercrimen
20SIN CLASIFICAR
Vulnerabilidades 2010
•Tendencia a la baja durante 2010.-Mejores prácticas de seguridad en el desarrollo de aplicaciones
-Mayor proactividad de los vendedoresMayor número de recursosTrato a investigadores
Comunicaciones; reconocimiento…
-Desmotivación de investigadoresProgramas de recompensas
-Vulnerabilidades DIA CERORemote code executionAmplio mercado negroExploit asociado
21SIN CLASIFICAR
Vulnerabilidades 2010. Fabricantes
•Publicación periódica•Adobe / Apple más vulnerabilidades detectadas•Necesidad de publicación de parches fuera de ciclo
Criticidad del impactoEstado de explotación vulnerabilidad.
22SIN CLASIFICAR
Vulnerabilidades 2010. Conclusiones
1. Distribución programada de actualizaciones de seguridad
2. Divulgación coordinada / total de vulnerabilidadesSolo divulgación pública si ataque activo
3. Más actualizaciones seguridad fuera cicloMás vulnerabilidades DIA CERO.Incremento de los Programas de recompensas
4. Más vulnerabilidades críticas
5. Crecimiento de vulnerabilidades Web
23SIN CLASIFICAR
Vulnerabilidades 2011. Tendencias
1. APLICACIONES WEB (Navegadores Web)
1. APLICACIONES DE TERCEROSAplicaciones (Java, Acrobat, Flash…)
3. DISPOSITIVOS MÓVILES
- SISTEMAS OPERATIVOS
- Infraestructuras críticas . Programas SCADA
Usuarios VIDEOS /WEB SOCIALES
24SIN CLASIFICAR
Amenazas 2010. Código Dañino
•34% del código detectado en toda la historia.-Rentabilidad de los ataques-Difícil atribución.-Implicación de los gobiernos
Amenaza Persistente Avanzada (APT)Operación Aurora (Enero 2010)Stutnex (Julio 2010)
Mcafee:
Targeted cyberespionge or cybersabotage attack that is carried out under the sponsorship of a nation-state for something other than a pure financial/criminal reason or political protest
25SIN CLASIFICAR
Características APT
• Patrón de ataque-Escaso número de objetivos (10-100)
-Objetivos seleccionados. Ingeniería social
-Emplean exploits basados en vulnerabilidades recientes / día cero
-No es detectado por el SW antivirus / IDS / Firewall de los equipos (No dispone de firma)
-Empleo de mecanismos de cifra resistentes al análisis
-Permanece sin ser detectado por MESES. Para la explotación / actualización usa protocolos autorizados
26SIN CLASIFICAR
Capacidad de defensa ante APT
-Nivel de detección no superior al 25%-Reacción lenta en la actualización-Solo detectan lo que ven.
APT no reportado. No dispone de firma. Parecen aplicaciones legítimas
-MONITORIZACIÓN DE SISTEMADespliegue de IDS.Firewall / ProxyAnálisis de protocolos autorizados
27SIN CLASIFICAR
ATAQUES. Tendencia para año 2010
NUEVO SW DAÑINO → más peligroso y menos visible.
1. Troyanos / RootkitsSistemas windows / unixExploits Dia CERO
2. Robots de Internet (Botnet)Ataques de DDoS
3. Ataques servicios web
4. Robo de informaciónRobo de equipos
SCADA
Phishing / Spam. Correo no deseado
28SIN CLASIFICAR
Zombies-Botnets
“Botnet” es un término utilizado para una colección de robots (software) autónomos que pueden ser controlados remotamente
por diversos medios (IRC / P2P) con propósitos maliciosos
- Las máquinas "zombie" se aglutinan en las denominadas “botnets”.
- Los sistemas se comprometen utilizando diversas herramientas (gusanos, caballos de troya, puertas traseras, etc…).
- Los zombies pueden escanear su entorno propagándose a través de las vulnerabilidades detectadas (contraseñas débiles, exploits, buffer overflows, etc…).
- La misión de los “botnets” es esencialmente la gestión de los “zombies” creando una infraestructura común de mando y control.
- SPAM / DDOS/ PHISING / ENVIO TROYANOS
Robot network
29SIN CLASIFICAR
Amenazas 2010. Código Dañino. BOTNET (1)
30SIN CLASIFICAR
Amenazas 2010. Código Dañino. Sistemas SCADA (1)
Supervisory Control And Data Acquisition. “Sistemas que capturan información de un proceso o planta industrial y que permitan una retroalimentación sobre un operador o sobre el propio proceso.”
Algunos casos:- Vertidos industriales- Apagones en brasil- Corte de cables submarinos
• Tendencia- “U.S. government is seeing a rise
in cyber attacks aimed at takingover control systems thatoperate critical infrastructure”
31SIN CLASIFICAR
Amenazas 2010. Código Dañino. Sistemas SCADA (2)
•Demostración de ataques DoS en controladores de lógica programable (PLCs).
•Elevado número de vulnerabilidades
•Búsqueda activa en Internet
•Interconexiones sistemas
•Falta concienciación empresas
•Ausencia buenas prácticas en distribuidores
32SIN CLASIFICAR
Amenazas 2010. Código Dañino. Sistemas SCADA (3)
STUXNET • Características principales:
- Empleo de vulnerabilidad día 0 (Infección USB). - Uso de dos certificados comprometidos- ataques dirigidos contra sistemas SCADA
SIMATIC WinCC o SIMATIC Step7 de Siemens.- Usa protocolo Web para la comunicación con los servidores
C&C• CCN-CERT ID 01/10
- Detectado Julio 2010
33SIN CLASIFICAR
Amenazas 2010. Código Dañino. Sistemas SCADA (3)
STUXNET
34SIN CLASIFICAR
• Vías de ataque
1. Inyección de código SQL2. Cross-Site Scripting (XSS)3. Rotura de autenticación 4. Insecure Direct Object Reference 5. Cross Site Request Forgery (CSFR)6. Errores de configuración7. …//…
Ataques servicios Web. Tipos
+
+
--
==
35SIN CLASIFICAR
Amenazas 2010. Teléfonos móviles
- Sistemas operativos- Android (Google)- iOS (iphone)- Windows (6.5-7)- Symbiam
- Nuevas amenazas (ZeuS 2.x)- Código dañino
Llamadas entrantes y salientesMensajes SMS, Ficheros descargadosLas coordenadas GPS
36SIN CLASIFICAR
Amenazas 2010. Otras
37SIN CLASIFICAR
Amenazas 2010. Otras
38SIN CLASIFICAR
Amenazas 2011. Tendencias
1. Troyanos / Rootkits…. (APT)Sistemas windowsExploits Dia CERO
2. Robots de Internet (Botnet)Ataques de DDoS / Robo información
3. Ataques servicios web
4. Robo de información (Usuarios internos)Robo de equipos
Plataformas móviles
SCADA
Phishing / Spam. Correo no deseado
39SIN CLASIFICAR
Importancia del Factor Humano
No todos los ataques con éxito basados en ingeniería social son debidos a la ingenuidad de los empleados, la mayoría de los
casos se debe a la ignorancia de buenas prácticas de seguridad y a la falta de concienciación por
parte de los usuarios del Sistema
Cuanto más sofisticadas son las tecnologías empleadas para proteger la información, los ataques se van a centrar más en
explotar las debilidades de la persona
40SIN CLASIFICAR
Soportes de Información
Número de tarjeta de crédito
Copias en legibles de los documentos cifrados
Los registros temporales con datos de clientes
Claves de acceso a sitios seguros
En los discos duros de los ordenadores hay enormes cantidades
de datos ocultos para los usuarios, pero fácilmente accesibles. Entre
estos datos se encuentran archivos que ingenuamente creemos que
hemos borrado, claves de acceso, versiones descifradas de archivos
confidenciales y todo tipo de rastros sobre la actividad del equipo.
41SIN CLASIFICAR
Wikileaks
-Fuga de información por parte de usuarios autorizados
-Deficiente control accesos a información clasificada
-Insuficiente soporte legal
-Eventos más significativos05.04.2010…. vídeo del 12 de julio de 2007. Soldados estadounidenses matan al
reportero de Reuters Namir Noor-Eldeen, a su ayudante y a nueve personas más.25.07.2010… 92.000 documentos sobre la Guerra de Afganistán entre los años 2004
y 2009, los cuales les llegaron a través de WikiLeaks. 22.10.2010,… 391.831 documentos filtrados desde el Departamento de Defensa de
los Estados Unidos sobre la Guerra de Irak (2004-2009).28.11.2010, ….251.187 cables Departamento de Estado con sus embajadas (States
diplomatic cables leak, Cablegate o Secret US Embassy Cables)
42SIN CLASIFICAR
Soportes de Información
Número de tarjeta de crédito
Copias en legibles de los documentos cifrados
Los registros temporales con datos de clientes
Claves de acceso a sitios seguros
En los discos duros de los ordenadores hay enormes cantidades
de datos ocultos para los usuarios, pero fácilmente accesibles. Entre
estos datos se encuentran archivos que ingenuamente creemos que
hemos borrado, claves de acceso, versiones descifradas de archivos
confidenciales y todo tipo de rastros sobre la actividad del equipo.
43SIN CLASIFICAR
ESTRATEGIAS EN CIBERSEGURIDAD
44SIN CLASIFICAR
• Reducción del riesgo del uso del Reino Unido del Ciberespacio actuando - Sobre la amenaza (disminuyendo su motivación y capacidad)- sobre sus vulnerabilidades y sobre el impacto de cualquier
actuación en los intereses nacionales.• Aprovechar las oportunidades en el ciberespacio mediante
- La obtención de inteligencia que apoyo las políticas nacionales
- Actuar contra los adversarios. • Mejorar el conocimiento / capacidades / procesos de decisión
- Incrementando las actividades de concienciación- Desarrollando una doctrina y sus políticas derivadas - Mejorando las capacidades propias humanas y técnicas.
Presupuesto = 550 m£
2009. REINO UNIDO OBJ. ESTRATÉGICOS:
45SIN CLASIFICAR
Colaboración CERT,s
46SIN CLASIFICAR
¿Qué estamos haciendo?. España… ENS
47SIN CLASIFICAR
Conclusiones
• Vulnerabilidades - Mejores prácticas en su tratamiento.- Interés económico de los investigadores- Vulnerabilidad dia CERO
• Código dañino - APT. Ataque dirigido - Botnet. Elevados niveles de infección. - Servicios Web.
• Aproximación a la solución- Estrategias nacionales en ciberseguridad
Fortalecer la capacidad de defensa proactivaProblema transversal a gobiernos, empresas y ciudadanos.ESQUEMA NACIONAL DE SEGURIDAD