Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
SIN CLASIFICAR
20/09/2018 www.ccn-cert.cni.es 1
APROXIMACIÓN ESPAÑOLA A LA
CIBERSEGURIDAD
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 2
Año Concepto Seguridad Amenaza Cambios Tecnológicos
1980-1990Compusec
Netsec
TransecNaturales
Telecomunicaciones
Sistemas Clasificados
1990-2004Infosec
Info. AssuranceIntencionadas
Redes corporativas
Sist. Control industrial
Infraestructuras Criticas
2005-2010Ciberseguridad
Ciberdefensa
Ciberespionaje
Ciberterrorismo
Telefonía móvil
Redes sociales
Servicios en Cloud
2010-2015 Ciberresiliencia
Seg. TransparenteAPT
HacktivismoBYOD
Shadow IT
2015-2018 Defensa activa
Ciberinteligencia
CiberguerraConflicto hibrido
Desinformación
Big Data
Redes operacionales
IoT
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 3
CCN / CCN-CERT
¿Por qué el CNI en ciberseguridad?
CIBERSEGURIDAD aproximación en ESPAÑA
• Estrategia de ciberseguridad
• Esquema Nacional de Seguridad
• Notificación vs Intercambio
• Capacitación y detección talento
INDICE
www.ccn-cert.cni.es
CONCLUSIONES
CIBERAMENAZAS 2018
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 4
CNI / CCN
¿ QUE PAPEL JUEGA EL CCN /CNI ?• Mejor conocimiento de la AMENAZA.
• Capacidad técnica y experiencia en seguridad en redes.
• Capacidades de detección (Intercambio de información)
• Capacidad de Defensa de redes (CCN-CERT).
• Capacidad de CONTRAINTELIGENCIA / SIGINT
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 5
InteligenciaQuién? Qué? Cómo?
Relación Atacantes, Víctimas,
Motivación
Estados / contrainteligencia
Medios e Infraestructura
Base Datos ciberamenaza
Intercambio otros servicios
Fuentes HUMINT
Inteligencia de
Señales / ISP,s
Detección Temprana
Firmas, Patrones, Conectividades
Análisis de Tráfico / Minería de Datos
Intercambio Información Técnica
Refuerzo forense
RESPUESTA
Detección y respuesta
Defensa de
Redes
Políticas
Procedimientos
Medidas técnicas
Gestión de Incidentes
Capacidades de detección
Análisis Forense
Intercambio otros SOC/CERTs
Ingeniería Inversa
Base de Datos Victimas y TTP,s
Ciberseguridad
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 6
…
Actividades del CCN
Desarrollo
Art 2. Apdo.2e RD 421/2004: Coordinar la
promoción, desarrollo, obtención, adquisición,
explotación y uso de tecnologías de seguridad
Evaluación
Art 2. Apdo.2d RD 421/2004: Valorar y acreditar
capacidades de productos de cifra para
manejar información de forma segura
Certificación
Art 2. Apdo.2c RD 421/2004: Constituir el
organismo de certificación del Esquema Nacional
de Evaluación y Certificación del ámbito STIC
APROBACIÓN DE USO
Equipos para proteger
información clasificada
Difusión Limitada
Routers IPSec
APROBADO
De acuerdo con al configuración segura
y el documento:
- CCN-PE-2009-02 Configuración de
seguridad routers IPSec
- CCN-IT-2009-01 Implementación
segura VPN con IPSec
Conocimiento amenazas
Necesidades operativas
Estado tecnología
seguridad
Conocimiento industria
sectorSeguridad funcional
Criptológica
TEMPEST
Seguridad funcional
Criptológica
TEMPEST
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 7
Cifrador IP alta velocidad EP430GN
Cifrador IP táctico EP430T
Cifrador SCIP Satélite (CRIPTOPER SAT)
Terminales Móviles Seguros
Terminal de voz y video SCIP (EP641)
Productos de cifra nacionales 2016
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 8
CCN-CERT
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 9
Establece al CCN-CERT como CERT Gubernamental/Nacional competente
MISIÓNContribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y
respuesta nacional que coopere y ayude a responder de forma rápida y eficiente
al Sector Público a afrontar de forma activa las nuevas ciberamenazas.
COMUNIDADResponsabilidad en ciberataques sobre sistemas clasificados, sistemas
del Sector Público y empresas y organizaciones de sectores
estratégicos para el país en coordinación con el CNPIC.
• Ley 11/2002 reguladora del Centro Nacional de Inteligencia.
• Real Decreto 421/2004, 12 de Marzo, que regula ámbito y funciones del
CCN.
• Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de
Seguridad para la Administración Electrónica, modificado por el RD
951/2015, de 23 de octubre, en respuesta a la evolución del entorno
regulatorio, las tecnologías de la información y experiencia de
implantación.
• RDL 12/2018, de 7 de septiembre de seguridad de las redes y sistemas
de información. Coordinación incidentes
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 10
SERVICIOS CCN-CERT
1. Proporcionar guías y estándares de seguridad
• Configuración segura de los sistemas2. Avisos y vulnerabilidades
• Amenazas / Malware / Mejores prácticas3. Formación
4. Respuesta rápida ante ciberataques
5. Intercambio de información
• Incidentes
• Ciberamenazas
6. Auditorias / Inspecciones
7. SOC AGE / SOC SGNTJ
+ 1000
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 11
INTERCAMBIO
Servicios / Soluciones de Ciberseguridad
AUDITORÍA DETECCIÓN ANÁLISIS FORMACIÓN
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 12
APROXIMACIÓN PRÁCTICA
A LA CIBERSEGURIDAD
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 13
Camino a seguir…
1. Estrategia / política de ciberseguridad.
2. Gobernanza de la ciberseguridad.
3. Desarrollo reglamentario posibilista.
4. CSIRT de referencia, sectoriales y SOCs.
5. Capacidad de detección y alerta temprana.
6. Incremento de vigilancia (SOC).
7. Capacitación y certificación de personas y búsqueda de talento.
8. Cooperación pública-privada. (construir comunidad)
9. Intercambio de información (confianza)
10.Comunicación y promoción
… Ciberseguridad es un asunto de Seguridad Nacional
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 14
Consejo Seguridad Nacional
COMISIÓN PERMANENTE
Consejo de Ciberseguridad Nacional
SISTEMA DE SEGURIDAD NACIONAL / ESTRATEGIA CIBRSEGURIDAD
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 15
Líneas de Acción
1
Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las AAPP
2
Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las infraestructuras críticas
3
Capacidades de detección y persecución del ciberterrorismo y de la ciberdelincuencia
4
Seguridad y resiliencia de las Tecnologías de la Información y la Comunicación (TIC) en el sector privado
5
Conocimientos, competencias e I+D+i6
Cultura de ciberseguridad7
Compromiso internacional8
TODOS
Capacidad de prevención, detección, respuesta y recuperación ante las ciberamenazas
INTERCAMBIO9
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 16
2000
2004
2008
2012
2016
2018
RD 3/2010
Ley 11/2007Acceso Electrónico
2016/679
GDPR
Ley Orgánica
2016/1148Directiva NISRDL 12/2018
Transposición
RD 951/20158 Instrucciones Técnicas
de Seguridad
Ley 18/2011EJIS
RD 421/2004
LO 15/1999RD 1720/2007
Ley 39/2015
Ley 40/2015PAC y RJSP
LEY 8/2011
RD 704/2011
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 17
PRESIDENTE-CNI
Coordinador
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 18
ESQUEMA NACIONAL DE CIBERSEGURIDAD
1. Los Principios básicos, que sirven de guía.
2. Los Requisitos mínimos, de obligado cumplimiento.
3. La Categorización de los sistemas para la adopción
de medidas de seguridad proporcionadas.
4. La auditoría de la seguridad que verifique el
cumplimiento del ENS. SELLOS DE CERTIFICACIÓN.
5. La respuesta a incidentes de seguridad. Papel de
CCN- CERT.
6. El uso de productos certificados. A considerar al
adquirir los productos de seguridad. Papel del
Organismo de Certificación (CCN).
7. La formación y concienciación.
• RD 3/2010
• RD 951/2015
• 4 ITS
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 19
MEDIDAS DE SEGURIDAD ENS
Categoría BÁSICA: 45 controles (60%)
Categoría MEDIA: 63 controles (84%)
Categoría ALTA: 75 controles (100%)
CCN-STIC 825
27001 vs ENS
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 20
CIBERSEGURIDAD EN EL SECTOR PÚBLICO
Informe Nacional del Estado de Seguridad
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 21
NIVEL DE SEGURIDAD SECTOR PÚBLICO 2017
100%
60,7 59,2
46,651,2 52,2
72,2 69,3
57,161,8 63,8
0
10
20
30
40
50
60
70
80
90
100
AGE CC.AA. EE.LL. UNIV. GLOBALÍndice de Madurez Índice de Cumplimiento
Cat ALTA: 90%
Cat MEDIA: 80%
Cat BÁSICA: 50%
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 22
25-30 sondas / año
182 organismos
186 sondas
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 23
15
24
18
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 24
FORMACIÓN en 2017
24
Objetivos 2018:
• Formación a distancia a EELL y CCAA• Cursos específicos mejorar eficiencias
responsables de seguridad
• Más formación ON LINE (Acuerdos Universidades)
10 cursos
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 25
Formación a distancia en 2018
FECHA CURSOUSUARIOS
REGISTRADOSACCESOS
22 febrero Herramienta PILAR 7.1 632 326
4 abril Recolección de evidencias digitales 475 256
25 abril Actualización ENS 476 293
29 mayo Control de ejecución de aplicaciones con AppLocker 379 246
30 mayo Herramienta LUCIA. Gestión de incidentes 383 211
5 junio Análisis forense en iOS / Android 485 248
12 junio Análisis de código dañino 500 231
13 junioHerramienta ROCIO. Auditoría de equipos de
comunicaciones263 131
9 julio Auditoría orientada al ENS -
10 julio Incidentes complejos -
- -
- Herramienta CLARA. Auditoría de sistemas Windows -
- Herramienta REYES. Empleo y capacidades de intercambio -
Herramienta INES. Informe Nacional del Estado de la Seguridad
-
+ 3300 registrados
+ 1800 accesos
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 26
GUÍAS / INFORMES
TOTAL GUIASPUBLICADAS 300
TOTAL DOCUMENTOS 356
Descargas:
224.007 • Públicas: 211.081
• Restringidas: 12.926
Informes de Amenazas (IA) (28/30)
Informes de Código Dañino (ID) (29/27)
Informes Técnicos (IT) (92/57)
Buenas Prácticas (BP) (5/3)
154
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 27
NOTIFICACIÓN vs INTERCAMBIO
ITS Notificación Incidentes
de Seguridad
BOE 95 (19.04.2018)
RD 3/2010 que regula el Esquema Nacional de Seguridad (ENS). En su artículo 36 se habla de la notificación al Centro
Criptológico Nacional de aquellos incidentes que tengan un impacto significativo en la seguridad de la información
manejada y de los servicios prestados.
Ley 8/2011 - RD 704/2011 Protección de las Infraestructuras Críticas
Instrucciones de la Secretaria de Estado para la Seguridad en el caso de las Infraestructuras Criticas.
REGLAMENTO (UE) 2016/679 de 27 de abril de 2016. Tratamiento y libre circulación datos personales (GPDR).
Directiva Banco Central Europeo. Notificar impacto significativo ( luz publico, daño financiero – 5 millones €, incumplimiento legal,
replica en otras… ).
DIRECTIVA (UE) 2016/1148 de 06 de julio de 2016. (NIS) Medidas garantizar nivel común seguridad de redes y sistemas.
LEY TRANSPOSICIÓN (RDL 12/2018, de 7 de septiembre ),
Las autoridades competentes y los CSIRT de referencia utilizarán una plataforma común para facilitar y automatizar los procesos de
notificación, comunicación e información sobre incidentes.
…//…
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 28
• ¿Este incidente se notifica?
• ¿Tiene relación con el ENS?
• ¿Es Infraestructura Crítica?
• ¿Es servicio esencial NIS?
• ¿Hay datos personales?
• ¿Cuándo notifico?
• ¿Imagen / sanciones?
• ¿Es delito? ¿Es necesaria una denuncia?
PERO YO LO QUE QUIERO ES AYUDAAAAAA
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 29
LUCIA CENTRAL
CCN-CERT
MCCD
ANDALUCÍASGAD
EJÉRCITO1
DIVISIÓN
EJÉRCITO2SEVILLA
DOS HERMANAS
CÓRDOBAMINISTERIO 1 ORGANISMO 2
LUCIA 2018.
MULTINIVEL
CNPIC AGPD NOTIFICACION
UNICA
Los incidentes que afecten a la
LPIC/RGPD serán sincronizados
automáticamente para su gestión
directa con los organismos
Correo electrónico / Formulario Web
SOC AGE
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 30
Red de CSIRT en España
• ESP DEF CERT
• eSOC Ingenia
• Eulen-CCSI-CERT
• Guardia Civil
• MAPFRE-CCG-CERT
• Policía Nacional
• Prosegur CERT
• RedIRIS
• S2 Grupo CERT
• S21sec CERT
• Telefónica-CSIRT
• Everis CERT
• Renfe
Iniciativa de CSIRT/CERT, públicos o
privados, cuyo ámbito de actuación es el
territorio español con el objetivo de compartir
e intercambiar de una manera real
Confianza
Intercambio
• Andalucía CERT
• BBVA CERT
• Caixabank CSIRT
• CCN-CERT
• CERTSI
• CertUC3M
• CESICAT-CERT
• CNPIC
• CSIRT-CV
• CSUC-CSIRT
• InnoTec-Entelgy-CSIRT
• esCERT-UPC
• Centro Vasco Ciberseg.
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 31
1. RedIRIS Accredited since (23 Mar 2001)
2. CCN-CERT Accredited since (25 Jan 2008)
3. CERTSI Accredited since (01 Jul 2008)
4. CESICAT-CERT Accredited since (25 Dec 2010)
5. esCERT-UPC Accredited since (04 Apr 2011)
6. MAPFRE-CCG-CERT Listed since (15 Jun 2011)
7. S21sec CERT Accredited since (19 Sep 2011)
8. CSIRT-CV Accredited since (27 Sep 2011)
9. AndaluciaCERT Listed since (29 Nov 2012)
10. ESP DEF CERT Accredited since (18 Jul 2013)
11. e-LC CSIRT Listed since (12 Aug 2013)--- Accredited (03-
2017)
12. TEFCCSIRT Accredited (04 Apr 2016) (suspended 06 Dec 2017)
13. S2 Grupo CERT (Accredited since 19 apr 2016)
14. CSUC-CSIRT Acredited since 13 jan 2015
15. ENTELGY-CSIRT (Accredited since 14 oct 2016)
16. CERT-UC3M (Listed since 22 Feb 2017)
17. NUNSYS-CERT (11 2018)
14/3
1. RedIRIS 1997-02-11
2. Caixabank Team 2005-03-29
3. esCERT-UPC 2007-05-09
4. CCN-CERT 2007-06-20
5. CERTSI 2008-06-01
6. CESICAT-CERT 2010-12-01
7. S21sec CERT 2011-04-01
8. MAPFRE-CCG-CERT 2011-07-01
9. Telefonica-CSIRT 2011-07-01
10. BBVA CERT 2014-12-02
11. S2 Grupo CERT 2015-02-27
12. PROSEGUR CERT 2015-11-26
13. ENTELGY-CSIRT 2016-04.26
14. ITS-CERT 2016-12-28
15. EULEN-CCSI-CERT 2017-05-29
16. EVERIS CERT 2017-07-27
17. eSOC INGENIA 2017-11-15
18. Nestle SOC 2017-11-15
19. RENFE 2018.01.18
20. ESP DEF CERT 2018.05.22
21. CSIRT-CV 2018.07.31
22. SIA-CEC CERT 2018.07.31
438 / 86 países
22
310 / +50 países
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 32
• Herramientas y soluciones disponibles
• Referencia en ciberseguridad
• Apoyo CNI / CCN
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 33
CIBERINCIDENTES 2018Incremento de
presencia de la
amenaza
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 34
34
CIBERSEGURIDAD
La habilidad de proteger y defender las redes o sistemas de los ciberataques. Estos
según su motivación pueden ser:
CIBERESPIONAJE
Ciberataques realizados para obtener secretos de estado, propiedad industrial, propiedad
intelectual, información comercial sensible o datos de carácter personal.
CIBERDELITO / CIBERCRIMEN
Actividad que emplea las redes y sistemas como medio, objetivo o lugar del delito.
CIBERACTIVISMO
Activismo digital antisocial. Sus practicantes persiguen el control de redes o sistemas (sitios
web) para promover su causa o defender su posicionamiento político o social.
CIBERTERRORISMO
Actividades dirigidas a causar pánico o catástrofes realizadas en las redes y sistemas o
utilizando éstas como medio.
CIBERCONFLICTO / CIBERGUERRA / GUERRA HÍBRIDAOperación dirigida por un Estado que utiliza tácticas abiertas y encubiertas con el objetivo de desestabilizar
otros Estados y polarizar a la población civil. Incluye una gran variedad de herramientas como diplomacia
y acciones de inteligencia tradicional, actos subversivos y de sabotaje, influencia política y económica,
instrumentalización del crimen organizado, operaciones psicológicas, propaganda y desinformación y
ciberataques
CIBERATAQUE
Uso de redes y comunicaciones para acceder a información y servicios sin
autorización con el ánimo de robar, abusar o destruir.
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 35
Organizaciones privadas
Reventa
información
corporativa
Abuso comercial
Sustracción y
publicación de
información
Estados
Fake news
Sustracción y
publicación de
información
Ciberespionaje
económico
Ciberespionaje Ciberguerra
Sustracción y
publicación de
información
Ataques a procesos e
instituciones
democráticas
Ciberespionaje
Organizaciones criminales
Manipulación
de la
información
Disrupción de
sistemas
Disrupción de
sistemas
Robo / venta
información
Manipulación
de la
información
Toma de control de
sistemas
Robo / venta
información
Toma de control de
sistemas
Disrupción de
sistemas
Robo / venta
información
Manipulación
de la
información
Toma de control de
sistemas
Guerra híbrida
LEYENDA
Agentes de la amenaza
Víctima Nivel peligrosidad de la amenaza
Sector público
Organización privada
Ciudadanos
Desarrollos relacionados con la amenaza Las medidas tienen efecto limitado en la amenaza
Significativo número de incidentes derivados de la amenaza
Nuevas tendencias asociadas a la amenaza Medidas limitadas para eliminar la amenaza
El número de incidentes no ha sido especialmente significativo
No han aparecido nuevas amenazas Existen suficientes medidas para eliminar la amenaza
No han existido incidentes apreciables derivados de la amenaza
Fuente: Cyber Security Assessment Netherlands. CSAN 2017 y elaboración propia
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 36
Ciberterroristas
Propaganda Reclutamiento
Radicalización
Financiación
Disrupción de
sistemas
Propaganda Reclutamiento
Radicalización
Financiación
Propaganda Reclutamiento
Radicalización
Financiación
Actores internos
Robo y
publicación de
información
Robo y
publicación de
información
Cibervándalos Script Kiddie
Robo de
información
Disrupción de
sistemas
Disrupción de
sistemas
Robo de
información
Robo y
publicación de
información
Ciber- Investigadores
Publicación de
información
Publicación de
información
Publicación de
información
Disrupción de
sistemas
Disrupción de
sistemas
Ciberactivismo
Robo y
publicación de
información
Disrupción de
sistemas
Robo y
publicación de
información
Desfiguraciones
Desfiguraciones
Toma y control
de sistemas
Disrupción de
sistemas
Toma y control
de sistemas
Toma de control
de sistemas
4. Ciberterrorismo
5. Ciberhacktivismo
6. Cibervándalos
7. Actores internos
8. Ciberinvestigadores
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 37
TENDENCIAS
CRIPTOMINING
EXPLOIT -KITS
Se prevé que cada vez más familias de malware
incluyan funcionalidades de minería a su arsenal
de ataque.
CIBERESPIONAJE
Los objetivos geopolíticos y geoestratégicos de las naciones darán continuidad al uso de APT´s
para llevar a cabo acciones de ciberespionaje.
RANSOMWARE
ATAQUES CONTRA REDES SOCIALES
Se prevé un mayor uso de estas plataformas para
llevar a cabo actividades de ingeniería social y
reconocimiento en ataques contra organizaciones.
A pesar de que el número de ataques de este
tipo ha descendido, se prevé un aumento de
ataques dirigidos contra objetivos concretos,
como el sector sanitario.
DISPOSITIVOS INTERNET OF THINGS
La creciente utilización de los dispositivos IoT
significará el aumento del interés de los atacantes
por controlarlos. Podría ser el sector más afectado
por la brecha Spectre.
Su evolución desencadenará los primeros ataques
dirigidos al acceso biométrico, sustentado en
reconocimiento facial o huellas dactilares
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 38
INCIDENTES RANSOMWARE
CRIPTOMINING
0
50
100
150
200
250
En
e
feb
Ma
r
Ab
r
Ma
y
Ju
n
Ju
l
Ag
o
Se
p
Oc
t
No
v
Dic
En
e
feb
Ma
r
Ab
r
Ma
y
Ju
n
Ju
l
Ag
o
Se
p
Oc
t
No
v
Dic
En
e
feb
Ma
r
2016 2017 2018
Estadística de Ransomware
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 39
INCIDENTES MINERS
CRIPTOMINING
0
10
20
30
40
50
60
70
80
Jul Ago Sep Oct Nov Dic Ene feb Mar
2017 2018
Estadística de Criptominer
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 40
ATAQUE DE DENEGACIÓN DE SERVICIOS
Además de aumentar el número de ataques y
mejorar su sofisticación, se verán afectados
nuevos sectores como el de dispositivos IoT o el
sector sanitario.
BRECHAS DE SEGURIDAD SERVICIOS EN NUBE
Esta amenaza se podría extender a servidores en
la nube, lo que conllevaría a filtraciones masivas
de datos
TENDENCIAS
CÓDIGO DAÑINO SIN ARCHIVOS
Serán una amenaza de igual potencia que los
troyanos, al no ser detectados por los antivirus.
INTELIGENCIA ARTIFICIAL Y APRENDIZAJE AUTOMÁTICO
Los actores de las amenazas aumentarán el uso
del aprendizaje automático para evadir la
detección. La inteligencia artificial propiciará
ciberataques más sofisticados
AMENAZAS MÓVILES
Los años 2018 y 2019 podrían ser testigo del
primer ransomware móvil diseminado,
probablemente, a través de SMS/MMS.
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 41
2017
Wannacry 2.0
(mayo 2017)
Grizzly Steppe
(enero 2017)
Saguaro
(enero 2017)
OwnCloud
(febrero 2017)
APT10
(abril 2017)
Emissary Panda
(febrero 2017)
Struts
(marzo 2017)
APT28
(julio 2017)Snake
(julio 2017)
LexNet
(julio 2017)
notPetya
(junio 2017)
#OpCatalunya
(oct. 2017)
Hidden Cobra
(nov. 2017)
Snake
(sep. 2017)
Emissary Panda
(julio 2017)
Desinformación
Elecciones USA
Demostración fuerza
Sabotaje
Espionaje
RESUMEN 2017
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 42
2017
42
Wannacry 2.0
(mayo 2017)
12.05.2017 se tiene constancia de
ciberataque tipo ransomware
(WannaCry)
12.05.2017 CERTs nacionales difunden
primeras alertas. Primera versión
vacuna WannaCry Prevention. Investigación del modo de proceder
del código dañino.
13.05.2017 CCN desarrolla vacuna
NoMoreCry v0.1. Más de 500.000
descargas.
14.05.2017 se publica informe de
código dañino (CCN-CERT ID 17/17
Ransom.WannaCry) Se actualiza
NoMoreCry para WINDOWS XP / 2000.
15/16.05.2015 Vigilancia y coordinación
con organismos. Se remiten +90 alertas de conexión a servidores. Se sigue
actualizando la herramienta.
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 43
CASO DE ESTUDIO – DNC & John Podesta “hack & leak”
Cronología
Julio 2015: APT29/The Dukes
Marzo 2016: APT28 vs. John Podesta & DNC
Abril 2016: DNC descubre el compromiso
Junio 2016: conocimiento público y primeras filtraciones
Guccifer 2.0
WikiLeaks
DCLeaks.com
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 44
Vector de ataque inicial basado en la explotación del actualización de un
software de contabilidad (M.E. Doc).
Petya no contiene ningún mecanismo de mando y control
Capacidades destructivas, los sectores de arranque cifrados no pueden ser
restaurados e incluso pueden ser borrados en su totalidad.
La configuración de la parte de pago del malware sugiere que el rescate sólo se
agregó como cobertura, no para ganar dinero (causar el mayor daño posible).
Ningún medio para recuperar archivos.
44
NonPetyaEjemplo de cibersabotaje (06.2017)
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 45
PARTE DEFENSIVA
• Privilegios de usuarios
• Autenticación de usuario
• Redes sociales
• Telefonía móvil
• Servicios en nube
• Unidades de memoria
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 46
TIEMPOS DE RESPUESTA EN UN APT
VERIZON rp_data-breach-investigations
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 47
CONCLUSIONES
1. Sensibilización de las autoridades ante el problema de la ciberseguridad
2. Mejorar las capacidades de vigilancia ( SAT y SOC AGE)3. Intercambio de incidentes y amenazas
4. Implantación del ENS / Certificación en el ENS y GDPR5. Uso de productos certificados
6. Colaboración público privada --- CSIRT.ES
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 48
1. Aumentar la capacidad de Vigilancia.
2. Herramientas de Gestión Centralizada.
3. Política de seguridad.
4. Aplicar configuraciones de seguridad y actualizaciones.
5. Empleo de productos confiables y certificados.
6. Concienciación de usuarios.
7. Compromiso de dirección (Aceptación Riesgo)
8. Legislación y Buenas Prácticas.
9. Intercambio de Información.
10. Trabajar como si se estuviera comprometido.
SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR
www.ccn-cert.cni.es20/09/2018 49
Gracias
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es