javier candau_ciberseg14
DESCRIPTION
Ponencia de Javier Candau, jefe del Área de Ciberseguridad del Centro Criptológico Nacional (CCN), en la Jornada de Estrategia de Ciberseguridad Nacional, organizada por Ingenia, creadora de la herramienta IT GRC ePULPO (http://www.epulpo.com/). Sevilla, 4 de junio de 2014.TRANSCRIPT
12/06/14 www.ccn-cert.cni.es 1
12/06/14 www.ccn-cert.cni.es 2
Ciberseguridad en la industria y servicios Robo de información
SIN CLASIFICAR
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
ÍNDICE CCN-CERT. Sistemas de Alerta.
- Estadísticas de Incidentes
Agentes de la Amenaza. Evolución - Ciberespionaje - Campañas detectadas en 2013 y 2014 - Casos de ejemplo
Cooperación protección Patrimonio Tecnológico
– Catálogo de Servicios CCN-CERT ► Necesidad Intercambio de Información
– Cambiar el Modelo. Recomendaciones
www.ccn-cert.cni.es 12/06/14
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
4
MARCO LEGAL • Ley 11/2002 reguladora del Centro Nacional de Inteligencia, • Real Decreto 421/2004, 12 de Marzo, que regula y define el ámbito y funciones del CCN.
Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para la Administración Electrónica.
Establece al CCN-CERT como CERT Gubernamental/Nacional
MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a las Administraciones Públicas y a las empresas estratégicas, y afrontar de forma activa las nuevas ciberamenazas.
COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de la Administración y de empresas de interés estratégicos.
HISTORIA • 2006 Constitución en el seno del CCN • 2007 Reconocimiento internacional • 2008 Sist. Alerta Temprana SAT SARA • 2009 EGC (CERT Gubernamentales Europeos) • 2010 ENS y SAT Internet • 2011 Acuerdos con CCAA • 2012 CARMEN Y Reglas • 2013 Relación con empresas • 2014 LUCÍA
12/06/14 www.ccn-cert.cni.es
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
www.ccn-cert.cni.es 12/06/14 5
" RED SARA [SAT SARA]
• Servicio para la Intranet Administrativa
• Coordinado con MINHAP-SEAP
• 49/54 Organismos adscritos
" SALIDAS DE INTERNET [SAT INET]
• Servicio por suscripción
• Basado en despliegue de sondas.
• 57 Organismos / 65 sondas
• Última incorporación: Gobierno de Baleares
Sistemas de Alerta Temprana (SAT)
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
6 www.ccn-cert.cni.es 12/06/14
SAT INET Sensores Desplegados
7 + 3 COMPAÑIAS ESTRATÉGICAS
DGOJ
DSN
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
7
Incidentes de Seguridad. Año 2013 7263 en 2013
0 1000 2000 3000 4000 5000 6000 7000 8000
2013
2012
2011
2010
2009
Incidentes
www.ccn-cert.cni.es 12/06/14
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
CLASIFICACIÓN DE LOS INCIDENTES
• APT con exfiltración información • DoS Distribuido
CRÍTICOS
• Ataques Dirigidos • DoS • Código dañino específico
MUY ALTO
• Mayoría Incidentes • Ataques externos sin
consecuencias • Código dañino genérico
BAJO / MEDIO / ALTO
Guía CCN-STIC-817– Criterios Comunes y Gestión de Incidentes
www.ccn-cert.cni.es 12/06/14 8
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
172
900 749
85 8 196
1532
2067
213 20
423
1938
3831
1033
38 70 320
2035
373 71
0 500
1000 1500 2000 2500 3000 3500 4000 4500
bajo medio alto muy alto crí;co
2011 2012 2013 2014
9
Incidentes de Seguridad. Año 2011 - 2014
15.04.2014
12/06/14 www.ccn-cert.cni.es
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
10
CIBERESPIONAJE 2013/2014
Fuente: fireeye-advanced-threat-report-2013
12/06/14 www.ccn-cert.cni.es
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
INSUFICIENTE PROTECCIÓN
" Ingeniería Social es fácil
q Infecciones rápidas.
" Sistemas de Seguridad Reactivos
q No se quieren falsos positivos.
" Poco personal dedicado a seguridad
q Escasa vigilancia. Fácil progresión por la red.
" Poco favorables a comunicar incidentes
" La atribución es MUY DIFÍCIL.
www.ccn-cert.cni.es 12/06/14
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
12
2. Ciberdelito / cibercrimen s Objetivo: Robo información de tarjetas de crédito / Fraude Telemático /
Blanqueo de dinero… s HACKERS y crimen organizado 3. Ciberactivismo
s Objetivo: Ataques a servicios webs / Robo y publicación de datos e información sensible o de carácter personal.
s ANONYMOUS y otros grupos
Hackers
Ciberamenazas. Agentes
1. Ciberespionaje / Robo propiedad intelectual s Objetivo: Administraciones públicas / Empresas estratégicas s China, Rusia, Irán, otros…
§ Servicios de Inteligencia / Fuerzas Armadas / Otras empresas
Usuarios internos
4. Uso de INTERNET por terroristas / Ciberterrorismo
s Objetivo : Comunicaciones , obtención de información, propaganda o financiación
s Ataque a Infraestructuras críticas s ETA , Org. de apoyo y Grupos Yihaidistas
12/06/14 www.ccn-cert.cni.es 12
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
13
1. Ciberespionaje s Estados / Industrias / empresas s Ataques dirigidos (APT) s Dificultad de atribución. Contra los Sectores Privado y Público. s Ventajas políticas, económicas, sociales…
s RUSIA " Utilización de herramientas diseñadas específicamente contra el objetivo " Conocimiento técnico muy elevado " AAPP
s CHINA " Programa activo desde 2011. Interés en Propiedad intelectual EMPRESAS
" Aeroespacial / Energía / Defensa / Gubernamental / Farmacéutico / Químico / Tecnologías de información / Financiero / Transporte
" Uso de herramientas comerciales " Diferentes grupos con nivel técnico diverso
" OTROS PAÍSES ?
12/06/14
En 2013: • 477 Incidentes / 11 críticos
En 2013: • 432 Incidentes / 9 críticos
www.ccn-cert.cni.es
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
14 12/06/14
Principales campañas APT
APT1 (Unidad 61398 ). Febrero 2013. Shangai. ¿ 2000 personas ? Persistencia: 356 días (Max 4 años y 10 meses) 6.5 Terabytes en un objetivo Países de habla inglesa Inicio: 2006 Detectado: MANDIANT
NetTraveler Junio 2013 Actividad 2005 … [2010-2013] 350 víctimas – 40 países, incluyendo gobiernos, investigación, activistas y periodistas. Más de 22 GB de datos robados Espionaje básico, distintos backdoors
2013
Icefog Principalmente en Japón, Corea del Sur y Taiwan. Aeroespacial, defensa, telecomunicaciones, naval
Octubre Rojo Enero 2013 Agencias gubernamentales / diplomáticas Empresa sector aeroespacial y energéticos (Industria Nuclear) Interés en Herramientas cifra OTAN / UE RUSIA ?? Detectado: Octubre 2012. KASPERSKY
www.ccn-cert.cni.es
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
15 12/06/14
2014 Energetic BEAR
BABAR SNAKE / UROBUROS
CARETO (Mask) Snowman
Grupo ByC CHINA RCS
Energetic BEAR
www.ccn-cert.cni.es
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
16 12/06/14
Remote Control System (RCS) Versiones Windows, Mac OS, Linux, Windows Mobile 5, Windows Mobile 6, iPhone, BlackBerry y Symbian,
Funciones 2011: • Monitorizar el navegador • Ficheros abiertos /
cerrados / eliminados • Pulsaciones de teclado • Documentos impresos • Logs de chats • Correos electrónicos • Conversaciones de Skype • Grabación de webcam.
www.ccn-cert.cni.es
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
Catálogo de Servicios
12/06/14 www.ccn-cert.cni.es
Actualmente hay 80 empresas adscritas al
servicio de información.
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
Acciones Realizadas 2013 / 2014 " III Jornadas SAT INTERNET (02.2013) " IV Jornadas SAT INTERNET (03.2014)
" Envío periódico de información DIFUSIÓN LIMITADA:
" 03.2013 à Presentaciones /Envío Reglas / IOC Red October / Grupos Chinos
" 05.2013à Envío Reglas ataques desde China.
" 06.2013 à Recomendaciones generales ante una APT. 912/911/423 IOC
" 12.2013 à Envío Reglas
" 01-02.2014 à Envío Reglas Grupos ByC / Energetic Bear / Mask-Snowman …
" 03-04.2014 à Envío 663 Seguridad DNS / 660 Seguridad Proxy / DNS Dinámicos
" 05.2014 à Envío Reglas RCS
" Canales cifrados PGP/GPG: - Lista de Distribución con las interesadas y dispuestas a colaborar. - Envío de claves públicas al CCN-CERT.
12/06/14 www.ccn-cert.cni.es
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
Plan Previsto 2014. CATÁLOGO DE SERVICIOS PARA EMPRESAS
" INTERCAMBIO de Indicadores Compromiso (IOC)
" ACCESO PARTE PRIVADA DEL PORTAL " Informes de código dañino + IOC
" Informes de Amenazas
" Info sobre Cursos CCN-STIC.
" Guías CCN-STIC à Configuraciones Seguridad Recomendadas.
" SAT INTERNET " Hasta 10 empresas. " CARMEN. Búsqueda de anomalías " LUCÍA. Intercambio incidentes
www.ccn-cert.cni.es 12/06/14
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
CONCLUSIONES
12/06/14 www.ccn-cert.cni.es
" La dificultad de detección
mitigación de la amenaza es alta.
" Se trata de una carrera de fondo.
OBJETIVO FINAL. De la colaboración CNI-Empresas-AAPP:
" Dificultar la actividad de los atacantes.
" Compartir información relevante de ataques
" Protección del patrimonio e intereses de España.
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
21
1. Equipo de seguridad de cómo mínimo 4 personas (10.000 usuarios).
• Multidisciplinar / Necesidad consultoría externa 2. Política de seguridad …. Restricción progresiva de permisos de usuarios. 3. Se deben aplicar configuraciones de seguridad a los distintos
componentes de la red corporativa y portátiles. 4. Herramientas de gestión centralizada de logs - Monitorización y
Correlación. • Trafico de red / Usuarios remotos / Contraseñas Administración …. • Minería de datos
5. Empleo de indicadores de compromiso
6. INTERCAMBIO DE INFORMACIÓN CON CCN-CERT
…SE DEBE TRABAJAR COMO SI SE ESTUVIERA COMPROMETIDO
Recomendaciones Defensa ante APT,s
www.ccn-cert.cni.es 12/06/14
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
Gracias
" E-Mails
" Websites
" www.ccn.cni.es
" www.ccn-cert.cni.es
" www.oc.ccn.cni.es
12/06/14 www.ccn-cert.cni.es
Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
23
CCN-CERT RD 3/2010 ESQUEMA NACIONAL DE SEGURIDAD Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas 1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes servicios: a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas.
El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados.
b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración.
c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes.
d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias. 2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.
12/06/14