javier candau_ciberseg14

12/06/14 www.ccn-cert.cni.es 1


Ciberseguridad en la industria y servicios Robo de información

SIN CLASIFICAR

Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR

ÍNDICE CCN-CERT. Sistemas de Alerta.

-  Estadísticas de Incidentes

Agentes de la Amenaza. Evolución -  Ciberespionaje -  Campañas detectadas en 2013 y 2014 -  Casos de ejemplo

Cooperación protección Patrimonio Tecnológico

–  Catálogo de Servicios CCN-CERT ►  Necesidad Intercambio de Información

–  Cambiar el Modelo. Recomendaciones

www.ccn-cert.cni.es 12/06/14


4

MARCO LEGAL •  Ley 11/2002 reguladora del Centro Nacional de Inteligencia, •  Real Decreto 421/2004, 12 de Marzo, que regula y define el ámbito y funciones del CCN.

Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para la Administración Electrónica.

Establece al CCN-CERT como CERT Gubernamental/Nacional

MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a las Administraciones Públicas y a las empresas estratégicas, y afrontar de forma activa las nuevas ciberamenazas.

COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de la Administración y de empresas de interés estratégicos.

HISTORIA • 2006 Constitución en el seno del CCN • 2007 Reconocimiento internacional • 2008 Sist. Alerta Temprana SAT SARA • 2009 EGC (CERT Gubernamentales Europeos) • 2010 ENS y SAT Internet •  2011 Acuerdos con CCAA •  2012 CARMEN Y Reglas •  2013 Relación con empresas •  2014 LUCÍA

12/06/14 www.ccn-cert.cni.es


www.ccn-cert.cni.es 12/06/14 5

" RED SARA [SAT SARA]

•  Servicio para la Intranet Administrativa

•  Coordinado con MINHAP-SEAP

•  49/54 Organismos adscritos

" SALIDAS DE INTERNET [SAT INET]

•  Servicio por suscripción

•  Basado en despliegue de sondas.

•  57 Organismos / 65 sondas

•  Última incorporación: Gobierno de Baleares

Sistemas de Alerta Temprana (SAT)


6 www.ccn-cert.cni.es 12/06/14

SAT INET Sensores Desplegados

7 + 3 COMPAÑIAS ESTRATÉGICAS

DGOJ

DSN


7

Incidentes de Seguridad. Año 2013 7263 en 2013

0 1000 2000 3000 4000 5000 6000 7000 8000

2013

2012

2011

2010

2009

Incidentes



CLASIFICACIÓN DE LOS INCIDENTES

•  APT con exfiltración información •  DoS Distribuido

CRÍTICOS

•  Ataques Dirigidos •  DoS •  Código dañino específico

MUY ALTO

•  Mayoría Incidentes •  Ataques externos sin

consecuencias •  Código dañino genérico

BAJO / MEDIO / ALTO

Guía CCN-STIC-817– Criterios Comunes y Gestión de Incidentes

www.ccn-cert.cni.es 12/06/14 8


172

900 749

85 8 196

1532

2067

213 20

423

1938

3831

1033

38 70 320

2035

373 71

0 500

1000 1500 2000 2500 3000 3500 4000 4500

bajo medio alto muy alto crí;co

2011 2012 2013 2014

9

Incidentes de Seguridad. Año 2011 - 2014

15.04.2014



10

CIBERESPIONAJE 2013/2014

Fuente: fireeye-advanced-threat-report-2013



INSUFICIENTE PROTECCIÓN

" Ingeniería Social es fácil

q  Infecciones rápidas.

" Sistemas de Seguridad Reactivos

q  No se quieren falsos positivos.

" Poco personal dedicado a seguridad

q  Escasa vigilancia. Fácil progresión por la red.

" Poco favorables a comunicar incidentes

" La atribución es MUY DIFÍCIL.



12

2.  Ciberdelito / cibercrimen s  Objetivo: Robo información de tarjetas de crédito / Fraude Telemático /

Blanqueo de dinero… s  HACKERS y crimen organizado 3.  Ciberactivismo

s  Objetivo: Ataques a servicios webs / Robo y publicación de datos e información sensible o de carácter personal.

s  ANONYMOUS y otros grupos

Hackers

Ciberamenazas. Agentes

1.  Ciberespionaje / Robo propiedad intelectual s  Objetivo: Administraciones públicas / Empresas estratégicas s  China, Rusia, Irán, otros…

§  Servicios de Inteligencia / Fuerzas Armadas / Otras empresas

Usuarios internos

4.  Uso de INTERNET por terroristas / Ciberterrorismo

s  Objetivo : Comunicaciones , obtención de información, propaganda o financiación

s  Ataque a Infraestructuras críticas s  ETA , Org. de apoyo y Grupos Yihaidistas



13

1.  Ciberespionaje s  Estados / Industrias / empresas s Ataques dirigidos (APT) s Dificultad de atribución. Contra los Sectores Privado y Público. s Ventajas políticas, económicas, sociales…

s  RUSIA " Utilización de herramientas diseñadas específicamente contra el objetivo " Conocimiento técnico muy elevado " AAPP

s CHINA " Programa activo desde 2011. Interés en Propiedad intelectual EMPRESAS

" Aeroespacial / Energía / Defensa / Gubernamental / Farmacéutico / Químico / Tecnologías de información / Financiero / Transporte

" Uso de herramientas comerciales " Diferentes grupos con nivel técnico diverso

" OTROS PAÍSES ?

12/06/14

En 2013: •  477 Incidentes / 11 críticos

En 2013: •  432 Incidentes / 9 críticos

www.ccn-cert.cni.es


14 12/06/14

Principales campañas APT

APT1 (Unidad 61398 ). Febrero 2013. Shangai. ¿ 2000 personas ? Persistencia: 356 días (Max 4 años y 10 meses) 6.5 Terabytes en un objetivo Países de habla inglesa Inicio: 2006 Detectado: MANDIANT

NetTraveler Junio 2013 Actividad 2005 … [2010-2013] 350 víctimas – 40 países, incluyendo gobiernos, investigación, activistas y periodistas. Más de 22 GB de datos robados Espionaje básico, distintos backdoors

2013

Icefog Principalmente en Japón, Corea del Sur y Taiwan. Aeroespacial, defensa, telecomunicaciones, naval

Octubre Rojo Enero 2013 Agencias gubernamentales / diplomáticas Empresa sector aeroespacial y energéticos (Industria Nuclear) Interés en Herramientas cifra OTAN / UE RUSIA ?? Detectado: Octubre 2012. KASPERSKY

www.ccn-cert.cni.es


15 12/06/14

2014 Energetic BEAR

BABAR SNAKE / UROBUROS

CARETO (Mask) Snowman

Grupo ByC CHINA RCS

Energetic BEAR

www.ccn-cert.cni.es


16 12/06/14

Remote Control System (RCS) Versiones Windows, Mac OS, Linux, Windows Mobile 5, Windows Mobile 6, iPhone, BlackBerry y Symbian,

Funciones 2011: •  Monitorizar el navegador •  Ficheros abiertos /

cerrados / eliminados •  Pulsaciones de teclado •  Documentos impresos •  Logs de chats •  Correos electrónicos •  Conversaciones de Skype •  Grabación de webcam.

www.ccn-cert.cni.es


Catálogo de Servicios


Actualmente hay 80 empresas adscritas al

servicio de información.


Acciones Realizadas 2013 / 2014 " III Jornadas SAT INTERNET (02.2013) " IV Jornadas SAT INTERNET (03.2014)

" Envío periódico de información DIFUSIÓN LIMITADA:

" 03.2013 à Presentaciones /Envío Reglas / IOC Red October / Grupos Chinos

" 05.2013à Envío Reglas ataques desde China.

" 06.2013 à Recomendaciones generales ante una APT. 912/911/423 IOC

" 12.2013 à Envío Reglas

" 01-02.2014 à Envío Reglas Grupos ByC / Energetic Bear / Mask-Snowman …

" 03-04.2014 à Envío 663 Seguridad DNS / 660 Seguridad Proxy / DNS Dinámicos

" 05.2014 à Envío Reglas RCS

" Canales cifrados PGP/GPG: -  Lista de Distribución con las interesadas y dispuestas a colaborar. -  Envío de claves públicas al CCN-CERT.



Plan Previsto 2014. CATÁLOGO DE SERVICIOS PARA EMPRESAS

" INTERCAMBIO de Indicadores Compromiso (IOC)

" ACCESO PARTE PRIVADA DEL PORTAL " Informes de código dañino + IOC

" Informes de Amenazas

" Info sobre Cursos CCN-STIC.

" Guías CCN-STIC à Configuraciones Seguridad Recomendadas.

" SAT INTERNET " Hasta 10 empresas. " CARMEN. Búsqueda de anomalías " LUCÍA. Intercambio incidentes



CONCLUSIONES


" La dificultad de detección

mitigación de la amenaza es alta.

" Se trata de una carrera de fondo.

OBJETIVO FINAL. De la colaboración CNI-Empresas-AAPP:

" Dificultar la actividad de los atacantes.

" Compartir información relevante de ataques

" Protección del patrimonio e intereses de España.


21

1.  Equipo de seguridad de cómo mínimo 4 personas (10.000 usuarios).

•  Multidisciplinar / Necesidad consultoría externa 2.  Política de seguridad …. Restricción progresiva de permisos de usuarios. 3.  Se deben aplicar configuraciones de seguridad a los distintos

componentes de la red corporativa y portátiles. 4.  Herramientas de gestión centralizada de logs - Monitorización y

Correlación. •  Trafico de red / Usuarios remotos / Contraseñas Administración …. •  Minería de datos

5.  Empleo de indicadores de compromiso

6.  INTERCAMBIO DE INFORMACIÓN CON CCN-CERT

…SE DEBE TRABAJAR COMO SI SE ESTUVIERA COMPROMETIDO

Recomendaciones Defensa ante APT,s



Gracias

" E-Mails

" [email protected]

" [email protected]

" [email protected]

" [email protected]

" [email protected]

" [email protected]

" Websites

" www.ccn.cni.es

" www.ccn-cert.cni.es

" www.oc.ccn.cni.es



23

CCN-CERT RD 3/2010 ESQUEMA NACIONAL DE SEGURIDAD Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas 1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes servicios: a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas.

El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados.

b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración.

c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes.

d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias. 2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.

12/06/14

javier candau_ciberseg14

Technology