Ponencia de Javier Candau, jefe del Área de Ciberseguridad del Centro Criptológico Nacional (CCN), en la Jornada de Estrategia de Ciberseguridad Nacional, organizada por Ingenia, creadora de la herramienta IT GRC ePULPO (http://www.epulpo.com/).
Sevilla, 4 de junio de 2014.
3. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
ÍNDICE
CCN-CERT. Sistemas de Alerta.
- Estadísticas de Incidentes
Agentes de la Amenaza. Evolución
- Ciberespionaje
- Campañas detectadas en 2013 y 2014
- Casos de ejemplo
Cooperación protección Patrimonio Tecnológico
– Catálogo de Servicios CCN-CERT
► Necesidad Intercambio de Información
– Cambiar el Modelo. Recomendaciones
www.ccn-cert.cni.es
12/06/14
4. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
4
MARCO LEGAL
• Ley 11/2002 reguladora del Centro Nacional de
Inteligencia,
• Real Decreto 421/2004, 12 de Marzo, que regula y
define el ámbito y funciones del CCN.
Real Decreto 3/2010, 8 de Enero, que define el
Esquema Nacional de Seguridad para la
Administración Electrónica.
Establece al CCN-CERT como CERT Gubernamental/Nacional
MISIÓN
Contribuir a la mejora de la ciberseguridad española, siendo el
centro de alerta y respuesta nacional que coopere y ayude a
responder de forma rápida y eficiente a las Administraciones
Públicas y a las empresas estratégicas, y afrontar de forma
activa las nuevas ciberamenazas.
COMUNIDAD
Responsabilidad en ciberataques sobre sistemas clasificados y
sobre sistemas de la Administración y de empresas de interés
estratégicos.
HISTORIA
• 2006 Constitución en el seno del CCN
• 2007 Reconocimiento internacional
• 2008 Sist. Alerta Temprana SAT SARA
• 2009 EGC (CERT Gubernamentales Europeos)
• 2010 ENS y SAT Internet
• 2011 Acuerdos con CCAA
• 2012 CARMEN Y Reglas
• 2013 Relación con empresas
• 2014 LUCÍA
12/06/14
www.ccn-cert.cni.es
5. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
www.ccn-cert.cni.es
12/06/14 5
" RED SARA [SAT SARA]
• Servicio para la Intranet Administrativa
• Coordinado con MINHAP-SEAP
• 49/54 Organismos adscritos
" SALIDAS DE INTERNET [SAT INET]
• Servicio por suscripción
• Basado en despliegue de sondas.
• 57 Organismos / 65 sondas
• Última incorporación: Gobierno de Baleares
Sistemas de Alerta Temprana (SAT)
6. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
6
www.ccn-cert.cni.es
12/06/14
SAT INET Sensores
Desplegados
7 + 3 COMPAÑIAS ESTRATÉGICAS
DGOJ
DSN
7. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
7
Incidentes de Seguridad. Año 2013
7263 en 2013
0 1000 2000 3000 4000 5000 6000 7000 8000
2013
2012
2011
2010
2009
Incidentes
www.ccn-cert.cni.es12/06/14
8. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
CLASIFICACIÓN DE LOS INCIDENTES
• APT con exfiltración información
• DoS DistribuidoCRÍTICOS
• Ataques Dirigidos
• DoS
• Código dañino específico
MUY ALTO
• Mayoría Incidentes
• Ataques externos sin
consecuencias
• Código dañino genérico
BAJO / MEDIO / ALTO
Guía CCN-STIC-817– Criterios Comunes y Gestión de Incidentes
www.ccn-cert.cni.es
12/06/14 8
9. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
172
900
749
85
8
196
1532
2067
213
20
423
1938
3831
1033
38
70
320
2035
373
71
0
500
1000
1500
2000
2500
3000
3500
4000
4500
bajo
medio
alto
muy
alto
crí;co
2011
2012
2013
2014
9
Incidentes de Seguridad. Año 2011 - 2014
15.04.2014
12/06/14
www.ccn-cert.cni.es
10. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
10
CIBERESPIONAJE 2013/2014
Fuente: fireeye-advanced-threat-report-2013
12/06/14 www.ccn-cert.cni.es
11. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
INSUFICIENTE PROTECCIÓN
" Ingeniería Social es fácil
q Infecciones rápidas.
" Sistemas de Seguridad Reactivos
q No se quieren falsos positivos.
" Poco personal dedicado a seguridad
q Escasa vigilancia. Fácil progresión por la red.
" Poco favorables a comunicar incidentes
" La atribución es MUY DIFÍCIL.
www.ccn-cert.cni.es
12/06/14
12. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
12
2. Ciberdelito / cibercrimen
s Objetivo: Robo información de tarjetas de crédito / Fraude Telemático /
Blanqueo de dinero…
s HACKERS y crimen organizado
3. Ciberactivismo
s Objetivo: Ataques a servicios webs / Robo y publicación de
datos e información sensible o de carácter personal.
s ANONYMOUS y otros grupos
Hackers
Ciberamenazas. Agentes
1. Ciberespionaje / Robo propiedad intelectual
s Objetivo: Administraciones públicas / Empresas estratégicas
s China, Rusia, Irán, otros…
§ Servicios de Inteligencia / Fuerzas Armadas / Otras empresas
Usuarios internos
4. Uso de INTERNET por terroristas / Ciberterrorismo
s Objetivo : Comunicaciones , obtención de información,
propaganda o financiación
s Ataque a Infraestructuras críticas
s ETA , Org. de apoyo y Grupos Yihaidistas
12/06/14 www.ccn-cert.cni.es 12
13. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
13
1. Ciberespionaje
s Estados / Industrias / empresas
s Ataques dirigidos (APT)
s Dificultad de atribución. Contra los Sectores Privado y Público.
s Ventajas políticas, económicas, sociales…
s RUSIA
" Utilización de herramientas diseñadas específicamente contra el objetivo
" Conocimiento técnico muy elevado
" AAPP
s CHINA
" Programa activo desde 2011. Interés en Propiedad intelectual EMPRESAS
" Aeroespacial / Energía / Defensa / Gubernamental / Farmacéutico / Químico /
Tecnologías de información / Financiero / Transporte
" Uso de herramientas comerciales
" Diferentes grupos con nivel técnico diverso
" OTROS PAÍSES ?
12/06/14
En 2013:
• 477 Incidentes / 11 críticos
En 2013:
• 432 Incidentes / 9 críticos
www.ccn-cert.cni.es
14. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
1412/06/14
Principales campañas APT
APT1 (Unidad 61398 ).
Febrero 2013. Shangai. ¿ 2000 personas ?
Persistencia: 356 días (Max 4 años y 10 meses)
6.5 Terabytes en un objetivo
Países de habla inglesa
Inicio: 2006
Detectado: MANDIANT
NetTraveler
Junio 2013
Actividad 2005 … [2010-2013]
350 víctimas – 40 países, incluyendo gobiernos,
investigación, activistas y periodistas.
Más de 22 GB de datos robados
Espionaje básico, distintos backdoors
2013
Icefog
Principalmente en Japón, Corea del Sur y Taiwan.
Aeroespacial, defensa, telecomunicaciones, naval
Octubre Rojo
Enero 2013
Agencias gubernamentales / diplomáticas
Empresa sector aeroespacial y energéticos (Industria Nuclear)
Interés en Herramientas cifra OTAN / UE
RUSIA ??
Detectado: Octubre 2012. KASPERSKY
www.ccn-cert.cni.es
15. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
1512/06/14
2014
Energetic BEAR
BABAR
SNAKE / UROBUROS
CARETO (Mask)
Snowman
Grupo ByC CHINA
RCS
Energetic BEAR
www.ccn-cert.cni.es
16. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
1612/06/14
Remote Control System (RCS)
Versiones Windows, Mac OS, Linux, Windows Mobile 5, Windows
Mobile 6, iPhone, BlackBerry y Symbian,
Funciones 2011:
• Monitorizar el navegador
• Ficheros abiertos /
cerrados / eliminados
• Pulsaciones de teclado
• Documentos impresos
• Logs de chats
• Correos electrónicos
• Conversaciones de Skype
• Grabación de webcam.
www.ccn-cert.cni.es
17. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
Catálogo de Servicios
12/06/14
www.ccn-cert.cni.es
Actualmente hay 80
empresas adscritas al
servicio de
información.
18. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
Acciones Realizadas 2013 / 2014
" III Jornadas SAT INTERNET (02.2013)
" IV Jornadas SAT INTERNET (03.2014)
" Envío periódico de información DIFUSIÓN LIMITADA:
" 03.2013 à Presentaciones /Envío Reglas / IOC Red October / Grupos Chinos
" 05.2013à Envío Reglas ataques desde China.
" 06.2013 à Recomendaciones generales ante una APT. 912/911/423 IOC
" 12.2013 à Envío Reglas
" 01-02.2014 à Envío Reglas Grupos ByC / Energetic Bear / Mask-Snowman …
" 03-04.2014 à Envío 663 Seguridad DNS / 660 Seguridad Proxy / DNS Dinámicos
" 05.2014 à Envío Reglas RCS
" Canales cifrados PGP/GPG:
- Lista de Distribución con las interesadas y dispuestas a colaborar.
- Envío de claves públicas al CCN-CERT.
12/06/14
www.ccn-cert.cni.es
19. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
Plan Previsto 2014. CATÁLOGO DE SERVICIOS PARA EMPRESAS
" INTERCAMBIO de Indicadores Compromiso (IOC)
" ACCESO PARTE PRIVADA DEL PORTAL
" Informes de código dañino + IOC
" Informes de Amenazas
" Info sobre Cursos CCN-STIC.
" Guías CCN-STIC à Configuraciones Seguridad Recomendadas.
" SAT INTERNET
" Hasta 10 empresas.
" CARMEN. Búsqueda de anomalías
" LUCÍA. Intercambio incidentes
www.ccn-cert.cni.es
12/06/14
20. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
CONCLUSIONES
12/06/14
www.ccn-cert.cni.es
" La dificultad de detección
mitigación de la amenaza es alta.
" Se trata de una carrera de fondo.
OBJETIVO FINAL. De la colaboración CNI-Empresas-AAPP:
" Dificultar la actividad de los atacantes.
" Compartir información relevante de ataques
" Protección del patrimonio e intereses de España.
21. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
21
1. Equipo de seguridad de cómo mínimo 4 personas (10.000 usuarios).
• Multidisciplinar / Necesidad consultoría externa
2. Política de seguridad …. Restricción progresiva de permisos de usuarios.
3. Se deben aplicar configuraciones de seguridad a los distintos
componentes de la red corporativa y portátiles.
4. Herramientas de gestión centralizada de logs - Monitorización y
Correlación.
• Trafico de red / Usuarios remotos / Contraseñas Administración ….
• Minería de datos
5. Empleo de indicadores de compromiso
6. INTERCAMBIO DE INFORMACIÓN CON CCN-CERT
…SE DEBE TRABAJAR COMO SI SE
ESTUVIERA COMPROMETIDO
Recomendaciones Defensa ante APT,s
www.ccn-cert.cni.es
12/06/14
22. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
Gracias
" E-Mails
" ccn-cert@cni.es
" info@ccn-cert.cni.es
" ccn@cni.es
" sondas@ccn-cert.cni.es
" redsara@ccn-cert.cni.es
" organismo.certificacion@cni.es
" Websites
" www.ccn.cni.es
" www.ccn-cert.cni.es
" www.oc.ccn.cni.es
12/06/14
www.ccn-cert.cni.es
23. Andalucía. ECSN. Ciberseguridad en Industria y Servicios SIN CLASIFICAR
23
CCN-CERT RD 3/2010 ESQUEMA NACIONAL DE SEGURIDAD
Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas
1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes
servicios:
a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de
seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las
entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia
vinculadas o dependientes de cualquiera de las administraciones indicadas.
El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante
cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento
de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados.
b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los
miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro
Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro
Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de
Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración.
c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías
de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr
la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes.
d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información,
recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias.
2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas
necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a
incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.
12/06/14