Ciberterrorismo:  La nueva realidad de laSeguridad de la Información  Manuel Humberto Santander Peláez Arquitecto Segurida...
AGENDAo   Introduccióno   Ciberterrorismo: una realidad actualo   Respuesta a incidentes de seguridado   Caso práctico: Co...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónHistoria• Los viejos días …    – Windows 3.1    – DOS ...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónHistoria (2)• La información de la compañía residía  e...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónLos viejos fraudes• Los mensajes anónimos se realizaba...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónLos viejos fraudes (2)• Las suplantaciones igualmente ...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónLos viejos fraudes (3)• Los virus de aquel entonces no...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónLos viejos fraudes (4)• Los sistemas críticos tenían r...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónPero …• La tecnología evolucionó• Internet hizo su apa...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónNuevos riesgos• Suplantación de usuarios    – Robo cue...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónNuevos riesgos (2)• Robo información estratégica de la...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónNuevos riesgos (3)
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónNuevos riesgos (4)
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónNuevos riesgos (5)
AGENDAo   Introduccióno   Ciberterrorismo: una realidad actualo   Respuesta a incidentes de seguridado   Caso práctico: Co...
Ciberterrorismo: La nueva realidad en la Seguridad de la Información¿Qué es ciberterrorismo?• Es la combinación de ataques...
Ciberterrorismo: La nueva realidad en la Seguridad de la Información¿Qué es ciberterrorismo? (2)• Tiene 8 principios    – ...
Ciberterrorismo: La nueva realidad en la Seguridad de la Información¿Qué es ciberterrorismo? (3)• Temas a considerar:    –...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónServicios críticos para el país• Sistema Bancario    –...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónServicios críticos para el país (2)• Sistema Bancario ...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónServicios críticos para el país (3)• Sistema eléctrico...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónServicios críticos para el país (4)• Sistema eléctrico...
Ciberterrorismo: La nueva realidad en la Seguridad de la Información¿Cómo se realiza ciberterrorismo?• Utilización        ...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónSistema Interconectado Nacional
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónSistema Interconectado Nacional (2)
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónSistema Interconectado Nacional (3)
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónRed SCADA Sistema Eléctrico
Ciberterrorismo: La nueva realidad en la Seguridad de la Información¿Cómo se realiza ciberterrorismo? (2)• Exploits al alc...
AGENDAo   Introduccióno   Ciberterrorismo: una realidad actualo   Respuesta a incidentes de seguridado   Caso práctico: Co...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónCiclo de vida respuesta a incidentes                  ...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónPreparación de incidentes• Debe establecerse una capac...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónControles Técnicos de Seguridad• Firewalls    – Aplica...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónControles Técnicos de Seguridad (2)• Control antimalwa...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónControles Técnicos de Seguridad (3)• Mitigan el riesgo...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónModelo Seguridad SCADA
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónPrevención de incidentes• El riesgo debe ser mínimo   ...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónPrevención de incidentes (2)• Controles de seguridad p...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónDetección y análisis• Los incidentes deben agruparse e...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónDetección y análisis (2)• Tipos de incidente    – Deni...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónDetección y análisis (3)• Análisis de incidentes    – ...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónDetección y análisis (4)• Análisis de incidentes    – ...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónContención, erradicación y recuperación• Escogencia de...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónActividades post incidente• Lecciones aprendidas    – ...
AGENDAo   Introduccióno   Ciberterrorismo: una realidad actualo   Respuesta a incidentes de seguridado   Caso práctico: Co...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónEntidades encargadas de la respuesta aincidentes en Co...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónEntidades encargadas de la respuesta aincidentes en Co...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónSimulacro de ataques a la infraestructuracrítica nacio...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónSimulacro de ataques a la infraestructuracrítica nacio...
Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónSimulacro de ataques a la infraestructuracrítica nacio...
Contactoo Manuel Humberto Santander Peláez     manuel.santander@epm.com.co     Teléfono: +57-4 380 7837
Ciberterrorismo: La nueva realidad de la Seguridad de la Información
Upcoming SlideShare
Loading in …5
×

Ciberterrorismo: La nueva realidad de la Seguridad de la Información

1,495 views

Published on

Esta presentación muestra una visión sobre el terrorismo en infraestructura crítica de sistemas eléctricos

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,495
On SlideShare
0
From Embeds
0
Number of Embeds
49
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Ciberterrorismo: La nueva realidad de la Seguridad de la Información

  1. 1. Ciberterrorismo: La nueva realidad de laSeguridad de la Información Manuel Humberto Santander Peláez Arquitecto Seguridad de la Información
  2. 2. AGENDAo Introduccióno Ciberterrorismo: una realidad actualo Respuesta a incidentes de seguridado Caso práctico: Colombia
  3. 3. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónHistoria• Los viejos días … – Windows 3.1 – DOS era usado para la gran mayoría de los programas – Internet Incipiente – Modems!!! – Computación Centralizada – Mainframes
  4. 4. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónHistoria (2)• La información de la compañía residía en libros – Consultas manuales en archivos físicos de las compañías – Aseguramiento físico de la información• La operación de infraestructura crítica se hacía en sitio – Protocolos y maquinas propietarios
  5. 5. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónLos viejos fraudes• Los mensajes anónimos se realizaban manualmente – Se cortaban letras de revistas – Había que evitar los reconocimientos grafológicos – El correo público, ideal para camuflar el emisor de la comunicación
  6. 6. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónLos viejos fraudes (2)• Las suplantaciones igualmente existían – ¿Qué tan fácil se puede suplantar una firma? – ¿Cuántas personas cayeron en conversaciones telefónicas con una persona ficticia?• Los atentados terroristas también existían – Bombas – Tomas guerrilleras – Ningún sistema crítico se conecta a TI
  7. 7. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónLos viejos fraudes (3)• Los virus de aquel entonces no hacían mayores estragos – Se desplegaban por diskettes – Pocas aplicaciones en red – Internet inexistente• Los sistemas críticos tenían redes de datos incipientes y aisladas – Tecnología no era una variable crítica en la empresa
  8. 8. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónLos viejos fraudes (4)• Los sistemas críticos tenían redes de datos incipientes y aisladas – Las contingencias en los sistemas críticos se hacían análogamente configurando y moviendo físicamente dispositivos – Los sistemas de gestión eran análogos – Poca comunicación con el mundo real
  9. 9. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónPero …• La tecnología evolucionó• Internet hizo su aparición en el país• Los negocios empezaron a requerir intercambio de archivos dinámico, incluyendo a los sistemas industriales• La información ya no estaba sólo en servidores centrales …
  10. 10. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónNuevos riesgos• Suplantación de usuarios – Robo cuentas MSN – Robo cuentas Facebook – ¿Qué pasa si se roban las cuentas con privilegios de escritura en el sistema SCADA?• Envío de correos electrónicos anónimos – Hotmail, GMAIL, yahoo, … – ¿Qué pasa si el correo anónimo es interno?• Robo información estratégica de las
  11. 11. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónNuevos riesgos (2)• Robo información estratégica de las compañías• Modificación de sitios web de las compañías• Ataques distribuidos de negación de servicio – Muy comunes en anonymous – Busquen “webhive” en twitter ;)
  12. 12. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónNuevos riesgos (3)
  13. 13. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónNuevos riesgos (4)
  14. 14. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónNuevos riesgos (5)
  15. 15. AGENDAo Introduccióno Ciberterrorismo: una realidad actualo Respuesta a incidentes de seguridado Caso práctico: Colombia
  16. 16. Ciberterrorismo: La nueva realidad en la Seguridad de la Información¿Qué es ciberterrorismo?• Es la combinación de ataques a las redes de cómputo y técnicas especiales de operación y defensa• Tiene 8 principios – Ausencia de limitaciones físicas – Debe tener efectos físicos: agua, energía, telecomunicaciones – Invisibilidad
  17. 17. Ciberterrorismo: La nueva realidad en la Seguridad de la Información¿Qué es ciberterrorismo? (2)• Tiene 8 principios – Mutabilidad e inconsistencia – Identidad y privilegios – Uso dual de herramientas para ataque y defensa – Control de infraestructura – Información como ambiente operacional
  18. 18. Ciberterrorismo: La nueva realidad en la Seguridad de la Información¿Qué es ciberterrorismo? (3)• Temas a considerar: – Actividad maliciosa: crimen, espionaje, terrorismo, ataques – La clasificación se realiza dependiendo de las intenciones del perpetrador y el efecto del acto – Todos estos actos comienzan como incidente de seguridad
  19. 19. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónServicios críticos para el país• Sistema Bancario – Los bancos controlan el flujo de efectivo en el país – Si se afecta la operación de los tres mas grandes se crea un impacto lo suficientemente grande como para interrumpir la normal vía diaria de la población – Se paraliza la economía
  20. 20. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónServicios críticos para el país (2)• Sistema Bancario – Múltiples canales para el manejo de información – Múltiples vectores de vulnerabilidades – Grandes infraestructuras con buena inversión en seguridad – Regulados por la circular 052 – Foco principal de ciberdelincuentes
  21. 21. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónServicios críticos para el país (3)• Sistema eléctrico – Controlado por sistemas SCADA para la generación, transmisión y distribución de energía eléctrica – Infraestructura obsoleta tecnológicamente • Windows NT Server • Windows XP sin parches • Máquinas SOLARIS sin parches • Todas las anteriores con configuraciones por defecto
  22. 22. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónServicios críticos para el país (4)• Sistema eléctrico – Conectado a las redes de datos para el intercambio de información del negocio – Posibilidad de materialización de múltiples riesgos en la infraestructura – Si se materializa, puede dejar el país a oscuras completamente
  23. 23. Ciberterrorismo: La nueva realidad en la Seguridad de la Información¿Cómo se realiza ciberterrorismo?• Utilización de herramientas para penetration testing pero con fines terroristas – Causar un apagón – Inutilizar el sistema bancario – Deshabilitar los servicios de comunicaciones del país – Cualquier cosa que pueda causar caos
  24. 24. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónSistema Interconectado Nacional
  25. 25. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónSistema Interconectado Nacional (2)
  26. 26. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónSistema Interconectado Nacional (3)
  27. 27. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónRed SCADA Sistema Eléctrico
  28. 28. Ciberterrorismo: La nueva realidad en la Seguridad de la Información¿Cómo se realiza ciberterrorismo? (2)• Exploits al alcance de cualquier persona – http://www.packetstormsecurity.org – http://www.securityfocus.org – http://www.exploit-db.com• Herramientas para análisis de vulnerabilidades – http://www.nessus.org – http://www.openvas.org – http://www.metasploit.com
  29. 29. AGENDAo Introduccióno Ciberterrorismo: una realidad actualo Respuesta a incidentes de seguridado Caso práctico: Colombia
  30. 30. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónCiclo de vida respuesta a incidentes Contención, Actividades Detección y Erradicación Preparación Post- Análisis y Incidente Recuperación
  31. 31. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónPreparación de incidentes• Debe establecerse una capacidad de respuesta a incidentes en la organización• Deben instalarse controles para que los equipos de cómputo, la red y las aplicaciones son suficientemente seguros• Comunicaciones de los administradores de incidentes• Hardware y software para respuesta a incidentes
  32. 32. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónControles Técnicos de Seguridad• Firewalls – Aplicación – Red• Sistemas de Detección de Intrusos – Red (NIDS) – Host (HIPS)• Controles de navegación URL
  33. 33. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónControles Técnicos de Seguridad (2)• Control antimalware – Servidores y PC – Internet (http, ftp, smtp)• Data loss prevention – Servidores – PC – Internet• NAC
  34. 34. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónControles Técnicos de Seguridad (3)• Mitigan el riesgo de seguridad de la información – No lo eliminan – Sí, puede materializarse el riesgo aún teniendo controles• Pueden proveer evidencia en caso de la ocurrencia de un incidente de seguridad• ¿Qué hacer empresarialmente?
  35. 35. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónModelo Seguridad SCADA
  36. 36. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónPrevención de incidentes• El riesgo debe ser mínimo – Los controles necesarios deben ser implementados – Si no están implementados, el número de incidentes aumenta• Proceso de gestión del riesgo – Parte del Sistema de Gestión de Seguridad de la Información – El entorno cambia continuamente
  37. 37. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónPrevención de incidentes (2)• Controles de seguridad para prevención de incidentes – Administración de parches – Línea base para servidores y PC – Seguridad en Red – Prevención de código malicioso – Entrenamiento para usuarios
  38. 38. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónDetección y análisis• Los incidentes deben agruparse en categorías – Definición de procedimientos por cada categoría de incidente – Permite mayor rapidez para atender los incidentes
  39. 39. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónDetección y análisis (2)• Tipos de incidente – Denial of Service – Código malicioso – Acceso no autorizado – Uso inapropiado
  40. 40. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónDetección y análisis (3)• Análisis de incidentes – Las señales de incidentes no corresponden necesariamente a incidentes que hayan ocurrido o estén ocurriendo – Deben descartarse problemas en la infraestructura o en el software antes de determinar que fue un incidente de seguridad
  41. 41. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónDetección y análisis (4)• Análisis de incidentes – ¿Cómo determinar si ocurrió un incidente? • Determine patrones en los equipos y las redes de datos • Determine los comportamientos normales • Use logs centralizados y cree una política de retención de logs
  42. 42. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónContención, erradicación y recuperación• Escogencia de una estrategia de contención• Captura y manejo de evidencia – Debe aplicarse la normatividad legal para la captura de la evidencia• Erradicación y recuperación – El servicio debe recuperarse – ¿Qué es primero? ¿Evidencia o servicio?
  43. 43. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónActividades post incidente• Lecciones aprendidas – ¿Qué pasó exactamente y en qué tiempos? – ¿Cómo manejó la gerencia y el personal el incidente? ¿Se siguieron los procedimientos? ¿Fueron adecuados?• Métricas del proceso de respuesta a incidentes – Número de incidentes atendidos – Tiempo por incidente – Auditoría del proceso de respuesta a incidentes
  44. 44. AGENDAo Introduccióno Ciberterrorismo: una realidad actualo Respuesta a incidentes de seguridado Caso práctico: Colombia
  45. 45. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónEntidades encargadas de la respuesta aincidentes en Colombia• ColCERT: Dependencia del Ministerio de Defensa encargado de coordinar la respuesta del país a incidentes de seguridad que afecten su funcionamiento• Centro Cibernético Policial (CCP): Dependencia adscrita a la DIJIN, encargada de las labores de investigación y procesamiento inicial de delincuentes informáticos
  46. 46. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónEntidades encargadas de la respuesta aincidentes en Colombia (2)• Comando Conjunto Cibernético (CCP): Dependencia adscrita al Comando de las Fuerzas Militares, el cual se encarga de coordinar la respuesta a incidentes de seguridad que afecten la seguridad nacional• Todas creadas a partir del documento CONPES 3701
  47. 47. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónSimulacro de ataques a la infraestructuracrítica nacional• La Organización de Estados Americanos y el ColCERT organizaron los días 21 y 22 de septiembre los primeros ejercicios de simulacro de ataques a la infraestructura crítica nacional• Invitados de los sectores críticos del país – Presidencia – Bancos
  48. 48. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónSimulacro de ataques a la infraestructuracrítica nacional• Invitados de los sectores críticos del país – Sector eléctrico – Universidades – CCP – CCC – ColCERT• Se trabajó con base en una circunstancia particular del país
  49. 49. Ciberterrorismo: La nueva realidad en la Seguridad de la InformaciónSimulacro de ataques a la infraestructuracrítica nacional (2)• Conclusiones del ejercicio – Los sectores críticos del país no están preparados para contener un incidente de seguridad de naturaleza ciberterrorista – No existen iniciativas de coordinación entre los diversos sectores
  50. 50. Contactoo Manuel Humberto Santander Peláez manuel.santander@epm.com.co Teléfono: +57-4 380 7837

×