2013 01 21 Capacidades para la Defensa en el...

Capacidades para la Defensa en el Ciberespacio

Seguridad Nacional y Ciberdefensa: Estrategias, Capacidades y Tecnologías

© Oscar Pastor Acosta, 21 de enero de 2013, ETSIT – UPM

121.01.2013

Títu

lo d

e la

Pre

sent

ació

n

1

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio

Marco Conceptual

221.01.2013

Títu

lo d

e la

Pre

sent

ació

n

2

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio

Marco Conceptual

“Estrategia Española de Seguridad” (2011):

� “El ciberespacio toca prácticamente todo y a todos . Proporciona unaplataforma para la innovación y la prosperidad y los medios para mejorar elbienestar general de todo el mundo.”

Barack Obama en la “Estrategia Internacional para el Ciberespacio” (2011):

� “Todos los Estados tienen el derecho inherente a la propia defensa yreconocemos que ciertos actos hostiles llevados a cabo en el Ciberespaciopodrían obligar a tomar acciones en el marco de los compromisos que tenemoscon nuestros aliados militares. Nos reservamos el derecho a utilizar todos losmedios necesarios: diplomáticos , informativos , militares y económicos ,adecuados y coherentes con el derecho internacional aplicable, con el fin dedefender a nuestra Nación, nuestros aliados, nuestros socios y nuestrosintereses.”

Ciberespacio

321.01.2013

Títu

lo d

e la

Pre

sent

ació

n

3

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio

Marco Conceptual

Complejidad del entorno terminológico:

� Ciberseguridad, Seguridad de la Información, STIC, Ciberdefensa,… Y en inglés: Information Assurance, Cyber Security, Infosec,Computer Security, Computer Networks Security, ComputerNetworks Defence, Cyber Defence, …

Ciberdefensa

� Política de Seguridad de la OTAN:

� ‘Information Assurance ’: “conjunto de medidas para alcanzar un determinado grado deconfianza en la protección de los sistemas de comunicaciones, los sistemas deinformación y otros sistemas electrónicos y no electrónicos, así como de la información queestá almacenada, procesada o transmitida en estos sistemas con respecto a laconfidencialidad, integridad, disponibilidad, no repudi o y la autenticación ”.

� ‘Infosec ’: “aplicación de medidas de seguridad para proteger la información procesada,almacenada o transmitida en los sistemas de comunicación, información u otros, contra lapérdida de confidencialidad, integridad o disponibilidad , ya sea accidental ointencionada , y para evitar la pérdida de la integridad o la disponibilidad de los propiossistemas ”.

� ‘Cyber Defence ’: “aplicación de las medidas de seguridad para proteger los componentesde la infraestructura TIC contra ataques cibernéticos ”, siendo éstos “una forma de guerracibernética , ya sea en combinación con un ataque físico o no, que está destinada aperturbar los sistemas de información de un adversario”.

421.01.2013

Títu

lo d

e la

Pre

sent

ació

n

4

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio

Marco Conceptual

� DRAE: “aptitud, talento, cualidad que dispone a alguien para el buen ejercicio de algo”.

� Militar: “conjunto de factores (sistemas de armas, infraestructura, personal y medios deapoyo logístico) asentados sobre la base de unos principios y procedimientosdoctrinales que pretenden conseguir un determinado efecto militar a nivelestratégico, operacional o táctico, para cumplir las misiones asignadas ”.

� Dimensiones:

� Material : procesos de adquisición, concordancia con cambios tecnológicos.

� Infraestructura : instalaciones y componentes físicos de los sistemas.

� Recursos Humanos : formado técnicamente y con continuidad adecuada.

� Adiestramiento : personal adecuadamente concienciado e instruido.

� Doctrina : conjunta y alineada con las de la OTAN y UE, para proporcionar a los mandos lasbases tácticas, técnicas y de procedimiento, que les permita ejercer su misión de formaeficaz y eficiente.

� Organización : dirección, planificación y coordinación centralizada para alcanzar laadecuada eficacia de las capacidades necesarias.

� Colaboración Público-Privada : fomentar acuerdos, nacionales e internacionales.

Capacidad

521.01.2013

Títu

lo d

e la

Pre

sent

ació

n

5

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio

Capacidades para la Ciberdefensa

621.01.2013

Títu

lo d

e la

Pre

sent

ació

n

6

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio


DoD de EE. UU. en la Doctrina de las Operaciones de Información (2006) define lascapacidades de las ‘Computer Network Operations ’:

� ‘Computer Network Defense ’: “medidas adoptadas a través del uso de redes deordenadores para proteger, controlar, analizar, detectar y responder a la actividad noautorizada en los sistemas de información y comunicaciones. Las acciones CND no sólobuscan proteger los sistemas de un adversario externo, sino también de su explotacióndesde dentro de la propia organización”.

� ‘Computer Network Exploitation ’: “capacidades de recolección de inteligencia llevadasa cabo a través del uso de redes de computadoras para recopilar datos de los sistemasde información y comunicaciones del posible adversario ”.

� ‘Computer Network Attack ’: “medidas adoptadas a través del uso de las redesinformáticas para interrumpir, negar, degradar o destruir la información manejada porlos sistemas de información y comunicaciones (del posible adversario ), o los propiossistemas de información y comunicaciones”.

Desarrollo de la doctrina española alineada con la de los aliados.

Doctrina

721.01.2013

Títu

lo d

e la

Pre

sent

ació

n

7

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio


Iniciativa (2011) Multinacional para el Desarrollo de la Capacidad de Ciberdefensa (MN CD2)de la Agencia C3 de la OTAN (NC3A)

Taxonomía

821.01.2013

Títu

lo d

e la

Pre

sent

ació

n

8

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio


MN CD2 de la NC3A (1 de 4):

� Detección de Actividad Maliciosa :

� Recopilación de Datos de Sensores.

� Evaluación de Entidades:

� Normalización de los Datos de Sensores.

� Correlación de Datos de Sensores.

� Asignación de Atributos a las Entidades.

� Caracterización de Entidades.

� Evaluación de la Situación:

� Correlación de Entidades.

� Localizar la Fuente Técnica de Ataque.

� Interpretar la Actividad.

� Interpretar el Contexto.

� Visualización para el Análisis.

Taxonomía

921.01.2013

Títu

lo d

e la

Pre

sent

ació

n

9

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio



� Prevención, Mitigación y Terminación de Ataques :

� Reconfiguración de la Topología de los Sistemas:

� Reubicación de los Servicios de Información.

� Compartimentación de Sistemas.

� Cierre de Componentes y Servicios.

� Revocación de Credenciales.

� Actualización del Hardware, del Software y de su Configuración.

� Control del Flujo de Tráfico.

� Decepción.

� Defensa Activa.

� Coordinación de la Respuesta Externa.

Taxonomía

1021.01.2013

Títu

lo d

e la

Pre

sent

ació

n

10

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio



� Análisis Dinámico de Riesgos, Ataques y Daños :

� Análisis Dinámico de Riesgos:

� Valoración de Activos.

� Evaluación de la Amenaza.

� Análisis de Vulnerabilidades.

� Estructura del Sistema.

� Valoración de Ataques.

� Análisis de los Ataques en Curso.

� Coordinación de la Monitorización Externa.

� Evaluación de Daños:

� Análisis de Malware.

� Identificación de los Sistemas Afectados.

� Verificación de la Integridad de la Información.

� Identificación de Información Comprometida.

� Medida de la Disponibilidad del Servicio.

� Concienciación sobre la Situación.

Taxonomía

1121.01.2013

Títu

lo d

e la

Pre

sent

ació

n

11

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio



� Recuperación de Ciberataques :

� Restauración de la Integridad del Sistema.

� Restauración de la Integridad de la Información.

� Restauración de la Disponibilidad del Servicio.

� Registro de la Información Comprometida.

� Toma de Decisiones a Tiempo :

� Identificación de Opciones.

� Coordinación de la Decisión.

� Diseminación de la Decisión.

� Gestión de la Información de Ciberdefensa :

� Recopilación y Compartición de la Información de Ciberdefensa.

� Garantía de Calidad de la Información de Ciberdefensa.

� Recopilación y Explotación del Histórico de Datos.

Taxonomía

1221.01.2013

Títu

lo d

e la

Pre

sent

ació

n

12

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio

Implementación de la Ciberdefensa

1321.01.2013

Títu

lo d

e la

Pre

sent

ació

n

13

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio


Tipos de Servicios

� Servicios Reactivos :

� Alertas y Advertencias.

� Tratamiento de incidentes:

� Análisis de incidentes.

� Apoyo a la respuesta a incidentes.

� Coordinación de la respuesta a incidentes.

� Respuesta a incidentes in situ.

� Tratamiento de vulnerabilidades:

� Análisis de vulnerabilidades.

� Respuesta a vulnerabilidades.

� Coordinación de la respuesta a vulnerabilidades.

� Tratamiento de dispositivos o artefactos:

� Análisis de dispositivos o artefactos.

� Respuesta a dispositivos o artefactos.

� Coordinación de la respuesta a dispositivos o artefactos.

Capacidad de Respuesta ante Incidentes Informáticos: CIRC, CERT, CSIRT, …

1421.01.2013

Títu

lo d

e la

Pre

sent

ació

n

14

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio


Tipos de Servicios

� Servicios Proactivos :

� Comunicaciones y Anuncios.

� Observatorio de Tecnología.

� Evaluaciones o Auditorias de Seguridad.

� Configuración y Mantenimiento de Herramientas, Aplicaciones e Infraestructuras deSeguridad.

� Desarrollo de Herramientas de Seguridad.

� Servicios de Detección de Intrusiones.

� Difusión de Información relacionada con la Seguridad.

� Servicios de Gestión de la Calidad de la Seguridad :

� Análisis de Riesgos.

� Continuidad del Negocio y Recuperación ante Desastres.

� Consultoría de Seguridad.

� Sensibilización / Concienciación.

� Educación / Formación.

� Evaluación o Certificación de Productos.


1521.01.2013

Títu

lo d

e la

Pre

sent

ació

n

15

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio


Ejemplo de Estructura Organizativa en 3 capas: OTAN

� NATO Computer Incident Response Capability - Coordination Centre (NCIRC-CC):constituye el nivel de coordinación de la capacidad NCIRC y es el punto central decontacto tanto para otros organismos internos de la OTAN, como para los interlocutoresexternos, como otros CERT, etc.

� NATO Computer Incident Response Capability - Technical Centre (NCIRC-TC):Constituido por el centro de operaciones de seguridad (SOC), es el nivel técnicooperativo de la capacidad NCIRC.

� Administradores de sistemas y de red de toda la OTAN: que en su conjunto formarán elNivel 3 de la capacidad NCIRC.

Características :

� Capacidad para coordinar una respuesta global durante un incidente.

� Base de conocimiento centralizada en apoyo de los administradores de sistemas locales.

� Centralizar los servicios en línea y los in situ.

� Centralizar los acuerdos de apoyo forense y de asesoramiento legal.

� Optimización de recursos.

� Servir de punto de contacto de la OTAN con otros CERT externos.


1621.01.2013

Títu

lo d

e la

Pre

sent

ació

n

16

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio


� “Red Teaming ”: Práctica de asumir el modo de pensar del potencial adversario paraanalizar las fortalezas y debilidades propias, que obtiene unos resultados excelentes aldetectar flaquezas y vulnerabilidades que difícilmente habrían sido alcanzados medianteuna inspección tradicional.

� Misión de un Ciberequipo Rojo:

� Evaluar la eficacia de las medidas de seguridad.

� Demostrar el impacto del ciberataque en la misión.

� Mejorar la habilidad de los usuarios y del personal de seguridad.

� Estructura :

� Director de Equipo:

� Comité de Inspección: Representante de la Organización + Experto en Seguridad.

� Jefe del Equipo de Ataque:

� Grupo de Ataque: con varios equipos de ataque, compuestos a su vez por un jefe y variosanalistas.

� Jefe del Equipo de Soporte:

� Grupo de Soporte.

Ciberequipo Rojo

1721.01.2013

Títu

lo d

e la

Pre

sent

ació

n

17

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio


Numerosas iniciativas:

� EE.UU., Reino Unido, China, Rusia, Irán, India,Paquistán, Corea del Norte, Corea del Sur,Israel y un largo etcétera.

Ciberejército

En 2009, se crea el Cibermando Militar de EE.UU. (USCYBERCOM), dentro del MandoMilitar Estratégico (USSTRATCOM), con la misión de:

� Dirigir las operaciones y la defensa de las redes de información específicas delDepartamento de Defensa.

� Preparar y, cuando así se indique, llevar a cabo todo el espectro de las posiblesoperaciones militares en el Ciberespacio, con el objetivo de facilitar las acciones en todoslos ámbitos.

� Garantizar libertad de acción de EE.UU. y sus Aliados en el Ciberespacio, y negar lamisma a sus adversarios.

1821.01.2013

Títu

lo d

e la

Pre

sent

ació

n

18

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio


USCYBERCOM se compone de las ciberunidades de los diferentes servicios:

� Cibermando del Ejército (ARCYBER ): 2º Ejército.

� 9º Mando de Señales del Ejército, o el Mando de Tecnología Global de Red del Ejército(NETCOM).

� 1er Mando de Operaciones de Información (Componente Terrestre).

� Mando de Inteligencia y Seguridad del Ejército,.

� Cibermando de la Fuerza Aérea (AFCYBER ): 24ª Fuerza Aérea.

� Ala 67 de Guerra en Red.

� Ala 688 de Operaciones de Información.

� Ala 689 de Comunicaciones de Combate.

� Cibermando de la Flota (FLTCYBERCOM ): 10ª Flota.

� Mando Naval de Guerra en Red.

� Mando Naval de Operaciones de Ciberdefensa.

� Mando Naval de Operaciones de Información.

� Cibermando de la Infantería de Marina (MARFORCYBER ).

Ciberejército

1921.01.2013

Títu

lo d

e la

Pre

sent

ació

n

19

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio


Plan de Capacidad 2016-2028 para las Operaciones en el Ciberespacio del Ejército deEE.UU.:

� Comprensión de la Cibersituación :

� Se compondría del conocimiento inmediato, tanto del adversario cómo del aliado, así comode toda información pertinente sobre las actividades en el Ciberespacio o en el espectroelectromagnético. Se obtiene a partir de una combinación de actividades de inteligencia yoperativas en el Ciberespacio, así como en el resto de dominios, llevadas a cabo tanto demanera unilateral como a través de la colaboración con socios de los sectores público oprivado.

� Ciberguerra :

� La Ciberguerra es el componente de las Operaciones en el Ciberespacio que extiende elpoder cibernético más allá de los límites de la Defensa del ámbito cibernético propio, paradetectar, detener, denegar y derrotar a los adversarios. Las capacidades de la Ciberguerratienen como objetivos las redes de telecomunicaciones y los ordenadores, así como losprocesadores y controladores integrados en equipos, sistemas e infraestructuras.

� La Ciberguerra incluirá acciones de ataque en las que se combinarán ataques a redesinformáticas, con otras capacidades de apoyo (por ejemplo, ataque electrónico o ataquefísico) para negar o manipular la información o la infraestructura.

Ciberejército

2021.01.2013

Títu

lo d

e la

Pre

sent

ació

n

20

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio

Reflexiones Finales

2121.01.2013

Títu

lo d

e la

Pre

sent

ació

n

21

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio

Reflexiones Finales

¿Estamos ante una carrera de ciberarmamento?

� Gran cantidad de casos:

� Stuxnet , Duqu , Flame , Gauss , Wiper , Shamoon , Operación Aurora , Operación NightDragon , Operación Octubre Rojo , …

� Programas de financiación y desarrollo:

� Programa “Olympic Games ”.

� Programa “Plan X ” de DARPA (Defense Advanced Research Projects Agency), definanciación a cuatro años para desarrollar un “sistema para controlar en tiempo real uncampo de batalla cibernético”.

� Floreciente mercado de “exploits” para “zero-days” (“Grey Market ”).

Aspectos a Madurar de las Operaciones en el Ciberespacio:

� Reglas de Enfrentamiento.

� Relaciones del ciberejército en operaciones convencionales.

� “Cyber Defence Information Sharing”.

2221.01.2013

Títu

lo d

e la

Pre

sent

ació

n

22

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio

Referencias Bibliográficas

2321.01.2013

Títu

lo d

e la

Pre

sent

ació

n

23

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio


� Gobierno de España, Estrategia Española de Seguridad: Una responsabilidad de todos.2011.

� White House, International Strategy For Cyberspace: Prosperity, Security, and Opennessin a Networked World. 2011.

� Néstor Ganuza, Alberto Hernández, y Daniel Benavente, «NECCS-1: An IntroductoryStudy to Cyber Security in NEC». NATO CCD COE Publications, jun-2011.

� Javier Candau Romero, «Estrategias nacionales de ciberseguridad. Ciberterrorismo», inCiberseguridad: Retos y Amenazas a la Seguridad Nacional en el Ciberespacio, vol. 149,Ministerio de Defensa, Ed. 2010, pp. 257-322.

� Juan José Díaz del Río Durán, «La Ciberseguridad en el Ámbito Militar», inCiberseguridad: Retos y Amenazas a la Seguridad Nacional en el Ciberespacio, vol. ,Instituto ol de Estudios gicos, Ed. 2010, pp. 217-256.

� Heli Tiirmaa-Klaar, «NATO Policy on Cyber Defence», in 2011 3rd InternationalConference on Cyber Conflict, Tallin, Estonia, 2011.

� José Manuel García Sieiro, «Planeamiento por Capacidades», Revista Española deDefensa, pp. 38-43, jun-2006.

� Joint Chiefs of Staff, «Joint Publication 3-13 Information Operations». DoD, 13-feb-2006.

� European Network and Information Security Agency, Good Practice Guide – CooperativeModels for Effective Public Private Partnerships. Luxembourg: Publications Office of theEuropean Union, 2011.

2421.01.2013

Títu

lo d

e la

Pre

sent

ació

n

24

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio


� NATO C3 Agency, «Multinational Cyber Defence Capability Development (MN CD2)Initiative - Info Sheet». NC3A, 05-may-2011.

� Centro Criptológico Nacional, «Guía de Seguridad de las TIC (CCN-STIC-810) Guía deCreación de un CERT / CSIRT». sep-2011.

� Carnegie Mellon University, Stelvio bv, y PRESECURE Consulting GmbH, «CSIRTServices». Carnegie Mellon University, 26-nov-2002.

� Suleyman Anil, «NCIRC (NATO Computer Incident Response Capability)», in 11th TF-CSIRT Meeting, Madrid, 2004.

� Assistant Chief of the Defence Staff, «A Guide to Red Teaming - DCDC Guidance Note».UK Ministry of Defence, feb-2010.

� L. Dandurand, «Rationale and blueprint for a Cyber Red Team within NATO: An essentialcomponent of the Alliance’s Cyber Forces», in 2011 3rd International Conference onCyber Conflict Proceedings, Tallin, Estonia, 2011, vol. 1, pp. 71-86.

� U.S. Department of Defense, «Department of Defense Strategy for Operating inCyberspace». U.S. Department of Defense, jul-2011.

� Tom Espiner, «MoD cyber-command will combine with intelligence», ZDNet UK, 27-jun-2011.

� U.S. Department of Defense, «U.S. Cyber Command Fact Sheet». US Department ofDefense Office of Public Affairs, 13-oct-2010.

� U.S. Cyber Command, «U.S. Cybercom Tri-fold», 19-oct-2010.

2521.01.2013

Títu

lo d

e la

Pre

sent

ació

n

25

Cap

acid

ades

par

a la

Def

ensa

en

el C

iber

espa

cio


� U.S. Army Cyber Command, «Army Cyber Command Organization». [Online]. Available:http://www.arcyber.army.mil/org-arcyber.html. [Accessed: 25-ago-2012].

� U.S. Air Force, «24th Air Force - Fact Sheet», abr-2010. [Online]. Available:http://www.24af.af.mil/library/factsheets/factsheet_print.asp?fsID=15663&page=1.[Accessed: 25-ago-2012].

� United States Navy, «U.S. Fleet Cyber Command / U.S. Tenth Fleet». [Online]. Available:http://www.fcc.navy.mil/. [Accessed: 25-ago-2012].

� U.S. Army, «Cyberspace Operations Concept Capability Plan 2016-2028». U.S. ArmyCapabilities Integration Center, 22-feb-2010.

� Mark Clayton, «Stuxnet malware is “weapon” out to destroy ... Iran’s Bushehr nuclearplant?», The Christian Science Monitor, 21-sep-2010.

� McAfee® Foundstone® Professional Services, «Global Energy Cyberattacks: “NightDragon”», McAfee LabsTM, Santa Clara, CA, White Paper, feb. 2011.

� Ellen Nakashima y Joby Warrick, «Stuxnet was work of U.S. and Israeli experts, officialssay», Washington Post, 01-jun-2012.

� DARPA, «DARPA-BAA-13-02: Foundational Cyberwarfare (Plan X)». 21-nov-2012.

� Ryan Gallagher, «Zero-day exploits: Should the hacker gray market be regulated?», Slate Magazine, 16-ene-2013.

� Donna Miles, «Doctrine to Establish Rules of Engagement Against Cyber Attacks»,American Forces Press Service, BALTIMORE, 20-oct-2011.

Su mejor aliadoSu mejor aliado

IsdefeC/ Beatriz de Bobadilla, 328040 MadridTel.: +34 91 411 50 11Email: [email protected]

2013 01 21 Capacidades para la Defensa en el...

Documents

Transcript of 2013 01 21 Capacidades para la Defensa en el...