Ciberseguridad en la Administración - ISMS Forum Spain - Asociación Española para ... ·...
Transcript of Ciberseguridad en la Administración - ISMS Forum Spain - Asociación Española para ... ·...
28/11/2013 www.ccn-cert.cni.es
1
SIN CLASIFICAR
Ciberseguridad en la Administración
Cibersecurity
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
ÍNDICE
1
2
Marco Legal / Sistemas Alerta Temprana
Ciberespionaje
Actuaciones en las AAPP
Estrategia de Seguridad Nacional
3
4
2 28/11/2013 www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
3
MARCO LEGAL • Ley 11/2002 reguladora del Centro Nacional de Inteligencia,
• Real Decreto 421/2004, 12 de Marzo, que regula y
define el ámbito y funciones del CCN.
Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para la
Administración Electrónica.
Establece al CCN-CERT como CERT Gubernamental/Nacional
MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el
centro de alerta y respuesta nacional que coopere y ayude a
responder de forma rápida y eficiente a las Administraciones
Públicas y a las empresas estratégicas, y afrontar de forma
activa las nuevas ciberamenazas.
COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados y
sobre sistemas de la Administración y de empresas
pertenecientes a sectores designados como estratégicos.
HISTORIA
• 2006 Constitución en el seno del CCN
• 2007 Reconocimiento internacional • 2008 Sist. Alerta Temprana SAT SARA
• 2009 EGC (CERT Gubernamentales Europeos) • 2010 ENS y SAT Internet
• 2011 Acuerdos con CCAA
• 2012 CARMEN Y Reglas • 2013 Relación con empresas • 2014 LUCÍA
28/11/2013 www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
4 28/11/2013
SISTEMAS DE ALERTA TEMPRANA - SAT
RED SARA:
Servicio para la Intranet Administrativa
Coordinado con MINHAP.
49/54 áreas de conexión
SONDAS SALIDAS DE INTERNET AAPP:
Servicio por suscripción de los Organismos.
Despliegue de Sensores.
52 organismos / 60 sondas
SISTEMA CARMEN
Análisis LOG,s en el perímetro (Proxy….)
Búsqueda anomalías de tráfico
Fase piloto: 6 sondas
www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
CLASIFICACIÓN DE LOS INCIDENTES
• APT con exfiltración información
• DoS Distribuido
CRÍTICOS
• Ataques Dirigidos
• DoS
• Código dañino específico
MUY ALTO
• Mayoría Incidentes
• Ataques externos sin consecuencias
• Código dañino genérico
BAJO / MEDIO / ALTO
Guía CCN-STIC-817– Criterios Comunes y Gestión de Incidentes
www.ccn-cert.cni.es 28/11/2013 5
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
6 28/11/2013
Incidentes por Sistema y año
5784
3363
1459
190
0
434
430
325
199
68
170
205
130
69
125
0 1000 2000 3000 4000 5000 6000 7000
2013
2012
2011
2010
2009
SAT Internet SAT SARA Otros
14.11.2013… 6388 Incidentes
www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
28/11/2013 www.ccn-cert.cni.es
7
172
900 749
85 8 196
1532
2067
213 20
398
1737
3283
949
21 0
500
1000
1500
2000
2500
3000
3500
bajo medio alto muy alto crítico
2011 2012 2013
Sistemas de Alerta Temprana Estadísticas
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
8
AGENTES DE LA AMENAZA
CIBERESPIONAJE
28/11/2013 www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
9
2. Ciberdelito / cibercrimen Objetivo: Robo información de tarjetas de crédito / Fraude Telemático /
Blanqueo de dinero…
HACKERS y crimen organizado
3. Ciberactivismo
Objetivo: Ataques a servicios webs / Robo y publicación de datos e información sensible o de carácter personal.
ANONYMOUS y otros grupos
Hackers
Ciberamenazas. Agentes
1. Ciberespionaje / Robo propiedad intelectual Objetivo: Administraciones públicas / Empresas estratégicas
China, Rusia, Irán, otros… Servicios de Inteligencia / Fuerzas Armadas / Otras empresas
Usuarios internos
4. Uso de INTERNET por terroristas / Ciberterrorismo
Objetivo : Comunicaciones , obtención de información, propaganda o financiación /
Ataque a Infraestructuras críticas
ETA , Org. de apoyo y Grupos Yihaidistas
28/11/2013 9
www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
10
1. Ciberespionaje Estados / Industrias / empresas Dificultad de atribución. Contra los Sectores Privado y
Público. Ataques dirigidos (APT) Ventajas políticas, económicas, sociales…
RUSIA
CHINA
OTROS PAÍSES ???
28/11/2013 www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
• Definición APT / Ataques Dirigidos
- Ataque Dirigido Ciber Ataque “a medida” contra un objetivo concreto (administración,
empresa, red, sistema)
- Advanced Habilidad de evitar la detección
Se adapta al objetivo
Disponibilidad de recursos
(tecnológicos, económicos, humanos)
- Persistent Una vez infectado, se mantiene el acceso a la red/sistema durante un
largo periodo de tiempo
Muy difícil de eliminar
- Threat El atacante tiene la intención y capacidades para ganar acceso a
información sensible almacenada electrónicamente
28/11/2013
Fuerza Aérea de Estados
Unidos, en el año 2006
11 www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
12
TIEMPOS DE RESPUESTA EN UN APT
28/11/2013 www.ccn-cert.cni.es 12
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
¿ COMO PROTEGERNOS
EN AAPP ?
13 28/11/2013 www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
14
TIEMPOS DE RESPUESTA EN UN APT
14
¿Qué es el Esquema Nacional de Seguridad (ENS)?
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema
Nacional de Seguridad en el ámbito de la Administración Electrónica,
regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de
22 de junio, de acceso electrónico de los ciudadanos a los Servicios
Públicos. Su objeto es establecer la política de seguridad en la utilización
de medios electrónicos y está constituido por principios básicos y
requisitos mínimos que permitan una protección adecuada de la
información.
28/11/2013 www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
15
TIEMPOS DE RESPUESTA EN UN APT
15
ESQUEMA NACIONAL DE SEGURIDAD
6
15
76
28/11/2013 www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
16
1. Equipo de seguridad de cómo mínimo 4 personas (10.000 usuarios).
• Multidisciplinar / Necesidad consultoría externa
2. Política de seguridad …. Restricción progresiva de permisos de usuarios.
3. Se deben aplicar configuraciones de seguridad a los distintos
componentes de la red corporativa y portátiles.
4. Herramientas de gestión centralizada de logs - Monitorización y
Correlación. • Trafico de red / Usuarios remotos / Contraseñas Administración ….
• Minería de datos
5. Empleo de indicadores de compromiso
6. INTERCAMBIO DE INFORMACIÓN CON CCN-CERT
…SE DEBE TRABAJAR COMO SI SE ESTUVIERA COMPROMETIDO
Recomendaciones Defensa ante APT,s
16 28/11/2013 www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
Aproximación en el CCN
Ciber
seguridad Inteligencia
Quién? Qué? Cómo?
Atacantes, Victimas,
Personas, Grupos, Estados Motivación Medios e Infraestructura
Intercambio
Empresas y otros
organismos Firmas, patrones, impacto
Análisis de tráfico
Vigilancia de redes y sistemas
Gestión de incidentes y capacidad de reacción Análisis forense / ingeniería inversa Firmas / Patrones / Análisis de Tráfico,
Minería de datos
Defensa de Redes
Prevención y detección
Políticas
Procedimientos Medidas técnicas
17 28/11/2013 www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
ESTRATEGIA DE SEGURIDAD NACIONAL
18 www.ccn-cert.cni.es
28/11/2013 18
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
19 www.ccn-cert.cni.es
28/11/2013 19
1. DEFENSA NACIONAL 2. LUCHA CONTRA EL TERRORISMO
3. CIBERSEGURIDAD Garantizar un uso seguro de las redes y los sistemas de información a través del fortalecimiento de nuestras capacidades de prevención, detección y respuesta a los ciberataques.
4. LUCHA CONTRA EL CRIMEN ORGANIZADO
5. SEGURIDAD ECONÓMICA Y FINANCIERA 6. SEGURIDAD ENERGÉTICA
7. NO PROLIFERACIÓN DE ARMAS DE DESTRUCCIÓN MASIVA
8. ORDENACIÓN DE FLUJOS MIGRATORIOS
9. CONTRAINTELIGENCIA Adoptar medidas de contrainteligencia en la defensa de los intereses estratégicos, políticos y
económicos de España, para prevenir, detectar y neutralizar las agresiones encubiertas procedentes de otros Estados, de sus servicios de inteligencia y de grupos o personas, que estén
dirigidas a la obtención ilegal de información.
10.PROTECCIÓN ANTE EMERGENCIAS Y CATÁSTROFES
11.SEGURIDAD MARÍTIMA
12.PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS Robustecer las infraestructuras que proporcionan los servicios esenciales para la sociedad.
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
www.ccn-cert.cni.es
Líneas de Acción de la EECS
28/11/2013 20
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
Gracias
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es
21 28/11/2013 www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
Definiciones. Agentes de la amenaza
22
CIBERSEGURIDAD
La habilidad de proteger y defender las redes o sistemas de los ciberataques.
Estos según su motivación pueden ser:
CIBERESPIONAJE
Ciberataques realizados para obtener secretos de estado, propiedad industrial,
propiedad intelectual, información comercial sensible o datos de carácter personal.
CIBERDELITO / CIBERCRIMEN
Actividad que emplea las redes y sistemas como medio, objetivo o lugar del delito.
HACKTIVISMO
Activismo digital antisocial. Sus practicantes persiguen el control de redes o sistemas
(sitios web) para promover su causa o defender su posicionamiento político o social.
CIBERTERRORISMO
Actividades dirigidas a causar pánico o catástrofes realizadas en las redes y sistemas
o utilizando éstas como medio.
CIBERCONFLICTO / CIBERGUERRA … CIBERDEFENSA
CIBERATAQUE
Uso de redes y comunicaciones para acceder a información y servicios sin
autorización con el ánimo de robar, abusar o destruir.
28/11/2013
CCN-STIC 401 Glosario
22 www.ccn-cert.cni.es
ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR
23
CCN-CERT RD 3/2010 ESQUEMA NACIONAL DE SEGURIDAD Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas
1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes servicios:
a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de
seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las
entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas.
El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad
ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el
cumplimiento de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados.
b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los
miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro
Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración.
c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías
de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes.
d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información,
recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias. 2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.
28/11/2013 www.ccn-cert.cni.es