Ciberseguridad en la Administración - ISMS Forum Spain - Asociación Española para ... ·...

28/11/2013 www.ccn-cert.cni.es

1

SIN CLASIFICAR

Ciberseguridad en la Administración

Cibersecurity

ISMS Forum. Ciberseguridad en las AAPP. SIN CLASIFICAR

ÍNDICE

1

2

Marco Legal / Sistemas Alerta Temprana

Ciberespionaje

Actuaciones en las AAPP

Estrategia de Seguridad Nacional

3

4

2 28/11/2013 www.ccn-cert.cni.es


3

MARCO LEGAL • Ley 11/2002 reguladora del Centro Nacional de Inteligencia,

• Real Decreto 421/2004, 12 de Marzo, que regula y

define el ámbito y funciones del CCN.

Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para la

Administración Electrónica.

Establece al CCN-CERT como CERT Gubernamental/Nacional

MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el

centro de alerta y respuesta nacional que coopere y ayude a

responder de forma rápida y eficiente a las Administraciones

Públicas y a las empresas estratégicas, y afrontar de forma

activa las nuevas ciberamenazas.

COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados y

sobre sistemas de la Administración y de empresas

pertenecientes a sectores designados como estratégicos.

HISTORIA

• 2006 Constitución en el seno del CCN

• 2007 Reconocimiento internacional • 2008 Sist. Alerta Temprana SAT SARA

• 2009 EGC (CERT Gubernamentales Europeos) • 2010 ENS y SAT Internet

• 2011 Acuerdos con CCAA

• 2012 CARMEN Y Reglas • 2013 Relación con empresas • 2014 LUCÍA



4 28/11/2013

SISTEMAS DE ALERTA TEMPRANA - SAT

RED SARA:

Servicio para la Intranet Administrativa

Coordinado con MINHAP.

49/54 áreas de conexión

SONDAS SALIDAS DE INTERNET AAPP:

Servicio por suscripción de los Organismos.

Despliegue de Sensores.

52 organismos / 60 sondas

SISTEMA CARMEN

Análisis LOG,s en el perímetro (Proxy….)

Búsqueda anomalías de tráfico

Fase piloto: 6 sondas

www.ccn-cert.cni.es


CLASIFICACIÓN DE LOS INCIDENTES

• APT con exfiltración información

• DoS Distribuido

CRÍTICOS

• Ataques Dirigidos

• DoS

• Código dañino específico

MUY ALTO

• Mayoría Incidentes

• Ataques externos sin consecuencias

• Código dañino genérico

BAJO / MEDIO / ALTO

Guía CCN-STIC-817– Criterios Comunes y Gestión de Incidentes

www.ccn-cert.cni.es 28/11/2013 5


6 28/11/2013

Incidentes por Sistema y año

5784

3363

1459

190

0

434

430

325

199

68

170

205

130

69

125

0 1000 2000 3000 4000 5000 6000 7000

2013

2012

2011

2010

2009

SAT Internet SAT SARA Otros

14.11.2013… 6388 Incidentes

www.ccn-cert.cni.es



7

172

900 749

85 8 196

1532

2067

213 20

398

1737

3283

949

21 0

500

1000

1500

2000

2500

3000

3500

bajo medio alto muy alto crítico

2011 2012 2013

Sistemas de Alerta Temprana Estadísticas


8

AGENTES DE LA AMENAZA

CIBERESPIONAJE



9

2. Ciberdelito / cibercrimen Objetivo: Robo información de tarjetas de crédito / Fraude Telemático /

Blanqueo de dinero…

HACKERS y crimen organizado

3. Ciberactivismo

Objetivo: Ataques a servicios webs / Robo y publicación de datos e información sensible o de carácter personal.

ANONYMOUS y otros grupos

Hackers

Ciberamenazas. Agentes

1. Ciberespionaje / Robo propiedad intelectual Objetivo: Administraciones públicas / Empresas estratégicas

China, Rusia, Irán, otros… Servicios de Inteligencia / Fuerzas Armadas / Otras empresas

Usuarios internos

4. Uso de INTERNET por terroristas / Ciberterrorismo

Objetivo : Comunicaciones , obtención de información, propaganda o financiación /

Ataque a Infraestructuras críticas

ETA , Org. de apoyo y Grupos Yihaidistas

28/11/2013 9

www.ccn-cert.cni.es


10

1. Ciberespionaje Estados / Industrias / empresas Dificultad de atribución. Contra los Sectores Privado y

Público. Ataques dirigidos (APT) Ventajas políticas, económicas, sociales…

RUSIA

CHINA

OTROS PAÍSES ???



• Definición APT / Ataques Dirigidos

- Ataque Dirigido Ciber Ataque “a medida” contra un objetivo concreto (administración,

empresa, red, sistema)

- Advanced Habilidad de evitar la detección

Se adapta al objetivo

Disponibilidad de recursos

(tecnológicos, económicos, humanos)

- Persistent Una vez infectado, se mantiene el acceso a la red/sistema durante un

largo periodo de tiempo

Muy difícil de eliminar

- Threat El atacante tiene la intención y capacidades para ganar acceso a

información sensible almacenada electrónicamente

28/11/2013

Fuerza Aérea de Estados

Unidos, en el año 2006

11 www.ccn-cert.cni.es


12

TIEMPOS DE RESPUESTA EN UN APT

28/11/2013 www.ccn-cert.cni.es 12


¿ COMO PROTEGERNOS

EN AAPP ?



14


14

¿Qué es el Esquema Nacional de Seguridad (ENS)?

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema

Nacional de Seguridad en el ámbito de la Administración Electrónica,

regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de

22 de junio, de acceso electrónico de los ciudadanos a los Servicios

Públicos. Su objeto es establecer la política de seguridad en la utilización

de medios electrónicos y está constituido por principios básicos y

requisitos mínimos que permitan una protección adecuada de la

información.



15


15

ESQUEMA NACIONAL DE SEGURIDAD

6

15

76



16

1. Equipo de seguridad de cómo mínimo 4 personas (10.000 usuarios).

• Multidisciplinar / Necesidad consultoría externa

2. Política de seguridad …. Restricción progresiva de permisos de usuarios.

3. Se deben aplicar configuraciones de seguridad a los distintos

componentes de la red corporativa y portátiles.

4. Herramientas de gestión centralizada de logs - Monitorización y

Correlación. • Trafico de red / Usuarios remotos / Contraseñas Administración ….

• Minería de datos

5. Empleo de indicadores de compromiso

6. INTERCAMBIO DE INFORMACIÓN CON CCN-CERT

…SE DEBE TRABAJAR COMO SI SE ESTUVIERA COMPROMETIDO

Recomendaciones Defensa ante APT,s



Aproximación en el CCN

Ciber

seguridad Inteligencia

Quién? Qué? Cómo?

Atacantes, Victimas,

Personas, Grupos, Estados Motivación Medios e Infraestructura

Intercambio

Empresas y otros

organismos Firmas, patrones, impacto

Análisis de tráfico

Vigilancia de redes y sistemas

Gestión de incidentes y capacidad de reacción Análisis forense / ingeniería inversa Firmas / Patrones / Análisis de Tráfico,

Minería de datos

Defensa de Redes

Prevención y detección

Políticas

Procedimientos Medidas técnicas



ESTRATEGIA DE SEGURIDAD NACIONAL


28/11/2013 18



28/11/2013 19

1. DEFENSA NACIONAL 2. LUCHA CONTRA EL TERRORISMO

3. CIBERSEGURIDAD Garantizar un uso seguro de las redes y los sistemas de información a través del fortalecimiento de nuestras capacidades de prevención, detección y respuesta a los ciberataques.

4. LUCHA CONTRA EL CRIMEN ORGANIZADO

5. SEGURIDAD ECONÓMICA Y FINANCIERA 6. SEGURIDAD ENERGÉTICA

7. NO PROLIFERACIÓN DE ARMAS DE DESTRUCCIÓN MASIVA

8. ORDENACIÓN DE FLUJOS MIGRATORIOS

9. CONTRAINTELIGENCIA Adoptar medidas de contrainteligencia en la defensa de los intereses estratégicos, políticos y

económicos de España, para prevenir, detectar y neutralizar las agresiones encubiertas procedentes de otros Estados, de sus servicios de inteligencia y de grupos o personas, que estén

dirigidas a la obtención ilegal de información.

10.PROTECCIÓN ANTE EMERGENCIAS Y CATÁSTROFES

11.SEGURIDAD MARÍTIMA

12.PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS Robustecer las infraestructuras que proporcionan los servicios esenciales para la sociedad.


www.ccn-cert.cni.es

Líneas de Acción de la EECS

28/11/2013 20


Gracias

E-Mails

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

Websites

www.ccn.cni.es

www.ccn-cert.cni.es

www.oc.ccn.cni.es



Definiciones. Agentes de la amenaza

22

CIBERSEGURIDAD

La habilidad de proteger y defender las redes o sistemas de los ciberataques.

Estos según su motivación pueden ser:

CIBERESPIONAJE

Ciberataques realizados para obtener secretos de estado, propiedad industrial,

propiedad intelectual, información comercial sensible o datos de carácter personal.

CIBERDELITO / CIBERCRIMEN

Actividad que emplea las redes y sistemas como medio, objetivo o lugar del delito.

HACKTIVISMO

Activismo digital antisocial. Sus practicantes persiguen el control de redes o sistemas

(sitios web) para promover su causa o defender su posicionamiento político o social.

CIBERTERRORISMO

Actividades dirigidas a causar pánico o catástrofes realizadas en las redes y sistemas

o utilizando éstas como medio.

CIBERCONFLICTO / CIBERGUERRA … CIBERDEFENSA

CIBERATAQUE

Uso de redes y comunicaciones para acceder a información y servicios sin

autorización con el ánimo de robar, abusar o destruir.

28/11/2013

CCN-STIC 401 Glosario



23

CCN-CERT RD 3/2010 ESQUEMA NACIONAL DE SEGURIDAD Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas

1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes servicios:

a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de

seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las

entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas.

El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad

ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el

cumplimiento de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados.

b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los

miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro

Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración.

c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías

de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes.

d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información,

recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias. 2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.


Ciberseguridad en la Administración - ISMS Forum Spain - Asociación Española para ... ·...

Documents

Transcript of Ciberseguridad en la Administración - ISMS Forum Spain - Asociación Española para ... ·...