EVOLUCIÓN DEL CONCEPTO DE CIBERDEFENSA · Según la finalidad de la información, puede ser:...
Transcript of EVOLUCIÓN DEL CONCEPTO DE CIBERDEFENSA · Según la finalidad de la información, puede ser:...
EVOLUCIÓN DEL CONCEPTO DE CIBERDEFENSA
Col. Javier López de Turiso y SánchezJefe del Estado Mayor del MCCD
Pozuelo de Alarcón, 24 de mayo de 2018
2
ÍNDICE
Antecedentes.
Seguridad de la información.
INFOSEC.
Ciberdefensa.
Ciberdefensa y operaciones militares.
Operaciones en el ciberespacio.
3
GEOGRÁFICA
FÍSICA
LÓGICA
CIBERIDENTIDADES
PERSONAS
TEORÍAS DE LAS CAPAS DEL CIBERESPACIO
4
FÍSICA (Capa 1)• Nodos: ordenadores, servidores, routers, hubs, switches, móviles,
tablets, satélites, antenas, etc.• Enlaces: cableados (fibra, cable) e inalámbricos (Wi-Fi, radio, 3G,
4G, etc.)• Relacionada con la capa geográfica -> Relación fija o variable.
LÓGICA (Capa 2)
• Datos, firmware, sistemas operativos, protocolos, aplicaciones y todo tipo de software generado mediante código.
• Dependiente de la capa física. • Permite la comunicación de las ciberidentidades a través de los
nodos y los enlaces.
CIBERIDENTIDADES (Capa 3)• Direcciones de correo-e, ID de usuario, cuentas de redes sociales,
alias, etc.• Identidades virtuales de personas/organizaciones reales. • 1 persona/organización -> multiples ciberidentidades.• 1 ciberidentidad -> multiples personas/organizaciones.
TEORÍAS DE LAS CAPAS DEL CIBERESPACIO
5
FALLOS HUMANOSIgnorancia
Ingenuidad
Negligencia
FALLOS FÍSICOS
DiseñoFabricación
Resistencia de los materialesLimitaciones estructurales
Equipos informáticosElectrónica de red
Equipos de comunicaciones
Programación
FALLOS LÓGICOS
Diseño
ProtocolosSistemas operativos
Aplicaciones
De configuraciónValidación de entradaSalto de directorioSeguimiento de enlacesInyección de comandos en el sistema operativo Secuencias de comandos en sitios cruzados (XSS)Inyección SQLInyección de códigoError de búfer (desbordamiento, agotamiento)Formato de cadenaErrores numéricosRevelación/Filtrado de informaciónGestión de credencialesPermisos, privilegios y/o control de accesoFallo de autenticaciónCarácter criptográficoFalsificación de petición en sitios cruzados (CSRF)Condición de carreraError en la gestión de recursosError de diseño 100.051
(Abril 2018)
VULNERABILIDADES
6
PROTECCIÓN DE LA INFORMACIÓN
7
SEGURIDAD DE LA INFORMACIÓN
8
1ª Política OTAN: 1950
C-M(55)15(Final)
2002 Revisión del C-M(55)15(Final)
Identificación y aplicación de las medidas de seguridad para proteger información procesada, almacenada o transmitida en sistemas de información, comunicaciones o electrónicos contra la pérdida de confidencialidad, integridad o disponibilidad .
Anexo INFOSEC
SEGURIDAD DE LA INFORMACIÓN
9
Medidas de seguridad para impedir a personas no autorizadasinformación de valor que podría derivarse del acceso y análisis de las telecomunicaciones o para asegurar la autenticidad de las mismas.
COMSEC
Aplicación de medidas de seguridad al HW, SW y FW de los sistemasinformáicos para prevenir o protegerlo contra la divulgación, manipulación, modificación o borrado no autorizado de información o la denegación de servicio.
COMPUSEC
Medidas de seguridad para proteger las transmisiones de interceptaciones y/o explotación no autorizadas mediante el uso de medios de cifra.
CRYPTO
Medidas de seguridad para proteger las transmisiones de interceptaciones y/o explotación no autorizadas mediante el uso de otros medios distintos que la cifra.
TRANSEC
Medidas de seguridad contra la explotación de información procedente de las emisiones radioeléctricos de los sistemas propios.
EMSEC
Aplicaciones de seguridad para proteger los datos y los recursos que manejan las TIC.
SEGURIDAD SW
Medidas para asegurar que se emplea solo HW autorizado. SEGURIDAD HW
INFOSEC
10
INFOSEC trata de:
1. Organización de la seguridad TIC.2. Arquitectura de seguridad.3. Documentación de seguridad.4. Gestión de riesgos: amenazas de bajo riesgo y vulnerabilidades.5. Controles de acceso6. Inspecciones, auditorías y acreditaciones.7. Seguridad en las interconexiones.8. Cifrado.9. Seguridad en las emisiones.10. Eventos de seguridad: fallos y/o actividad maliciosa.11. Configuraciones mínimas de seguridad.12. Prevención y protección contra malware.13. Violaciones de seguridad de información clasificada: divulgación, copia, etc.14. Recopilación masiva de información no autorizada.15. Insiders.16. Escalado de privilegios de usuarios no autorizados.17. Recuperación ante incidentes.
Prevención
Protección
Recuperación
INFOSEC
11
INFOSEC SEGURIDAD CIS (CIS Security)2013
Aplicación de medidas de seguridad para la protección de los sistemas de información, comunicaciones y otros sistemas electrónicos y la información que es almacenada, procesada o transmitida en estos sistemas con respecto a la confidencialidad, integridad, disponibilidad, autenticación y trazabilidad.
Y ESTO … ¿TIENE ALGO QUE VER CON LA CIBERSEGURIDAD?
INFOSEC
12
CIBERSEGURIDAD NACIONAL: estado a alcanzarEmana de la Estrategia de Ciberseguridad Nacional
1
Seguridad Nacional (Ley 36/2015):• La Defensa Nacional.• La Seguridad Pública.• La Acción Exterior.
CIBERSEGURIDAD TÉCNICA: seguridad CISConjunto de medidas técnicas para la prevención del daño, protección y recuperación de equipos, redes, sistemas y servicios de información y de comunicaciones y la información que contienen para asegurar su confidencialidad, integridad, disponibilidad, autenticidad frente a amenazas identificadas.
Es una parte de la CIBERDEFENSA.
Ciberseguridad técnica
Ciberdefensa Ciberseguridad Nacional
CIBERSEGURIDAD
2
13
EL FOCO LAS TIC
SEGURIDAD CIS
14
2006-2007 CAMBIO ESTRATÉGICO
• Nuevos retos emergentes.• Nuevas amenazas: se potencian el espionaje y la
explotación de información; aparece la interrupción a gran escala.
• Nuevas formas de actuación.• Nuevas capacidades.
EMPLEO MALWARE
15
CAMBIO ESTRATÉGICO
16
EL FOCO LAS AMENAZAS
CAMBIO ESTRATÉGICO
17
Amenaza: es cualquier actor con voluntad, que actúa con unas
determinadas intenciones, que dispone de unas capacidades y que afectaa los activos explotando las oportunidades que se le ofrezcan o incidiendoen las debilidades existentes.
Personas, organizaciones o estados: Hackers. Terroristas. Criminales. Organizaciones criminales. Partidos políticos extremistas.
Movimientos religiosos fanáticos. Insiders. Servicios de inteligencia. Fuerzas militares adversarias.
CAMBIO ESTRATÉGICO
18
Peligro: Es cualquier actor (involuntario, natural o fortuito), que actúa
con negligencia, ignorancia o el azar, que dispone de un potencial dañinoy que afecta a los activos incidiendo en las debilidades existentes.
Riesgo: probabilidad de materialización de una amenaza o un peligro
que produzca un impacto en la organización en términos de operatividad,de integridad física de personas, de material o de imagen.
Riesgo = P(amenaza/peligro) x impacto.
CAMBIO ESTRATÉGICO
19
LA NUEVA AMENAZA IMPLICABA:
• Intenciones determinadas.
• Acciones planificadas, organizadas y coordinadas.
• Acciones dirigidas sobre objetivos seleccionados (importantes, vulnerables,
de fácil acceso, etc.)
• Acciones relacionadas distantes en tiempo y/o lugar.
• Elaboración y ejecución profesional: modo de operación y disciplina.
• Explotación de múltiples vulnerabilidades, muchas desconocidas.
• Capacidad de propagación discriminada.
CAMBIO ESTRATÉGICO
20
• Detectar, reaccionar y contrarrestar la amenaza.• Averiguar su modo de operación:
• Acceso a recursos de red.• Uso ilegítimos del sistema o de credenciales.• Violación de la confidencialidad o la integridad• Denegación de servicios.• Alteración de datos.• Introducción de código dañino.
• Descubrir el motivo de la acción:• Sabotaje.• Subversión.• Espionaje.• Terrorismo.• Actividades criminales.
• Descubrir los autores (actores de la amenaza).• Elaborar inteligencia de amenazas de otros sectores de la sociedad
con posible repercusión en la Defensa.• Actuar frente a amenazas identificadas y no identificadas.• Proporcionar respuesta legítima, oportuna y proporcionada.
TOM
AR A
CCIÓ
NCAMBIO ESTRATÉGICO
21
• Adoptar nuevas medidas que sobrepasaban las funciones asignadas a la Seguridad CIS.
• Medidas contra la amenaza y sus formas de acción.
Detección
ReacciónMEDIDAS AMENAZAS
• Capacidades de información y ciberinteligencia de amenazas.
• Capacidades de respuesta:dentro
fuerade nuestras redes.
CAMBIO ESTRATÉGICO
22
CIBERDEFENSA
Detección
Reacción
MEDIDAS focalizando la AMENAZA
Prevención
Protección
Recuperación
MEDIDAS focalizando las TIC
CAMBIO ESTRATÉGICO
23
1ª Política OTAN: 2008
Los medios para alcanzar y ejecutar medidas defensivas para contrarrestar los ciberataques y mitigar sus efectos y preservar la seguridad de los sistemas de información, comunicaciones y electrónicos o la información que es almacenada, procesada o transmitida por estos sistemas.
Concepto de Ciberdefensa (MC0571):
1er Concepto OTAN: 2008
• Políticas.• Conceptos.• Entrenamiento.• Instrucciones.• Medidas pasivas y activas.• Soluciones técnicas y no técnicas.• Métodos, planes y procedimientos.
CIBERDEFENSA
24
Los medios para alcanzar y ejecutar medidas defensivas para contrarrestar los ciberataques y mitigar sus efectos y preservar la seguridad de los sistemas de información, comunicaciones y electrónicos o la información que es almacenada, procesada o transmitida por estos sistemas.
Concepto de Ciberdefensa (MC0571):
Acto o acción iniciada en el ciberespacio para causar daño, comprometiendo los sistemas de información, telecomunicaciones y electrónicos o la información que es almacenada, procesada o transmitida por estos sistemas.
Ciberataque:
CRITERIOINTENCIÓN DE CAUSAR DAÑO
CIBERDEFENSA
25
EXPLOTACIÓNALERTA TEMPRANA
CONOCIMIENTO SITUACIÓNINTELIGENCIA
ATAQUERESPUESTA OPORTUNA,
LEGÍTIMA,PROPORCIONADA
DEMOSTRACIÓN PODER MILITAR
DEFENSAPREVENCIÓNPROTECCIÓNDETECCIÓNREACCIÓN
RECUPERACIÓN
Concepto de Ciberdefensa
CIBERDEFENSA
26
DEFENSAPREVENCIÓNPROTECCIÓNDETECCIÓNREACCIÓN
RECUPERACIÓN
Capacidad de Defensa
Detección
Reacción
MEDIDAS focalizando la AMENAZA
Prevención
Protección
Recuperación
MEDIDAS focalizando las TIC
Seguridad CIS
• Monitorización.• Recopilación e
interpretación logscorrelados.
• Creación, triaje, investigación y resolución de incidentes.
• Generación reglas correlación y detección.
• Recopilación e investigación de evidencias.
• Elaboración de procedimientos.
CIBERDEFENSA
27
EXPLOTACIÓNALERTA TEMPRANA
CONOCIMIENTO SITUACIÓNINTELIGENCIA
Capacidad de Explotación
• Inteligencia en el ciberespacio: para ser empleada por cualquier ámbito, unidad u organismo.
• Ciberinteligencia: inteligencia de ciberamenazas para ser utilizada por las Fuerzas de Ciberdefensa para la ejecución de operaciones.
Permite obtener información del ciberespacio y elaborar inteligencia.
Según la finalidad de la información, puede ser:
CIBERDEFENSA
28
ATAQUERESPUESTA OPORTUNA,
LEGÍTIMA,PROPORCIONADA
DEMOSTRACIÓN PODER MILITAR
Capacidad de Ataque
Respuesta legítima, oportuna y proporcionadaen acciones específicas, en apoyo de otras Fuerzas o como demostración de fuerza militar en el ciberespacio.
CIBERDEFENSA
29
PRIMERAS ACCIONES AÉREAS (1912)
Aéronautique Militaire
Servicio de Aeronáutica Militar
Fliegentruppen
Royal Flying Corps
US Army Air Corps
1918 RAF
1933 L´Armée de l’Air
1935 Luftwaffe
1939 Ejército del Aire
1947 USAF
PRIMEROS ENFRENTAMIENTOS AÉREOS (1914)
PRIMERAS COMBATES AÉREOS (1915)
CIBERDEFENSA
30
ACCIÓN REACCIÓN(ES)
CIBERDEFENSA
Acciones: a diario.
Enfrentamientos: a diario.
Combates: infecciones prolongadas y/o recurrentes
(Conficker, Houdini, I Love You, etc.).
Batallas: WannaCry, Petya, etc.
Operaciones: Octubre Rojo, Careto, Harkonnen, etc.
Campañas: phishing, APT.
ESCALA DE ACCIONES MILITARES
RESPUESTA
31
Acciones puntuales o concatenadas
CIBERDEFENSA
DEFENSA
DEFENSA
EXPLOTACIÓN
EXPLOTACIÓN
32
CIBERDEFENSA Y OPERACIONES MILITARES
ACCIONES DE CIBERDEFENSA
PLANEAMIENTO Y CONDUCCIÓN
Fuerzas deDefensa
Fuerzas deExplotación
Fuerzas deAtaque
• Dirección• Coordinación• Control
ACC. ESPECÍFICASPlaneamiento táctico
ACC. CONJUNTASPlaneamiento operacional
OPERACIONES EN EL CIBERESPACIO
33
CIBERDEFENSA Y OPERACIONES MILITARES
QUÉ, CÓMO, DÓNDE, CUÁNDO
• Decidir acciones defensivas no automáticas.• Distribuir el esfuerzo defensivo.• Priorizar la defensa de determinados sistemas.• Decidir acciones de retardo o engaño.• Decidir activar trampas o señuelos.• Decidir la cuarentena de redes, sectores o sistemas.• Decidir cortes de comunicaciones.• Coordinar con otros organismos nacionales e
internacionales.
FUERZAS DE DEFENSA
FUERZAS DE EXPLOTACIÓN Y ATAQUEQUIÉN, POR QUÉ, CONTRAS
• Decidir investigación del atacante y su entorno.• Decidir investigación del lugar de origen.• Decidir efectos deseados.• Decidir descubrimiento de vulnerabilidades
adversarias.• Decidir acciones de respuesta.
PLANEAMIENTO SEGÚN COPD
• Definir objetivos tácticos.• Definir misiones y acciones:
• Defensivas.• Explotación.• Ataque.• Apoyo
• Coordinación misiones de apoyo.• Mando que apoya.• Mando apoyado.
• Definir objetivos ciber e integrar en lista de objetivos conjuntos.
• …
FUERZAS DE CIBERDEFENSA
34
ESTRUCTURA OPERATIVA CONJUNTA
CIBERDEFENSA Y OPERACIONES MILITARES
MANDO DEOPERACIONES
MANDO COMPONENTE
MARÍTIMO
MANDO COMPONENTE
AÉREO
MANDO COMPONENTE
TERRESTRE
MANDO COMPONENTE OPERACIONES
ESPECIALES
MANDO COMPONENTE
CIBER
OPLANLCC
OPLANMCC
OPLANACC
OPLANSOCC
OPLANCCC
OBJETIVOS OPERACIONALES
35
OPERACIONES EN EL CIBERESPACIO Y CIBEROPERACIONES
Porque el ciberespacio es un dominio de las operaciones, igual que el terrestre, el naval o el aeroespacial (Cumbre de Varsovia de la OTAN , 2016).
¿POR QUÉ SE HACEN OPERACIONES EN EL CIBERESPACIO?
El empleo de capacidades operativas de ciberdefensa para llevar a caboacciones coordinadas en tiempo, espacio y propósito por una autoridad militarpara alcanzar objetivos militares o lograr efectos EN o A TRAVÉS delciberespacio de acuerdo con lo establecido en una directiva, plan u orden.
¿QUÉ SON LAS OPERACIONES EN EL CIBERESPACIO?
¿QUIÉN HACE LAS OPERACIONES EN EL CIBERESPACIO?
La Fuerza ConjuntaLa Fuerza de Ciberdefensa
36
¿QUÉ TIPOS DE OPERACIONES SE HACEN EN EL CIBERESPACIO?
CIBERDEFENSA Y OPERACIONES MILITARES
Uso CIS Seguridad CIS
Manto. CIS
De Infraestructura
MDI MDE
Defensivas
Sistemas propios Sistemas adversarios
Pasivas Activas
No intrusiva Intrusiva
Ciber ISR
Denegación Manipulación
Ofensivas
2018
Red(DODIN)
MDI Respuesta Ataque
Defensivas Ofensivas
ActivasPasivas
Sistemas propios Sistemas adversarios2013
Prevención Protección Recuperación
Defensa
Detección Reacción
Sistemas propios Sistemas adversarios
Pasivas Activas
OSINT CYTECH
Explotación
DoS
Ataque
2015
Pasiva Activa Ataque
Defensivas Ofensivas
ActivasPasivas
Sistemas propios Sistemas adversarios2016
Preparación entorno ISR
Ciber ISR
Alteración
37
¿QUÉ TIPOS DE OPERACIONES SE HACEN EN EL CIBERESPACIO?
OPERACIONES DE EXPLOTACIÓN
OPERACIONES DE ATAQUE
OPERACIONES DE DEFENSA
Prevención
Protección
Recuperación
Detección
Reacción
CIBERDEFENSA Y OPERACIONES MILITARES
(2015)
CYBERSPACE OPERATIONS
CIS Infraestructure Operations
Defensive Cyberspace Operations
Cyberspace ISR
Offensive Cyberspace Operations
Internal Defence Measures
External Defence Measures
CIS Infraestructure Operations & Maintenance
CIS Infraestructure Employment
CIS Infraestructure Security
Non-intrusive Collection
Intrusive Collection
Operational Preparation of the Environment
Denial Operations
Manipulation Operations
Operational Preparation of the Environment
IMSM-0123-201815 mar 18
CIBERDEFENSA Y OPERACIONES MILITARES
(2018)
CIBERDEFENSA Y OPERACIONES MILITARES
(2015) (2018)
40
1. El ciberespacio no es una exclusividad de las Fuerzas de Ciberdefensa.
2. Se pueden considerar operaciones en el ciberespacio:a) En la capa 1 (física):
i. Operaciones cinéticas contra los nodos y/o los enlaces.ii. Operaciones de guerra electrónica.iii. CCC: mando apoyado.
b) En la capa 2 (lógica):i. Ciberoperaciones.ii. CCC: operaciones específicas, mando que apoya y
mando apoyado.c) En la capa 3 (ciberidentidades):
i. Operaciones de influencia.ii. CCC: mando que apoya.
OPERACIONES EN EL CIBERESPACIO Y CIBEROPERACIONES
¿CAMBIO DE PARADIGMA?
41
FÍSICA (Capa 1)
LÓGICA (Capa 2)
CIBERIDENTIDADES (Capa 3)
• Nodos: ordenadores, servidores, routers, hubs, switches, móviles,tablets, satélites, antenas, etc.
• Enlaces: cableados (fibra, cable) e inalámbricos (Wi-Fi, radio, 3G,4G, etc.)
• Relacionada con la capa geográfica -> Relación fija o variable.
• Datos, firmware, sistemas operativos, protocolos, aplicaciones y todo tipo de software generado mediante código.
• Dependiente de la capa física. • Permite la comunicación de las ciberidentidades a través de los
nodos y los enlaces.
• Direcciones de correo-e, ID de usuario, cuentas de redes sociales, alias, etc.
• Identidades virtuales de personas/organizaciones reales. • 1 persona/organización -> multiples ciberidentidades.• 1 ciberidentidad -> multiples personas/organizaciones.
OPERACIONES CINÉTICASOPERACIONES DE GUERRA ELECTRÓNICA
CIBEROPERACIONES
OPERACIONES DE INFLUENCIA
OPERACIONES EN EL CIBERESPACIO Y CIBEROPERACIONES
EFECTOS
EFECTOS
42
CONCLUSIONES
< 2008> 2016
2002
EL CAMINO DE LAS OPERACIONES EN EL CIBERESPACIO1
INFOSEC – SEGURIDAD CIS - CIBERSEGURIDAD2• Enfocada a las TIC. • No son un fin en sí mismos.• Medidas de prevención, protección y recuperación.• Es la base para la ciberdefensa.
43
CONCLUSIONES
CIBERDEFENSA3
OPERACIONES EN EL CIBERESPACIO4• Ejecutadas por la Fuerza de Ciberdefensa.• El fin: alcanzar la libertad de acción en el ciberespacio.• Empleo operativo de las capacidades de Defensa, Explotación y
Ataque.• Diseño operaciones nacionales (2015), congruente con diseño OTAN
(2018).
• Enfocada a las TIC y a las amenazas.• Medidas de Seguridad CIS (prevención, protección y recuperación)
+ medidas de detección y reacción.• Se sustenta sobre la Seguridad CIS.• Capacidades de Defensa, Explotación y Ataque.
44
• Las operaciones en el ciberespacio podrán prevenir guerras.• Las operaciones en el ciberespacio reducirán el coste de las guerras.• Las operaciones en el ciberespacio ayudarán a ganar las guerras.
En un futuro muy próximo, en el que las operaciones se desarrollarán en un entorno multidominio, donde todos van a estar interrelacionados, el dominio del ciberespacio será imprescindible para el control del espacio. El control del espacio, para alcanzar el control del aire. Quien controle el aire, controlará la superficie.
REFLEXIONES
EN UN FUTURO INMEDIATO1
UNA VISIÓN ESTRATÉGICA2
EVOLUCIÓN DEL CONCEPTO DE CIBERDEFENSA
Col. Javier López de Turiso y SánchezJefe del Estado Mayor del MCCD
Pozuelo de Alarcón, 24 de mayo de 2018