presentación en PDF

CIBERDEFENSA
IX CICLO DE CONFERENCIAS UPM TASSI
Juan Carlos BATANERO
6 Marzo 2013, Madrid
ÍNDICE
La Amenaza
La Respuesta
Perspectiva a Futuro
Indra
El Ciberespacio
El uso común se refiere a los sistemas de información y
proceso de datos interconectados por redes de
comunicaciones
¿qué
es?
La palabra proviene del griego
cibernético (κσβερνήτης) “piloto” o “timón” usado por el
matemático Norbert Wiener
para describir la tecnología de
sistemas de control
RAE
“Ámbito artificial creado por
medios informáticos”
Reconocido por el Pentágono como el quinto dominio
de la guerra junto a tierra, mar, aire, y espacio
La primera vez que se
utilizó el término
CIBERESPACIO fue en el
libro Neuromancer (1984)
de William Gibbson para
denominar a Matrix, el
entorno virtual de sus
novelas.
Ficción o Realidad
4
4
Los Paradigmas están cambiando
COTS
Cloud Computing
STUXNET
5
5
Cronología de ciberataques
Primer gusano
„Morris‟ 1988,
hacks de la
NASA y
Pentagon
Primeros
ataques
telefónicos
1870
19
00
19
70
19
80
Arpanet se
convierte en
Internet
19
90
20
00
Stuxnet, Conficker,
Ghostnet, Night
Dragon, Aurora,
Anonymous, Antisec,
Shady Rat, APT, etc.
20
07
20
11
Primer DDoS
contra un país,
Estonia
6
Aumento en sofisticación e impacto
Stuxnet
NIVEL
DE
SOFISTICACIÓN
Conficker
APT – Ghostnet,
Night Dragon, Titan
Rain, Shady Rat,
Aurora
Anti-
Pentagon
hackeado por
Tenenbaum
Crackeo
de Enigma
Primeros
ataques
telefónicos
1900 1930
Ataques
telefónicos
masivos en
EEUU
Hack de
DoD, NASA,
USAF por Gusanos CodeRed,
Datastream Nimda, Kornoukova,
Sadmind, slapper,
Kevin
Iloveyou,
Mitnick
Estonia
Mellissa,
DDoS
Blaster, etc
Gusano
Morris
19701980 1990
2000
sec
Anonymous
2010
2012
7
Evolución de los atacantes y su motivación
Profesionales,
equipos de
ciberguerra, mafias,
hacktivistas, con
motivos políticos o
estratégicos
RECURSOS
Experimentación e
investigación
de tecnologías
nuevas
1970
“Hackers”,
motivados
por curiosidad,
pero la mayoría
benignos
1980
1990
„Script kiddies‟,
intentando
causar daños
y hacerse
famosos pero
sin objetivos
claros
2000
Cibercriminales,
con motivos
comerciales,
phishing, malware,
bots
2005
2010
8
La Jungla del Ciberespacio
“Lulzsecurity”
Wikileaks
Anonymous
Operación
Buckshot Yankee
Hacktivismo
?
Venganza
?
?
Entretenimiento
9
9
Advanced Persistent Threat
Operación Aurora
Intrusiones confirmadas en las redes de varias
empresas americanas de software
Código fuente de su software robado.
Operación Night Dragon
Ataques profesionales contra empresas
de energía.
Ghostnet
Varias embajadas, consulados y ministerios de
asuntos exteriores infiltrados por el ejercito
chino durante años.
Ataque contra el ministerio de hacienda
canadiense en marzo 2011.
Titan Rain
Intrusiones en las redes de las FFAA de los
EEUU, la NASA y empresas de defensa desde
2003.
Motivo – espionaje con decenas de miles de
millones de € en juego
11
Nuevo contexto y las ciberamenzas

Guerra asimétrica
 Irrupción de ciberactivistas y
ciberterroristas.
 Nuevos tipos de amenazas:
• Amenazas Persistentes Avanzadas (APT,
APA).
• Subversive Multi-Vector Threats (SMT).
• Advanced Evasion Techniques (AETs).
La identificación de estas amenazas es
clave para poder protegerse de las
mismas, así como lo es el intento de
predicción de futuras amenazas
todavía desconocidas
12
El Conflicto asimétrico
13
13
Caracterización
Ciberguerra - la guerra asimétrica
 Pequeños actores pueden tirar las IICC de un país.
 Toda nuestra vida depende de sistemas SCADA que son
altamente vulnerables: Tiendas, fabricas, autopistas, trenes, etc.
 Los americanos han expresado su voluntad de que un ciberataque
pueda ser contestado con un ataque „cinético‟ o físico.
 Es difícil asignar culpabilidad.
 Es difícil decidir un nivel de proporcionalidad para una respuesta.
Actores independientes del estado,
son patrocinados por los estados
 Ataques lanzados por un cibercriminal,
patrocinado por el estado.
 En el ataque a Georgia se coordinaron
Los gobiernos entienden que hay
una amenaza, pero no entienden
bien como combatirla
 Ahora los problemas fundamentales
son logísticos y organizativos.
los ataques cibernéticos con los físicos.
14
ÍNDICE
La Amenaza
La Respuesta
Situación y Perspectiva a Futuro
Indra
¿Qué entendemos por Ciberdefensa?
Como concepto GENERALISTA,
es el conjunto de medidas
técnicas, políticas y organizativas
enfocadas a proteger los sistemas
de información, comunicaciones y
control ante ciberataques de
cualquier índole
Como concepto MILITAR,
se centra en las medidas técnicas,
políticas y organizativas que protegen
los sistemas y redes militares de
ciberataques, e incluye las
capacidades de reacción y ataque
propias de un conflicto armado
(utilizando el ciberespacio)
 La protección puede extenderse a
sistemas de información de terceros
(civiles) que puedan resultar críticos para
la nación o la misión.
 Desde un punto de vista práctico, la
ciberdefensa se sustenta mayoritariamente
en tecnología de ciberseguridad
ampliamente probada y desplegada en el
sector civil.
 No obstante, y debido a la situación
tecnológica actual, surge la necesidad de
desarrollar nuevas tecnologías así como
reorientar las ya existentes.
16
¿Qué entendemos por Ciberdefensa?
La Ciberdefensa persigue diferentes objetivos
complementarios, que, juntos aportan una garantía
suficiente respecto al grado de prevención,
resistencia y recuperación de los sistema
de información ante un ciberataque:
 Debe prevenir la ocurrencia de
ciberataques, eliminando la
oportunidad.
 Debe proteger a los sistemas de
información en caso de ocurrencia de
un ciberataque, impidiendo que éste
sea satisfactorio.
 Debe detectar la ejecución en curso,
incluso en etapas tempranas.
 Debe facilitar la reacción rápida que
posibilite la recuperarse a un estado
estable previo al ciberataque, en
caso que éste haya sido satisfactorio,
y de manera que el impacto en el
negocio sea mínimo.
Adicionalmente, debe incorporar
la capacidad de disuadir a un
adversario potencial de la ejecución de
ciberataques (prevención), mediante la
implantación de medidas que
impliquen:
 Consecuencias penales.
 Acciones militares de respuesta
sobre el ciberespacio.
17
CICLO DE MEJORA CONTINUA
Un esfuerzo de todos
Directrices
Define Norma y
Procedimientos
Métricas
Implanta
soluciones
que opera
Supervisa la
Implantación
Supervisa
la Operación
18
El papel de la Tecnología
En la seguridad la clave de gestionar las amenazas es tener una visibilidad del
entorno global del riesgo
Prácticas Seguridad Tradicionales Mecanismos Protección Actuales
AV/AM
Control de Acceso
Gestión de Vulnerabilidades
Nuevas Tecnologías
Avanzadas
Análisis Malware
Análisis Forense
DRA/DRM
IDS/IPS
DLP/IRM
SIEM
Otros
Intrusion detection/
prevention system
Security Information and
Event Management
Dynamic Risk
Assessment/Management
Data Leak Prevention
Info. Rights Management
CiberInteligencia, DataDiode,
Simulación Avanzada
19
19
Overt
unknown
malware
CONFIGURATION
ASSESSMENT
Known
application
exploits
VULNERABILITY
YOUR DATA
ANTI VIRUS
FILTERING
Malicious
websites
EMAIL/WEB
INTRUSION
Unapproved
communication
channels
FIREWALLS
Known bad
code
behaviors
PREVENTION
Known
malware
MANAGEMENT
Protección Tradicional: Defensa en profundidad
Advanced
Persistent
Threats
Rootkits
ENDPOINT
Morphing
Malware
Zero-days
Insider Threats
© 2010 IT-Harvest
“La mentalidad de fortaleza no funciona en el Ciberespacio. No podemos protegernos
detras de una Linea Maginot de cortafuegos….. Si permanecemos quietos durante un
minuto nuestro adversario nos adelantará.”
William Lynn, U.S. Deputy Secretary of Defense. January 2010
20
20
Fases Ciberataque y contramedidas para la Ciberdefensa
Fases de un ataque APT
1.
2.
3.
4.
5.
6.
7.
Plannign &
Info
Gathering
Attack &
Compromise
(Breach)
Establish
Command &
Control
Authorization
& Credential
Theft
Manual
Exploitation &
Info
Gathering
Data
Ex-filtration
Maintain
Persistence
Training &
awareness
Traditional
defense &
prevention (vuln
mgmt, end-point
sand perimeter
security)
Prácticas Seguridad Tradicionales
Network layering
enhanced
monitoring & APT
detection
methods
Hardening, policy
enforcement,
training & endpoint security
Increased
network & OS
logging &
auditing with
advanced
monitoring
techniques
Mecanismos Protección Avanzados
Extended
monitoring at,
application, BD
levels, data
cleaning &
destruction.
Implement DLP
Advanced
anomaly and
behavioral
monitoring &
advanced APT
detection
methods
Nuevas Tecnologías Avanzadas
© 2011 Solutionary, Inc.
21
Cambio de paradigma
• La seguridad como un proceso continuo totalmente
integrado con el resto de procesos de las
organizaciones.
• Capacidad para analizar, comprender y reaccionar
• Seguridad proactiva en tiempo real.
• Seguridad ligada al contexto.
22
Estados Unidos toma la iniciativa
ESTADOS UNIDOS
Febrero 2003
Mayo 2009
Septiembre 2010
Febrero 2011
24
Europa se prepara
REINO UNIDO
Junio 2009
Estrategia de
Ciberseguridad
?
Primavera 2011
Estrategia de
Ciberdefensa. Sin
publicar.
Octubre 2010
Estrategia Nacional de
Seguridad
Junio 2011
Informe Parlamentario
sobre Ciberseguridad
ALEMANIA
Octubre 2005
Plan Nacional sobre
Protección Infraest.
Información
Febrero 2011
Estrategia de
Ciberseguridad
FRANCIA
Junio 2008
Libro blanco sobre
Defensa y Seguridad
Nacional
Diciembre 2005
Plan de
Implementación de
protección de IICC
Febrero 2011
Defensa y Séguridad de los
sistemas de información
25
Iniciativas Supranacionales
LA OTAN
define un nuevo concepto estratégico
Los asesores de política de las naciones de la OTAN
se reunieron en Bruselas, el 25 de Enero 2011 para
intercambiar opiniones sobre como desarrollar la
política de Ciberdefensa de la Alianza. Discutieron
como la OTAN puede proporcionar valor añadido para
la defensa conjunta de la Alianza contra
ciberamenazas y como usar los activos y capacidades
de la OTAN en el campo de la Ciberdefensa
Durante la apertura, el Secretario General de la OTAN
remarcó que los ciberataques están creciendo tanto en
frecuencia como sofisticación. “Decidimos en la Cumbre
de Lisboa el pasado Noviembre 2010 que la OTAN
tendrá que dedicar una mayor atención al ciberespacio.
Simplemente no puede haber seguridad verdadera sin
ciberseguridad.
26
26
Iniciativas Supranacionales
UNIÓN
EUROPEA
En la Unión Europea
ha habido dos
iniciativas: ENISA y
euCERT.
Estrategia Europea de Ciberseguridad
(Publicada en Febrero de este año)
"An Open, Safe and Secure Cyberspace" - represents the
EU's comprehensive vision on how best to prevent and
respond to cyber disruptions and attacks. This is to further
European values of freedom and democracy and ensure the
digital economy can safely grow. Specific actions are aimed at
enhancing cyber resilience of information systems, reducing
cybercrime and strengthening EU international cyber-security
policy and cyber defence.
The strategy articulates the EU's vision of cyber-security in
terms of five priorities:
• Achieving cyber resilience
• Drastically reducing cybercrime
• Developing cyber defence policy and capabilities related to
the Common Security and Defence Policy (CSDP)
• Developing the industrial and technological resources for
cyber-security
• Establishing a coherent international cyberspace policy for the
European Union and promoting core EU values
27
Nuestro País no es una excepción
ESPAÑA
ESPAÑA
RESPONSABILIDADES DEL
JEMAD EN EL ÁMBITO DE LA
CIBERDEFENSA MILITAR:
Definir las implicaciones en el uso del
ciberespacio derivadas del Concepto
de Estrategia Militar
Noviembre 2010
Esquema Nacional
de Seguridad
28 de abril
Ley 8/2011, medidas para
la protección de las
infraestructuras críticas
Estudiar y evaluar la amenaza en el
ciberespacio desde el punto de vista
militar
Promulgar la doctrina conjunta al
respecto
Definir e impulsar el desarrollo de la
capacidad de ciberdefensa militar que
permita garantizar el uso del
ciberespacio en la conducción de las
operaciones militares
CM 24 junio, 2011
Estrategia
Española
Seguridad
20 de mayo
RD 704/2011, aprobación
Reglamento de protección
infraestructuras críticas
Asegurar la eficacia operativa de las
FAS en el ámbito de la ciberdefensa
28
ÍNDICE
La Amenaza
La Respuesta
Perspectiva de Futuro
Indra
El Futuro está por construir
“
In cyberspace, the balance of power is on the side of the attacker.
Attacking a network is much easier than defending a network…”
“…That may change eventfully- there might
someday be the cyberspace equivalent of
trench warfare, where the defender has the
natural advantage - but not anytime soon
“
Bruce Schneier
Schneier on Security
30
El Futuro está por construir
“
La media de los virus y ataques que hemos visto, no requieren más
de unas decenas de líneas de código. Por el contrario, el software
de seguridad que hace frente a estas amenazas y que se ha
desarrollado en los últimos años representa millones de líneas de
código “
31
31
Nuevo entorno y las ciberamenazas
Movilidad
Virtualización
Externalización y colaboración
Cloud computing
Incremento consumo IT /
Redes Sociales
Industrialización de hackers
Crimeware as a Service (CaaS):
HaaS, FaaS, DDoSaS, …
Todas estas tendencias convergentes
hacen tambalearse las fronteras bien
definidas de los negocios. Las
infraestructuras de seguridad estáticas ya
no son suficientes en un entorno altamente
dinámico, virtualizado y global, donde
pronto hablaremos de decenas de miles
de millones de dispositivos
interconectados y ya hablamos de
decenas de miles de millones de € en
pérdidas derivadas de los ciberdelitos
32
El Smartphone y el malware
Conforme ha crecido el uso de dispositivos
móviles inteligentes (smartphones), los
riesgos asociados a su uso también han
experimentado un crecimiento sin
precedentes, tanto el malware, como la
potencial pérdida de datos
Aumento de riesgo
de pérdida de
información
Aumento de riesgo
de malware para
móviles
Visión de Futuro para un Reto Actual
ORGANIZACIÓN
CONCIENCIACIÒN
Conciencia de
la Situación
SOSTENIBILIDAD
PRESUPUESTARIA
ACTUALIZACIÓN
NORMATIVA Y
TECNOLÓGICA
35
35
Escalada de ciberataques
36
ÍNDICE
La Amenaza
La Respuesta
Perspectiva a Futuro
Indra
Quiénes somos
Multinacional de Consultoría y Tecnología número 1 en
España y de las principales de Europa y Latinoamérica
3.000 M€ ventas
42.000 profesionales
118 países
Tecnología propia
I+D+i: 7%-8% ventas
38
Organización abierta
Innovación y sostenibilidad
42.000
Gasto en I+D+i 2011: 189 M€
profesionales
 83% titulados y de
alta cualificación
europea de su
sector en
inversión en I+D
Instituciones del
conocimiento
1ª compañía
200
universidades y
centros de
investigación
174 alianzas con
2ª compañía
Partners
Universidades
Profesionales
Proveedores
mundial de su
sector en los
Dow Jones
Sustainability
Indexes
Clientes
partners
Sociedad
Colaboración con
fundaciones y
asociaciones
Centros de investigación
39
Unidad de Ciberseguridad
En Indra entendemos
CIBERSEGURIDAD
como el conjunto de
tecnologías, procesos,
procedimientos y servicios
encaminados a proteger los
activos (físicos, lógicos, o de
servicios) de una empresa u
organismo, que dependan en
alguna medida de un soporte
TIC
40
El Centro de Operaciones de
Ciberseguridad de Indra (i-CSOC)
se constituye como un centro de
referencia en Ciberseguridad a
nivel nacional e internacional
OBJETIVOS
Entorno físico, y personal con las habilitaciones necesarias
para abordar proyectos clasificados
Servicios de seguridad gestionada: Monitorización de
seguridad, operación de sistemas de seguridad, gestión de
vulnerabilidades y gestión de incidentes
Laboratorio avanzado para homologación de productos, análisis
de malware, análisis forense y desarrollo de soluciones propias
Servicios de ciberinteligencia
Servicios de ciberseguridad en la nube.
Proyectos e iniciativas de I+D+i
Centro de formación y fuente de conocimiento de referencia en
materia de ciberseguridad
Muchas gracias por vuestra atención
42
www.indracompany.com
www.indra.es