presentación en PDF
Transcripción
presentación en PDF
CIBERDEFENSA IX CICLO DE CONFERENCIAS UPM TASSI Juan Carlos BATANERO 6 Marzo 2013, Madrid ÍNDICE La Amenaza La Respuesta Perspectiva a Futuro Indra El Ciberespacio El uso común se refiere a los sistemas de información y proceso de datos interconectados por redes de comunicaciones ¿qué es? La palabra proviene del griego cibernético (κσβερνήτης) “piloto” o “timón” usado por el matemático Norbert Wiener para describir la tecnología de sistemas de control RAE “Ámbito artificial creado por medios informáticos” Reconocido por el Pentágono como el quinto dominio de la guerra junto a tierra, mar, aire, y espacio La primera vez que se utilizó el término CIBERESPACIO fue en el libro Neuromancer (1984) de William Gibbson para denominar a Matrix, el entorno virtual de sus novelas. Ficción o Realidad 4 4 Los Paradigmas están cambiando COTS Cloud Computing STUXNET 5 5 Cronología de ciberataques Primer gusano „Morris‟ 1988, hacks de la NASA y Pentagon Primeros ataques telefónicos 1870 19 00 19 70 19 80 Arpanet se convierte en Internet 19 90 20 00 Stuxnet, Conficker, Ghostnet, Night Dragon, Aurora, Anonymous, Antisec, Shady Rat, APT, etc. 20 07 20 11 Primer DDoS contra un país, Estonia 6 Aumento en sofisticación e impacto Stuxnet NIVEL DE SOFISTICACIÓN Conficker APT – Ghostnet, Night Dragon, Titan Rain, Shady Rat, Aurora Anti- Pentagon hackeado por Tenenbaum Crackeo de Enigma Primeros ataques telefónicos 1900 1930 Ataques telefónicos masivos en EEUU Hack de DoD, NASA, USAF por Gusanos CodeRed, Datastream Nimda, Kornoukova, Sadmind, slapper, Kevin Iloveyou, Mitnick Estonia Mellissa, DDoS Blaster, etc Gusano Morris 19701980 1990 2000 sec Anonymous 2010 2012 7 Evolución de los atacantes y su motivación Profesionales, equipos de ciberguerra, mafias, hacktivistas, con motivos políticos o estratégicos RECURSOS Experimentación e investigación de tecnologías nuevas 1970 “Hackers”, motivados por curiosidad, pero la mayoría benignos 1980 1990 „Script kiddies‟, intentando causar daños y hacerse famosos pero sin objetivos claros 2000 Cibercriminales, con motivos comerciales, phishing, malware, bots 2005 2010 8 La Jungla del Ciberespacio “Lulzsecurity” Wikileaks Anonymous Operación Buckshot Yankee Hacktivismo ? Venganza ? ? Entretenimiento 9 9 Advanced Persistent Threat Operación Aurora Intrusiones confirmadas en las redes de varias empresas americanas de software Código fuente de su software robado. Operación Night Dragon Ataques profesionales contra empresas de energía. Ghostnet Varias embajadas, consulados y ministerios de asuntos exteriores infiltrados por el ejercito chino durante años. Ataque contra el ministerio de hacienda canadiense en marzo 2011. Titan Rain Intrusiones en las redes de las FFAA de los EEUU, la NASA y empresas de defensa desde 2003. Motivo – espionaje con decenas de miles de millones de € en juego 11 Nuevo contexto y las ciberamenzas Guerra asimétrica Irrupción de ciberactivistas y ciberterroristas. Nuevos tipos de amenazas: • Amenazas Persistentes Avanzadas (APT, APA). • Subversive Multi-Vector Threats (SMT). • Advanced Evasion Techniques (AETs). La identificación de estas amenazas es clave para poder protegerse de las mismas, así como lo es el intento de predicción de futuras amenazas todavía desconocidas 12 El Conflicto asimétrico 13 13 Caracterización Ciberguerra - la guerra asimétrica Pequeños actores pueden tirar las IICC de un país. Toda nuestra vida depende de sistemas SCADA que son altamente vulnerables: Tiendas, fabricas, autopistas, trenes, etc. Los americanos han expresado su voluntad de que un ciberataque pueda ser contestado con un ataque „cinético‟ o físico. Es difícil asignar culpabilidad. Es difícil decidir un nivel de proporcionalidad para una respuesta. Actores independientes del estado, son patrocinados por los estados Ataques lanzados por un cibercriminal, patrocinado por el estado. En el ataque a Georgia se coordinaron Los gobiernos entienden que hay una amenaza, pero no entienden bien como combatirla Ahora los problemas fundamentales son logísticos y organizativos. los ataques cibernéticos con los físicos. 14 ÍNDICE La Amenaza La Respuesta Situación y Perspectiva a Futuro Indra ¿Qué entendemos por Ciberdefensa? Como concepto GENERALISTA, es el conjunto de medidas técnicas, políticas y organizativas enfocadas a proteger los sistemas de información, comunicaciones y control ante ciberataques de cualquier índole Como concepto MILITAR, se centra en las medidas técnicas, políticas y organizativas que protegen los sistemas y redes militares de ciberataques, e incluye las capacidades de reacción y ataque propias de un conflicto armado (utilizando el ciberespacio) La protección puede extenderse a sistemas de información de terceros (civiles) que puedan resultar críticos para la nación o la misión. Desde un punto de vista práctico, la ciberdefensa se sustenta mayoritariamente en tecnología de ciberseguridad ampliamente probada y desplegada en el sector civil. No obstante, y debido a la situación tecnológica actual, surge la necesidad de desarrollar nuevas tecnologías así como reorientar las ya existentes. 16 ¿Qué entendemos por Ciberdefensa? La Ciberdefensa persigue diferentes objetivos complementarios, que, juntos aportan una garantía suficiente respecto al grado de prevención, resistencia y recuperación de los sistema de información ante un ciberataque: Debe prevenir la ocurrencia de ciberataques, eliminando la oportunidad. Debe proteger a los sistemas de información en caso de ocurrencia de un ciberataque, impidiendo que éste sea satisfactorio. Debe detectar la ejecución en curso, incluso en etapas tempranas. Debe facilitar la reacción rápida que posibilite la recuperarse a un estado estable previo al ciberataque, en caso que éste haya sido satisfactorio, y de manera que el impacto en el negocio sea mínimo. Adicionalmente, debe incorporar la capacidad de disuadir a un adversario potencial de la ejecución de ciberataques (prevención), mediante la implantación de medidas que impliquen: Consecuencias penales. Acciones militares de respuesta sobre el ciberespacio. 17 CICLO DE MEJORA CONTINUA Un esfuerzo de todos Directrices Define Norma y Procedimientos Métricas Implanta soluciones que opera Supervisa la Implantación Supervisa la Operación 18 El papel de la Tecnología En la seguridad la clave de gestionar las amenazas es tener una visibilidad del entorno global del riesgo Prácticas Seguridad Tradicionales Mecanismos Protección Actuales AV/AM Control de Acceso Gestión de Vulnerabilidades Nuevas Tecnologías Avanzadas Análisis Malware Análisis Forense DRA/DRM IDS/IPS DLP/IRM SIEM Otros Intrusion detection/ prevention system Security Information and Event Management Dynamic Risk Assessment/Management Data Leak Prevention Info. Rights Management CiberInteligencia, DataDiode, Simulación Avanzada 19 19 Overt unknown malware CONFIGURATION ASSESSMENT Known application exploits VULNERABILITY YOUR DATA ANTI VIRUS FILTERING Malicious websites EMAIL/WEB INTRUSION Unapproved communication channels FIREWALLS Known bad code behaviors PREVENTION Known malware MANAGEMENT Protección Tradicional: Defensa en profundidad Advanced Persistent Threats Rootkits ENDPOINT Morphing Malware Zero-days Insider Threats © 2010 IT-Harvest “La mentalidad de fortaleza no funciona en el Ciberespacio. No podemos protegernos detras de una Linea Maginot de cortafuegos….. Si permanecemos quietos durante un minuto nuestro adversario nos adelantará.” William Lynn, U.S. Deputy Secretary of Defense. January 2010 20 20 Fases Ciberataque y contramedidas para la Ciberdefensa Fases de un ataque APT 1. 2. 3. 4. 5. 6. 7. Plannign & Info Gathering Attack & Compromise (Breach) Establish Command & Control Authorization & Credential Theft Manual Exploitation & Info Gathering Data Ex-filtration Maintain Persistence Training & awareness Traditional defense & prevention (vuln mgmt, end-point sand perimeter security) Prácticas Seguridad Tradicionales Network layering enhanced monitoring & APT detection methods Hardening, policy enforcement, training & endpoint security Increased network & OS logging & auditing with advanced monitoring techniques Mecanismos Protección Avanzados Extended monitoring at, application, BD levels, data cleaning & destruction. Implement DLP Advanced anomaly and behavioral monitoring & advanced APT detection methods Nuevas Tecnologías Avanzadas © 2011 Solutionary, Inc. 21 Cambio de paradigma • La seguridad como un proceso continuo totalmente integrado con el resto de procesos de las organizaciones. • Capacidad para analizar, comprender y reaccionar • Seguridad proactiva en tiempo real. • Seguridad ligada al contexto. 22 Estados Unidos toma la iniciativa ESTADOS UNIDOS Febrero 2003 Mayo 2009 Septiembre 2010 Febrero 2011 24 Europa se prepara REINO UNIDO Junio 2009 Estrategia de Ciberseguridad ? Primavera 2011 Estrategia de Ciberdefensa. Sin publicar. Octubre 2010 Estrategia Nacional de Seguridad Junio 2011 Informe Parlamentario sobre Ciberseguridad ALEMANIA Octubre 2005 Plan Nacional sobre Protección Infraest. Información Febrero 2011 Estrategia de Ciberseguridad FRANCIA Junio 2008 Libro blanco sobre Defensa y Seguridad Nacional Diciembre 2005 Plan de Implementación de protección de IICC Febrero 2011 Defensa y Séguridad de los sistemas de información 25 Iniciativas Supranacionales LA OTAN define un nuevo concepto estratégico Los asesores de política de las naciones de la OTAN se reunieron en Bruselas, el 25 de Enero 2011 para intercambiar opiniones sobre como desarrollar la política de Ciberdefensa de la Alianza. Discutieron como la OTAN puede proporcionar valor añadido para la defensa conjunta de la Alianza contra ciberamenazas y como usar los activos y capacidades de la OTAN en el campo de la Ciberdefensa Durante la apertura, el Secretario General de la OTAN remarcó que los ciberataques están creciendo tanto en frecuencia como sofisticación. “Decidimos en la Cumbre de Lisboa el pasado Noviembre 2010 que la OTAN tendrá que dedicar una mayor atención al ciberespacio. Simplemente no puede haber seguridad verdadera sin ciberseguridad. 26 26 Iniciativas Supranacionales UNIÓN EUROPEA En la Unión Europea ha habido dos iniciativas: ENISA y euCERT. Estrategia Europea de Ciberseguridad (Publicada en Febrero de este año) "An Open, Safe and Secure Cyberspace" - represents the EU's comprehensive vision on how best to prevent and respond to cyber disruptions and attacks. This is to further European values of freedom and democracy and ensure the digital economy can safely grow. Specific actions are aimed at enhancing cyber resilience of information systems, reducing cybercrime and strengthening EU international cyber-security policy and cyber defence. The strategy articulates the EU's vision of cyber-security in terms of five priorities: • Achieving cyber resilience • Drastically reducing cybercrime • Developing cyber defence policy and capabilities related to the Common Security and Defence Policy (CSDP) • Developing the industrial and technological resources for cyber-security • Establishing a coherent international cyberspace policy for the European Union and promoting core EU values 27 Nuestro País no es una excepción ESPAÑA ESPAÑA RESPONSABILIDADES DEL JEMAD EN EL ÁMBITO DE LA CIBERDEFENSA MILITAR: Definir las implicaciones en el uso del ciberespacio derivadas del Concepto de Estrategia Militar Noviembre 2010 Esquema Nacional de Seguridad 28 de abril Ley 8/2011, medidas para la protección de las infraestructuras críticas Estudiar y evaluar la amenaza en el ciberespacio desde el punto de vista militar Promulgar la doctrina conjunta al respecto Definir e impulsar el desarrollo de la capacidad de ciberdefensa militar que permita garantizar el uso del ciberespacio en la conducción de las operaciones militares CM 24 junio, 2011 Estrategia Española Seguridad 20 de mayo RD 704/2011, aprobación Reglamento de protección infraestructuras críticas Asegurar la eficacia operativa de las FAS en el ámbito de la ciberdefensa 28 ÍNDICE La Amenaza La Respuesta Perspectiva de Futuro Indra El Futuro está por construir “ In cyberspace, the balance of power is on the side of the attacker. Attacking a network is much easier than defending a network…” “…That may change eventfully- there might someday be the cyberspace equivalent of trench warfare, where the defender has the natural advantage - but not anytime soon “ Bruce Schneier Schneier on Security 30 El Futuro está por construir “ La media de los virus y ataques que hemos visto, no requieren más de unas decenas de líneas de código. Por el contrario, el software de seguridad que hace frente a estas amenazas y que se ha desarrollado en los últimos años representa millones de líneas de código “ 31 31 Nuevo entorno y las ciberamenazas Movilidad Virtualización Externalización y colaboración Cloud computing Incremento consumo IT / Redes Sociales Industrialización de hackers Crimeware as a Service (CaaS): HaaS, FaaS, DDoSaS, … Todas estas tendencias convergentes hacen tambalearse las fronteras bien definidas de los negocios. Las infraestructuras de seguridad estáticas ya no son suficientes en un entorno altamente dinámico, virtualizado y global, donde pronto hablaremos de decenas de miles de millones de dispositivos interconectados y ya hablamos de decenas de miles de millones de € en pérdidas derivadas de los ciberdelitos 32 El Smartphone y el malware Conforme ha crecido el uso de dispositivos móviles inteligentes (smartphones), los riesgos asociados a su uso también han experimentado un crecimiento sin precedentes, tanto el malware, como la potencial pérdida de datos Aumento de riesgo de pérdida de información Aumento de riesgo de malware para móviles Visión de Futuro para un Reto Actual ORGANIZACIÓN CONCIENCIACIÒN Conciencia de la Situación SOSTENIBILIDAD PRESUPUESTARIA ACTUALIZACIÓN NORMATIVA Y TECNOLÓGICA 35 35 Escalada de ciberataques 36 ÍNDICE La Amenaza La Respuesta Perspectiva a Futuro Indra Quiénes somos Multinacional de Consultoría y Tecnología número 1 en España y de las principales de Europa y Latinoamérica 3.000 M€ ventas 42.000 profesionales 118 países Tecnología propia I+D+i: 7%-8% ventas 38 Organización abierta Innovación y sostenibilidad 42.000 Gasto en I+D+i 2011: 189 M€ profesionales 83% titulados y de alta cualificación europea de su sector en inversión en I+D Instituciones del conocimiento 1ª compañía 200 universidades y centros de investigación 174 alianzas con 2ª compañía Partners Universidades Profesionales Proveedores mundial de su sector en los Dow Jones Sustainability Indexes Clientes partners Sociedad Colaboración con fundaciones y asociaciones Centros de investigación 39 Unidad de Ciberseguridad En Indra entendemos CIBERSEGURIDAD como el conjunto de tecnologías, procesos, procedimientos y servicios encaminados a proteger los activos (físicos, lógicos, o de servicios) de una empresa u organismo, que dependan en alguna medida de un soporte TIC 40 El Centro de Operaciones de Ciberseguridad de Indra (i-CSOC) se constituye como un centro de referencia en Ciberseguridad a nivel nacional e internacional OBJETIVOS Entorno físico, y personal con las habilitaciones necesarias para abordar proyectos clasificados Servicios de seguridad gestionada: Monitorización de seguridad, operación de sistemas de seguridad, gestión de vulnerabilidades y gestión de incidentes Laboratorio avanzado para homologación de productos, análisis de malware, análisis forense y desarrollo de soluciones propias Servicios de ciberinteligencia Servicios de ciberseguridad en la nube. Proyectos e iniciativas de I+D+i Centro de formación y fuente de conocimiento de referencia en materia de ciberseguridad Muchas gracias por vuestra atención 42 www.indracompany.com www.indra.es