Freenet: A Distributed Anonymous Information Storage and Retrieval System
CIBERDEFENSA138.100.156.48/descarga/ConferenciaJuanCarlosBataneroTASSI201… · contra un país,...
Transcript of CIBERDEFENSA138.100.156.48/descarga/ConferenciaJuanCarlosBataneroTASSI201… · contra un país,...
IX CICLO DE CONFERENCIAS UPM TASSI
CIBERDEFENSA
Juan Carlos BATANERO
6 Marzo 2013, Madrid
Í N D I C E
La Amenaza
La Respuesta
Perspectiva a Futuro
Indra
La palabra proviene del griego cibernético (κσβερνήτης) - “piloto” o “timón” usado por el matemático Norbert Wiener para describir la tecnología de sistemas de control
RAE “Ámbito artificial creado por medios informáticos”
¿qué
es?
La primera vez que se
utilizó el término
CIBERESPACIO fue en el
libro Neuromancer (1984)
de William Gibbson para
denominar a Matrix, el
entorno virtual de sus
novelas.
El Ciberespacio
El uso común se refiere a los sistemas de información y
proceso de datos interconectados por redes de
comunicaciones
Reconocido por el Pentágono como el quinto dominio
de la guerra junto a tierra, mar, aire, y espacio
Ficción o Realidad
4
4
Los Paradigmas están cambiando
5
STUXNET Cloud Computing COTS
5
Primeros
ataques
telefónicos
1870
19 00
19 70
19 80
19 90
20 00
20 11
Arpanet se
convierte en
Internet
Primer gusano
„Morris‟ 1988,
hacks de la
NASA y
Pentagon
Primer DDoS
contra un país,
Estonia
Stuxnet, Conficker,
Ghostnet, Night
Dragon, Aurora,
Anonymous, Antisec,
Shady Rat, APT, etc.
20 07
Cronología de ciberataques
6
Primeros ataques
telefónicos Gusano Morris
Ataques
telefónicos
masivos en
EEUU
1900 1980 1990 2000 1970
Kevin Mitnick
2010 2012 1930
Crackeo de Enigma
Hack de DoD, NASA,
USAF por Datastream
Pentagon hackeado por Tenenbaum
Anti- sec
Conficker
Estonia
DDoS Anonymous
Stuxnet
APT – Ghostnet,
Night Dragon, Titan
Rain, Shady Rat,
Aurora
NIVEL
DE
SOFISTICACIÓN
Gusanos CodeRed, Nimda, Kornoukova, Sadmind, slapper, Iloveyou, Mellissa, Blaster, etc
Aumento en sofisticación e impacto
7
1980 1990 2000 1970 2010 2005
RECURSOS
Experimen- tación e investigación de tecnologías nuevas
“Hackers”, motivados por curiosidad, pero la mayoría benignos
„Script kiddies‟, intentando causar daños y hacerse famosos pero sin objetivos claros
Cibercriminales, con motivos comerciales, phishing, malware, bots
Profesionales, equipos de ciberguerra, mafias, hacktivistas, con motivos políticos o estratégicos
Evolución de los atacantes y su motivación
8
La Jungla del Ciberespacio
9
“Lulzsecurity”
Anonymous
Wikileaks
Operación Buckshot Yankee
Venganza ? Hacktivismo ? Entretenimiento ? 9
Operación Aurora
Intrusiones confirmadas en las redes de varias empresas americanas de software
Código fuente de su software robado.
Motivo – espionaje con decenas de miles de millones de € en juego
Titan Rain
Intrusiones en las redes de las FFAA de los EEUU, la NASA y empresas de defensa desde 2003.
Operación Night Dragon
Ataques profesionales contra empresas de energía.
Ghostnet
Varias embajadas, consulados y ministerios de asuntos exteriores infiltrados por el ejercito chino durante años.
Ataque contra el ministerio de hacienda canadiense en marzo 2011.
Advanced Persistent Threat
11
Nuevo contexto y las ciberamenzas
12
Guerra asimétrica
Irrupción de ciberactivistas y ciberterroristas.
Nuevos tipos de amenazas:
• Amenazas Persistentes Avanzadas (APT, APA).
• Subversive Multi-Vector Threats (SMT).
• Advanced Evasion Techniques (AETs).
La identificación de estas amenazas es
clave para poder protegerse de las
mismas, así como lo es el intento de
predicción de futuras amenazas
todavía desconocidas
El Conflicto asimétrico
13
13
Caracterización
14
Ciberguerra - la guerra asimétrica
Pequeños actores pueden tirar las IICC de un país.
Toda nuestra vida depende de sistemas SCADA que son altamente vulnerables: Tiendas, fabricas, autopistas, trenes, etc.
Los americanos han expresado su voluntad de que un ciberataque pueda ser contestado con un ataque „cinético‟ o físico.
Es difícil asignar culpabilidad.
Es difícil decidir un nivel de proporcionalidad para una respuesta.
Actores independientes del estado,
son patrocinados por los estados
Ataques lanzados por un cibercriminal, patrocinado por el estado.
En el ataque a Georgia se coordinaron los ataques cibernéticos con los físicos.
Los gobiernos entienden que hay
una amenaza, pero no entienden
bien como combatirla
Ahora los problemas fundamentales son logísticos y organizativos.
Í N D I C E
La Amenaza
La Respuesta
Situación y Perspectiva a Futuro
Indra
¿Qué entendemos por Ciberdefensa?
16
Como concepto GENERALISTA,
es el conjunto de medidas
técnicas, políticas y organizativas
enfocadas a proteger los sistemas
de información, comunicaciones y
control ante ciberataques de
cualquier índole
Como concepto MILITAR,
se centra en las medidas técnicas,
políticas y organizativas que protegen
los sistemas y redes militares de
ciberataques, e incluye las
capacidades de reacción y ataque
propias de un conflicto armado
(utilizando el ciberespacio)
La protección puede extenderse a
sistemas de información de terceros
(civiles) que puedan resultar críticos para
la nación o la misión.
Desde un punto de vista práctico, la
ciberdefensa se sustenta mayoritariamente
en tecnología de ciberseguridad
ampliamente probada y desplegada en el
sector civil.
No obstante, y debido a la situación
tecnológica actual, surge la necesidad de
desarrollar nuevas tecnologías así como
reorientar las ya existentes.
¿Qué entendemos por Ciberdefensa?
17
La Ciberdefensa persigue diferentes objetivos
complementarios, que, juntos aportan una garantía
suficiente respecto al grado de prevención,
resistencia y recuperación de los sistema
de información ante un ciberataque:
Adicionalmente, debe incorporar
la capacidad de disuadir a un
adversario potencial de la ejecución de
ciberataques (prevención), mediante la
implantación de medidas que
impliquen:
Consecuencias penales.
Acciones militares de respuesta
sobre el ciberespacio.
Debe prevenir la ocurrencia de
ciberataques, eliminando la
oportunidad.
Debe proteger a los sistemas de
información en caso de ocurrencia de
un ciberataque, impidiendo que éste
sea satisfactorio.
Debe detectar la ejecución en curso,
incluso en etapas tempranas.
Debe facilitar la reacción rápida que
posibilite la recuperarse a un estado
estable previo al ciberataque, en
caso que éste haya sido satisfactorio,
y de manera que el impacto en el
negocio sea mínimo.
CICLO DE MEJORA CONTINUA Un esfuerzo de todos
Define Norma y Procedimientos
Directrices
Supervisa la Operación
Supervisa la Implantación
Implanta
soluciones
que opera Métricas
18
El papel de la Tecnología
19
En la seguridad la clave de gestionar las amenazas es tener una visibilidad del
entorno global del riesgo
DRA/DRM Dynamic Risk Assessment/Management
SIEM Security Information and Event Management
IDS/IPS Intrusion detection/ prevention system
AV/AM Control de Acceso Gestión de Vulnerabilidades
Análisis Malware
Análisis Forense
DLP/IRM Data Leak Prevention Info. Rights Management
Otros CiberInteligencia, DataDiode,
Simulación Avanzada
Prácticas Seguridad Tradicionales Nuevas Tecnologías Avanzadas
Mecanismos Protección Actuales
19
Protección Tradicional: Defensa en profundidad
20
“La mentalidad de fortaleza no funciona en el Ciberespacio. No podemos protegernos
detras de una Linea Maginot de cortafuegos….. Si permanecemos quietos durante un
minuto nuestro adversario nos adelantará.”
William Lynn, U.S. Deputy Secretary of Defense. January 2010
Advanced Persistent Threats
Rootkits
Morphing Malware
Zero-days
Insider Threats
CO
NF
IG
UR
AT
IO
N
MA
NA
GE
ME
NT
Overt unknown malware
VU
LN
ER
AB
IL
IT
Y
AS
SE
SS
ME
NT
Known application
exploits
AN
TI
V
IR
US
Known malware
YOUR DATA
EM
AI
L/
WE
B
FI
LT
ER
IN
G
Malicious websites I
NT
RU
SI
ON
PR
EV
EN
TI
ON
Known bad code
behaviors
FI
RE
WA
LL
S
Unapproved communication
channels
ENDPOINT
© 2010 IT-Harvest
20
Fases Ciberataque y contramedidas para la Ciberdefensa
21
1.
Plannign &
Info
Gathering
2.
Attack &
Compromise
(Breach)
3.
Establish
Command &
Control
4.
Authorization
& Credential
Theft
5.
Manual
Exploitation &
Info
Gathering
Training & awareness
Traditional defense & prevention (vuln mgmt, end-point sand perimeter security)
Network layering enhanced monitoring & APT detection methods
Hardening, policy enforcement, training & end-point security
Increased network & OS logging & auditing with advanced monitoring techniques
Extended monitoring at, application, BD levels, data cleaning & destruction. Implement DLP
Advanced anomaly and behavioral monitoring & advanced APT detection methods
Prácticas Seguridad Tradicionales
Fases de un ataque APT
Nuevas Tecnologías Avanzadas
6.
Data
Ex-filtration
7.
Maintain
Persistence
Mecanismos Protección Avanzados
© 2011 Solutionary, Inc.
Cambio de paradigma
• La seguridad como un proceso continuo totalmente
integrado con el resto de procesos de las
organizaciones.
• Capacidad para analizar, comprender y reaccionar
• Seguridad proactiva en tiempo real.
• Seguridad ligada al contexto.
22
Estados Unidos toma la iniciativa
24
ESTADOS UNIDOS
Febrero 2003 Mayo 2009
Septiembre 2010 Febrero 2011
Europa se prepara
25
Junio 2011 Informe Parlamentario sobre Ciberseguridad
REINO UNIDO
Primavera 2011 Estrategia de Ciberdefensa. Sin publicar.
Junio 2009 Estrategia de Ciberseguridad
Octubre 2010 Estrategia Nacional de Seguridad
?
Octubre 2005 Plan Nacional sobre Protección Infraest. Información
Diciembre 2005 Plan de Implementación de protección de IICC
Febrero 2011 Estrategia de Ciberseguridad
ALEMANIA FRANCIA
Junio 2008 Libro blanco sobre Defensa y Seguridad Nacional
Febrero 2011 Defensa y Séguridad de los sistemas de información
Iniciativas Supranacionales
26
define un nuevo concepto estratégico
Los asesores de política de las naciones de la OTAN se reunieron en Bruselas, el 25 de Enero 2011 para intercambiar opiniones sobre como desarrollar la política de Ciberdefensa de la Alianza. Discutieron como la OTAN puede proporcionar valor añadido para la defensa conjunta de la Alianza contra ciberamenazas y como usar los activos y capacidades de la OTAN en el campo de la Ciberdefensa
Durante la apertura, el Secretario General de la OTAN remarcó que los ciberataques están creciendo tanto en frecuencia como sofisticación. “Decidimos en la Cumbre de Lisboa el pasado Noviembre 2010 que la OTAN tendrá que dedicar una mayor atención al ciberespacio. Simplemente no puede haber seguridad verdadera sin ciberseguridad.
LA OTAN
26
Iniciativas Supranacionales
27
UNIÓN EUROPEA
En la Unión Europea
ha habido dos
iniciativas: ENISA y
euCERT.
Estrategia Europea de Ciberseguridad (Publicada en Febrero de este año)
"An Open, Safe and Secure Cyberspace" - represents the
EU's comprehensive vision on how best to prevent and
respond to cyber disruptions and attacks. This is to further
European values of freedom and democracy and ensure the
digital economy can safely grow. Specific actions are aimed at
enhancing cyber resilience of information systems, reducing
cybercrime and strengthening EU international cyber-security
policy and cyber defence.
The strategy articulates the EU's vision of cyber-security in
terms of five priorities:
• Achieving cyber resilience
• Drastically reducing cybercrime
• Developing cyber defence policy and capabilities related to
the Common Security and Defence Policy (CSDP)
• Developing the industrial and technological resources for
cyber-security
• Establishing a coherent international cyberspace policy for the
European Union and promoting core EU values
Nuestro País no es una excepción
28
ESPAÑA
RESPONSABILIDADES DEL
JEMAD EN EL ÁMBITO DE LA
CIBERDEFENSA MILITAR:
Definir las implicaciones en el uso del ciberespacio derivadas del Concepto de Estrategia Militar
Estudiar y evaluar la amenaza en el ciberespacio desde el punto de vista militar
Promulgar la doctrina conjunta al respecto
Asegurar la eficacia operativa de las FAS en el ámbito de la ciberdefensa
Definir e impulsar el desarrollo de la capacidad de ciberdefensa militar que permita garantizar el uso del ciberespacio en la conducción de las operaciones militares
Noviembre 2010 Esquema Nacional de Seguridad
CM 24 junio, 2011 Estrategia Española Seguridad
ESPAÑA
28 de abril Ley 8/2011, medidas para la protección de las infraestructuras críticas
20 de mayo RD 704/2011, aprobación Reglamento de protección infraestructuras críticas
Í N D I C E
La Amenaza
La Respuesta
Perspectiva de Futuro
Indra
30
In cyberspace, the balance of power is on the side of the attacker.
Attacking a network is much easier than defending a network…”
“…That may change eventfully- there might
someday be the cyberspace equivalent of
trench warfare, where the defender has the
natural advantage - but not anytime soon
Bruce Schneier Schneier on Security
“
El Futuro está por construir
“
El Futuro está por construir
31
“ La media de los virus y ataques que hemos visto, no requieren más
de unas decenas de líneas de código. Por el contrario, el software
de seguridad que hace frente a estas amenazas y que se ha
desarrollado en los últimos años representa millones de líneas de
código “
31
Nuevo entorno y las ciberamenazas
Todas estas tendencias convergentes
hacen tambalearse las fronteras bien
definidas de los negocios. Las
infraestructuras de seguridad estáticas ya
no son suficientes en un entorno altamente
dinámico, virtualizado y global, donde
pronto hablaremos de decenas de miles
de millones de dispositivos
interconectados y ya hablamos de
decenas de miles de millones de € en
pérdidas derivadas de los ciberdelitos
Movilidad
Virtualización
Externalización y colaboración
Cloud computing
Incremento consumo IT /
Redes Sociales
Industrialización de hackers
32
Crimeware as a Service (CaaS):
HaaS, FaaS, DDoSaS, …
Conforme ha crecido el uso de dispositivos
móviles inteligentes (smartphones), los
riesgos asociados a su uso también han
experimentado un crecimiento sin
precedentes, tanto el malware, como la
potencial pérdida de datos
Aumento de riesgo
de malware para
móviles
Aumento de riesgo
de pérdida de
información
El Smartphone y el malware
35
ORGANIZACIÓN CONCIENCIACIÒN
ACTUALIZACIÓN NORMATIVA Y TECNOLÓGICA
SOSTENIBILIDAD PRESUPUESTARIA
Conciencia de la Situación
Visión de Futuro para un Reto Actual
35
36
Escalada de ciberataques
Í N D I C E
La Amenaza
La Respuesta
Perspectiva a Futuro
Indra
Multinacional de Consultoría y Tecnología número 1 en
España y de las principales de Europa y Latinoamérica
42.000 profesionales 118 países 3.000 M€ ventas
Tecnología propia
I+D+i: 7%-8% ventas
Quiénes somos
38
Profesionales
Clientes
Sociedad
Universidades
Centros de investigación
Partners
Proveedores
Instituciones del conocimiento
42.000 profesionales
83% titulados y de
alta cualificación
200 universidades y
centros de
investigación
174 alianzas con partners
Colaboración con
fundaciones y
asociaciones
2ª compañía
europea de su
sector en
inversión en I+D
1ª compañía
mundial de su
sector en los
Dow Jones
Sustainability
Indexes
Innovación y sostenibilidad
Gasto en I+D+i 2011: 189 M€
Organización abierta
39
En Indra entendemos
CIBERSEGURIDAD como el conjunto de
tecnologías, procesos,
procedimientos y servicios
encaminados a proteger los
activos (físicos, lógicos, o de
servicios) de una empresa u
organismo, que dependan en
alguna medida de un soporte
TIC
Unidad de Ciberseguridad
40
El Centro de Operaciones de
Ciberseguridad de Indra (i-CSOC)
se constituye como un centro de
referencia en Ciberseguridad a
nivel nacional e internacional
OBJETIVOS
Entorno físico, y personal con las habilitaciones necesarias para abordar proyectos clasificados
Servicios de seguridad gestionada: Monitorización de seguridad, operación de sistemas de seguridad, gestión de vulnerabilidades y gestión de incidentes
Laboratorio avanzado para homologación de productos, análisis de malware, análisis forense y desarrollo de soluciones propias
Servicios de ciberinteligencia
Servicios de ciberseguridad en la nube.
Proyectos e iniciativas de I+D+i
Centro de formación y fuente de conocimiento de referencia en materia de ciberseguridad
Muchas gracias por vuestra atención
42
www.indracompany.com
www.indra.es