ConferenciaJuanCarlosBataneroTASSI2013
ConferenciaJuanCarlosBataneroTASSI2013
ConferenciaJuanCarlosBataneroTASSI2013
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
CIBERDEFENSA<br />
IX CICLO DE CONFERENCIAS UPM TASSI<br />
Juan Carlos BATANERO<br />
6 Marzo 2013, Madrid
Í N D I C E<br />
La Amenaza<br />
La Respuesta<br />
Perspectiva a Futuro<br />
Indra
El Ciberespacio<br />
El uso común se refiere a los sistemas de información y<br />
proceso de datos interconectados por redes de<br />
comunicaciones<br />
¿qué<br />
es?<br />
La palabra proviene del griego<br />
cibernético (κσβερνήτης) -<br />
“piloto” o “timón” usado por el<br />
matemático Norbert Wiener<br />
para describir la tecnología de<br />
sistemas de control<br />
RAE<br />
“Ámbito artificial creado por<br />
medios informáticos”<br />
Reconocido por el Pentágono como el quinto dominio<br />
de la guerra junto a tierra, mar, aire, y espacio<br />
La primera vez que se<br />
utilizó el término<br />
CIBERESPACIO fue en el<br />
libro Neuromancer (1984)<br />
de William Gibbson para<br />
denominar a Matrix, el<br />
entorno virtual de sus<br />
novelas.
Ficción o Realidad<br />
4<br />
4
Los Paradigmas están cambiando<br />
COTS<br />
Cloud Computing<br />
STUXNET<br />
5<br />
5
Cronología de ciberataques<br />
Primeros<br />
ataques<br />
telefónicos<br />
1870<br />
19<br />
00<br />
19<br />
70<br />
19<br />
80<br />
Arpanet se<br />
convierte en<br />
Internet<br />
Primer gusano<br />
„Morris‟ 1988,<br />
hacks de la<br />
NASA y<br />
Pentagon<br />
19<br />
90<br />
20<br />
00<br />
20<br />
07<br />
20<br />
11<br />
Primer DDoS<br />
contra un país,<br />
Estonia<br />
Stuxnet, Conficker,<br />
Ghostnet, Night<br />
Dragon, Aurora,<br />
Anonymous, Antisec,<br />
Shady Rat, APT, etc.<br />
6
Aumento en sofisticación e impacto<br />
NIVEL<br />
DE<br />
SOFISTICACIÓN<br />
Primeros<br />
ataques<br />
telefónicos<br />
Crackeo<br />
de Enigma<br />
Ataques<br />
telefónicos<br />
masivos en<br />
EEUU<br />
Pentagon<br />
hackeado por<br />
Tenenbaum<br />
Kevin<br />
Mitnick<br />
Hack de<br />
DoD, NASA,<br />
USAF por<br />
Datastream<br />
Gusano<br />
Morris<br />
Gusanos CodeRed,<br />
Nimda, Kornoukova,<br />
Sadmind, slapper,<br />
Iloveyou,<br />
Mellissa,<br />
Blaster, etc<br />
1900 1930 1970 1980 1990 2000<br />
Conficker<br />
Estonia<br />
DDoS<br />
Stuxnet<br />
APT – Ghostnet,<br />
Night Dragon, Titan<br />
Rain, Shady Rat,<br />
Aurora<br />
Anonymous<br />
Anti-<br />
sec<br />
2010 2012<br />
7
Evolución de los atacantes y su motivación<br />
RECURSOS<br />
Experimen-<br />
tación e<br />
investigación<br />
de tecnologías<br />
nuevas<br />
“Hackers”,<br />
motivados<br />
por curiosidad,<br />
pero la mayoría<br />
benignos<br />
„Script kiddies‟,<br />
intentando<br />
causar daños<br />
y hacerse<br />
famosos pero<br />
sin objetivos<br />
claros<br />
Cibercriminales,<br />
con motivos<br />
comerciales,<br />
phishing, malware,<br />
bots<br />
1970 1980 1990 2000 2005<br />
2010<br />
Profesionales,<br />
equipos de<br />
ciberguerra, mafias,<br />
hacktivistas, con<br />
motivos políticos o<br />
estratégicos<br />
8
La Jungla del Ciberespacio<br />
Wikileaks<br />
Operación<br />
Buckshot Yankee<br />
Hacktivismo ?<br />
“Lulzsecurity”<br />
Anonymous<br />
Venganza ?<br />
?<br />
Entretenimiento<br />
9<br />
9
Advanced Persistent Threat<br />
Operación Aurora<br />
Intrusiones confirmadas en las redes de varias<br />
empresas americanas de software<br />
Código fuente de su software robado.<br />
Operación Night Dragon<br />
Ataques profesionales contra empresas<br />
de energía.<br />
Ghostnet<br />
Varias embajadas, consulados y ministerios de<br />
asuntos exteriores infiltrados por el ejercito<br />
chino durante años.<br />
Ataque contra el ministerio de hacienda<br />
canadiense en marzo 2011.<br />
Titan Rain<br />
Intrusiones en las redes de las FFAA de los<br />
EEUU, la NASA y empresas de defensa desde<br />
2003.<br />
Motivo – espionaje con decenas de miles de<br />
millones de € en juego<br />
11
Nuevo contexto y las ciberamenzas<br />
Guerra asimétrica<br />
Irrupción de ciberactivistas y<br />
ciberterroristas.<br />
Nuevos tipos de amenazas:<br />
• Amenazas Persistentes Avanzadas (APT,<br />
APA).<br />
• Subversive Multi-Vector Threats (SMT).<br />
• Advanced Evasion Techniques (AETs).<br />
La identificación de estas amenazas es<br />
clave para poder protegerse de las<br />
mismas, así como lo es el intento de<br />
predicción de futuras amenazas<br />
todavía desconocidas<br />
12
El Conflicto asimétrico<br />
13<br />
13
Caracterización<br />
Ciberguerra - la guerra asimétrica<br />
Pequeños actores pueden tirar las IICC de un país.<br />
Toda nuestra vida depende de sistemas SCADA que son<br />
altamente vulnerables: Tiendas, fabricas, autopistas, trenes, etc.<br />
Los americanos han expresado su voluntad de que un ciberataque<br />
pueda ser contestado con un ataque „cinético‟ o físico.<br />
Es difícil asignar culpabilidad.<br />
Es difícil decidir un nivel de proporcionalidad para una respuesta.<br />
Actores independientes del estado,<br />
son patrocinados por los estados<br />
Ataques lanzados por un cibercriminal,<br />
patrocinado por el estado.<br />
En el ataque a Georgia se coordinaron<br />
los ataques cibernéticos con los físicos.<br />
Los gobiernos entienden que hay<br />
una amenaza, pero no entienden<br />
bien como combatirla<br />
Ahora los problemas fundamentales<br />
son logísticos y organizativos.<br />
14
Í N D I C E<br />
La Amenaza<br />
La Respuesta<br />
Situación y Perspectiva a Futuro<br />
Indra
¿Qué entendemos por Ciberdefensa?<br />
Como concepto GENERALISTA,<br />
es el conjunto de medidas<br />
técnicas, políticas y organizativas<br />
enfocadas a proteger los sistemas<br />
de información, comunicaciones y<br />
control ante ciberataques de<br />
cualquier índole<br />
Como concepto MILITAR,<br />
se centra en las medidas técnicas,<br />
políticas y organizativas que protegen<br />
los sistemas y redes militares de<br />
ciberataques, e incluye las<br />
capacidades de reacción y ataque<br />
propias de un conflicto armado<br />
(utilizando el ciberespacio)<br />
La protección puede extenderse a<br />
sistemas de información de terceros<br />
(civiles) que puedan resultar críticos para<br />
la nación o la misión.<br />
Desde un punto de vista práctico, la<br />
ciberdefensa se sustenta mayoritariamente<br />
en tecnología de ciberseguridad<br />
ampliamente probada y desplegada en el<br />
sector civil.<br />
No obstante, y debido a la situación<br />
tecnológica actual, surge la necesidad de<br />
desarrollar nuevas tecnologías así como<br />
reorientar las ya existentes.<br />
16
¿Qué entendemos por Ciberdefensa?<br />
La Ciberdefensa persigue diferentes objetivos<br />
complementarios, que, juntos aportan una garantía<br />
suficiente respecto al grado de prevención,<br />
resistencia y recuperación de los sistema<br />
de información ante un ciberataque:<br />
Debe prevenir la ocurrencia de<br />
ciberataques, eliminando la<br />
oportunidad.<br />
Debe proteger a los sistemas de<br />
información en caso de ocurrencia de<br />
un ciberataque, impidiendo que éste<br />
sea satisfactorio.<br />
Debe detectar la ejecución en curso,<br />
incluso en etapas tempranas.<br />
Debe facilitar la reacción rápida que<br />
posibilite la recuperarse a un estado<br />
estable previo al ciberataque, en<br />
caso que éste haya sido satisfactorio,<br />
y de manera que el impacto en el<br />
negocio sea mínimo.<br />
Adicionalmente, debe incorporar<br />
la capacidad de disuadir a un<br />
adversario potencial de la ejecución de<br />
ciberataques (prevención), mediante la<br />
implantación de medidas que<br />
impliquen:<br />
Consecuencias penales.<br />
Acciones militares de respuesta<br />
sobre el ciberespacio.<br />
17
CICLO DE MEJORA CONTINUA<br />
Un esfuerzo de todos<br />
Define Norma y<br />
Procedimientos<br />
Métricas<br />
Supervisa<br />
la Operación<br />
Directrices<br />
Implanta<br />
soluciones<br />
que opera<br />
Supervisa la<br />
Implantación<br />
18
El papel de la Tecnología<br />
En la seguridad la clave de gestionar las amenazas es tener una visibilidad del<br />
entorno global del riesgo<br />
Prácticas Seguridad Tradicionales Mecanismos Protección Actuales Nuevas Tecnologías<br />
Avanzadas<br />
AV/AM<br />
Control de Acceso<br />
Gestión de Vulnerabilidades<br />
Análisis Malware<br />
Análisis Forense<br />
IDS/IPS<br />
Intrusion detection/<br />
prevention system<br />
SIEM<br />
Security Information and<br />
Event Management<br />
DRA/DRM<br />
Dynamic Risk<br />
Assessment/Management<br />
DLP/IRM<br />
Data Leak Prevention<br />
Info. Rights Management<br />
Otros<br />
CiberInteligencia, DataDiode,<br />
Simulación Avanzada<br />
19<br />
19
Protección Tradicional: Defensa en profundidad<br />
Unapproved<br />
communication<br />
channels<br />
© 2010 IT-Harvest<br />
F I R E W A L L S<br />
Known bad<br />
code<br />
behaviors<br />
I N T R U S I O N P R E V E N T I O N<br />
Malicious<br />
websites<br />
Known<br />
malware<br />
YOUR DATA<br />
Known<br />
application<br />
exploits<br />
“La mentalidad de fortaleza no funciona en el Ciberespacio. No podemos protegernos<br />
detras de una Linea Maginot de cortafuegos….. Si permanecemos quietos durante un<br />
minuto nuestro adversario nos adelantará.”<br />
William Lynn, U.S. Deputy Secretary of Defense. January 2010<br />
E M A I L / W E B F I L T E R I N G<br />
A N T I V I R U S<br />
V U L N E R A B I L I T Y A S S E S S M E N T<br />
Overt<br />
unknown<br />
malware<br />
C O N F I G U R A T I O N M A N A G E M E N T<br />
Advanced<br />
Persistent<br />
Threats<br />
Rootkits<br />
Morphing<br />
Malware<br />
Zero-days<br />
Insider Threats<br />
ENDPOINT<br />
20<br />
20
Fases Ciberataque y contramedidas para la Ciberdefensa<br />
1.<br />
Plannign &<br />
Info<br />
Gathering<br />
Training &<br />
awareness<br />
2.<br />
Attack &<br />
Compromise<br />
(Breach)<br />
Traditional<br />
defense &<br />
prevention (vuln<br />
mgmt, end-point<br />
sand perimeter<br />
security)<br />
Prácticas Seguridad Tradicionales<br />
3.<br />
Fases de un ataque APT<br />
Establish<br />
Command &<br />
Control<br />
Network layering<br />
enhanced<br />
monitoring & APT<br />
detection<br />
methods<br />
4.<br />
Authorization<br />
& Credential<br />
Theft<br />
Hardening, policy<br />
enforcement,<br />
training & endpoint<br />
security<br />
Mecanismos Protección Avanzados<br />
5.<br />
Manual<br />
Exploitation &<br />
Info<br />
Gathering<br />
Increased<br />
network & OS<br />
logging &<br />
auditing with<br />
advanced<br />
monitoring<br />
techniques<br />
6.<br />
Data<br />
Ex-filtration<br />
Extended<br />
monitoring at,<br />
application, BD<br />
levels, data<br />
cleaning &<br />
destruction.<br />
Implement DLP<br />
7.<br />
Maintain<br />
Persistence<br />
Advanced<br />
anomaly and<br />
behavioral<br />
monitoring &<br />
advanced APT<br />
detection<br />
methods<br />
Nuevas Tecnologías Avanzadas<br />
© 2011 Solutionary, Inc.<br />
21
Cambio de paradigma<br />
• La seguridad como un proceso continuo totalmente<br />
integrado con el resto de procesos de las<br />
organizaciones.<br />
• Capacidad para analizar, comprender y reaccionar<br />
• Seguridad proactiva en tiempo real.<br />
• Seguridad ligada al contexto.<br />
22
Estados Unidos toma la iniciativa<br />
ESTADOS UNIDOS<br />
Febrero 2003 Mayo 2009<br />
Septiembre 2010 Febrero 2011<br />
24
Europa se prepara<br />
REINO UNIDO<br />
Junio 2009<br />
Estrategia de<br />
Ciberseguridad<br />
?<br />
Primavera 2011<br />
Estrategia de<br />
Ciberdefensa. Sin<br />
publicar.<br />
Octubre 2010<br />
Estrategia Nacional de<br />
Seguridad<br />
Junio 2011<br />
Informe Parlamentario<br />
sobre Ciberseguridad<br />
ALEMANIA FRANCIA<br />
Octubre 2005<br />
Plan Nacional sobre<br />
Protección Infraest.<br />
Información<br />
Diciembre 2005<br />
Plan de<br />
Implementación de<br />
protección de IICC<br />
Febrero 2011<br />
Estrategia de<br />
Ciberseguridad<br />
Junio 2008<br />
Libro blanco sobre<br />
Defensa y Seguridad<br />
Nacional<br />
Febrero 2011<br />
Defensa y Séguridad de los<br />
sistemas de información<br />
25
Iniciativas Supranacionales<br />
LA OTAN<br />
define un nuevo concepto estratégico<br />
Los asesores de política de las naciones de la OTAN<br />
se reunieron en Bruselas, el 25 de Enero 2011 para<br />
intercambiar opiniones sobre como desarrollar la<br />
política de Ciberdefensa de la Alianza. Discutieron<br />
como la OTAN puede proporcionar valor añadido para<br />
la defensa conjunta de la Alianza contra<br />
ciberamenazas y como usar los activos y capacidades<br />
de la OTAN en el campo de la Ciberdefensa<br />
Durante la apertura, el Secretario General de la OTAN<br />
remarcó que los ciberataques están creciendo tanto en<br />
frecuencia como sofisticación. “Decidimos en la Cumbre<br />
de Lisboa el pasado Noviembre 2010 que la OTAN<br />
tendrá que dedicar una mayor atención al ciberespacio.<br />
Simplemente no puede haber seguridad verdadera sin<br />
ciberseguridad.<br />
26<br />
26
Iniciativas Supranacionales<br />
UNIÓN<br />
EUROPEA<br />
En la Unión Europea<br />
ha habido dos<br />
iniciativas: ENISA y<br />
euCERT.<br />
Estrategia Europea de Ciberseguridad<br />
(Publicada en Febrero de este año)<br />
"An Open, Safe and Secure Cyberspace" - represents the<br />
EU's comprehensive vision on how best to prevent and<br />
respond to cyber disruptions and attacks. This is to further<br />
European values of freedom and democracy and ensure the<br />
digital economy can safely grow. Specific actions are aimed at<br />
enhancing cyber resilience of information systems, reducing<br />
cybercrime and strengthening EU international cyber-security<br />
policy and cyber defence.<br />
The strategy articulates the EU's vision of cyber-security in<br />
terms of five priorities:<br />
• Achieving cyber resilience<br />
• Drastically reducing cybercrime<br />
• Developing cyber defence policy and capabilities related to<br />
the Common Security and Defence Policy (CSDP)<br />
• Developing the industrial and technological resources for<br />
cyber-security<br />
• Establishing a coherent international cyberspace policy for the<br />
European Union and promoting core EU values<br />
27
Nuestro País no es una excepción<br />
ESPAÑA<br />
Noviembre 2010<br />
Esquema Nacional<br />
de Seguridad<br />
CM 24 junio, 2011<br />
Estrategia<br />
Española<br />
Seguridad<br />
28 de abril<br />
Ley 8/2011, medidas para<br />
la protección de las<br />
infraestructuras críticas<br />
20 de mayo<br />
RD 704/2011, aprobación<br />
Reglamento de protección<br />
infraestructuras críticas<br />
ESPAÑA<br />
RESPONSABILIDADES DEL<br />
JEMAD EN EL ÁMBITO DE LA<br />
CIBERDEFENSA MILITAR:<br />
Definir las implicaciones en el uso del<br />
ciberespacio derivadas del Concepto<br />
de Estrategia Militar<br />
Estudiar y evaluar la amenaza en el<br />
ciberespacio desde el punto de vista<br />
militar<br />
Promulgar la doctrina conjunta al<br />
respecto<br />
Definir e impulsar el desarrollo de la<br />
capacidad de ciberdefensa militar que<br />
permita garantizar el uso del<br />
ciberespacio en la conducción de las<br />
operaciones militares<br />
Asegurar la eficacia operativa de las<br />
FAS en el ámbito de la ciberdefensa<br />
28
Í N D I C E<br />
La Amenaza<br />
La Respuesta<br />
Perspectiva de Futuro<br />
Indra
“<br />
El Futuro está por construir<br />
In cyberspace, the balance of power is on the side of the attacker.<br />
Attacking a network is much easier than defending a network…”<br />
“…That may change eventfully- there might<br />
someday be the cyberspace equivalent of<br />
trench warfare, where the defender has the<br />
natural advantage - but not anytime soon<br />
Bruce Schneier<br />
Schneier on Security<br />
“<br />
30
El Futuro está por construir<br />
“ La<br />
media de los virus y ataques que hemos visto, no requieren más<br />
de unas decenas de líneas de código. Por el contrario, el software<br />
de seguridad que hace frente a estas amenazas y que se ha<br />
desarrollado en los últimos años representa millones de líneas de<br />
código “<br />
31<br />
31
Nuevo entorno y las ciberamenazas<br />
Movilidad<br />
Virtualización<br />
Externalización y colaboración<br />
Cloud computing<br />
Incremento consumo IT /<br />
Redes Sociales<br />
Industrialización de hackers<br />
Crimeware as a Service (CaaS):<br />
HaaS, FaaS, DDoSaS, …<br />
Todas estas tendencias convergentes<br />
hacen tambalearse las fronteras bien<br />
definidas de los negocios. Las<br />
infraestructuras de seguridad estáticas ya<br />
no son suficientes en un entorno altamente<br />
dinámico, virtualizado y global, donde<br />
pronto hablaremos de decenas de miles<br />
de millones de dispositivos<br />
interconectados y ya hablamos de<br />
decenas de miles de millones de € en<br />
pérdidas derivadas de los ciberdelitos<br />
32
El Smartphone y el malware<br />
Conforme ha crecido el uso de dispositivos<br />
móviles inteligentes (smartphones), los<br />
riesgos asociados a su uso también han<br />
experimentado un crecimiento sin<br />
precedentes, tanto el malware, como la<br />
potencial pérdida de datos<br />
Aumento de riesgo<br />
de pérdida de<br />
información<br />
Aumento de riesgo<br />
de malware para<br />
móviles
Visión de Futuro para un Reto Actual<br />
ORGANIZACIÓN<br />
ACTUALIZACIÓN<br />
NORMATIVA Y<br />
TECNOLÓGICA<br />
Conciencia de<br />
la Situación<br />
CONCIENCIACIÒN<br />
SOSTENIBILIDAD<br />
PRESUPUESTARIA<br />
35<br />
35
Escalada de ciberataques<br />
36
Í N D I C E<br />
La Amenaza<br />
La Respuesta<br />
Perspectiva a Futuro<br />
Indra
Quiénes somos<br />
Multinacional de Consultoría y Tecnología número 1 en<br />
España y de las principales de Europa y Latinoamérica<br />
3.000 M€ ventas<br />
Tecnología propia<br />
I+D+i: 7%-8% ventas<br />
42.000 profesionales 118 países<br />
38
Organización abierta<br />
42.000<br />
profesionales<br />
83% titulados y de<br />
alta cualificación<br />
200<br />
universidades y<br />
centros de<br />
investigación<br />
174 alianzas con<br />
partners<br />
Colaboración con<br />
fundaciones y<br />
asociaciones<br />
Innovación y sostenibilidad<br />
Gasto en I+D+i 2011: 189 M€<br />
Universidades<br />
Instituciones del<br />
conocimiento<br />
Clientes<br />
Profesionales<br />
Sociedad<br />
Proveedores<br />
Partners<br />
Centros de investigación<br />
2ª compañía<br />
europea de su<br />
sector en<br />
inversión en I+D<br />
1ª compañía<br />
mundial de su<br />
sector en los<br />
Dow Jones<br />
Sustainability<br />
Indexes<br />
39
Unidad de Ciberseguridad<br />
En Indra entendemos<br />
CIBERSEGURIDAD<br />
como el conjunto de<br />
tecnologías, procesos,<br />
procedimientos y servicios<br />
encaminados a proteger los<br />
activos (físicos, lógicos, o de<br />
servicios) de una empresa u<br />
organismo, que dependan en<br />
alguna medida de un soporte<br />
TIC<br />
40
El Centro de Operaciones de<br />
Ciberseguridad de Indra (i-CSOC)<br />
se constituye como un centro de<br />
referencia en Ciberseguridad a<br />
nivel nacional e internacional<br />
OBJETIVOS<br />
Entorno físico, y personal con las habilitaciones necesarias<br />
para abordar proyectos clasificados<br />
Servicios de seguridad gestionada: Monitorización de<br />
seguridad, operación de sistemas de seguridad, gestión de<br />
vulnerabilidades y gestión de incidentes<br />
Laboratorio avanzado para homologación de productos, análisis<br />
de malware, análisis forense y desarrollo de soluciones propias<br />
Servicios de ciberinteligencia<br />
Servicios de ciberseguridad en la nube.<br />
Proyectos e iniciativas de I+D+i<br />
Centro de formación y fuente de conocimiento de referencia en<br />
materia de ciberseguridad
Muchas gracias por vuestra atención<br />
42
www.indracompany.com<br />
www.indra.es