amenazas / vulnerabilidades 2008 ccn-cert. respuesta a … · 2015-11-05 · certificación de...
TRANSCRIPT
Amenazas / Vulnerabilidades 2008
CCN-CERT. Respuesta a Incidentes en AAPP
Madrid, Junio de 2008
2SIN CLASIFICAR
Presentación
FORO: Observatorio DINTEL
SESIÓN: Amenazas y Vulnerabilidades previstas para 2008. CCN-CERT Respuesta a incidentes en las AAPP.
OBJETIVO: Describirlas amenazas y vulnerabilidades previstas para 2008 y la iniciativa de CERT Gubernamental.
PONENTE: - Centro Criptológico Nacional
FECHA: 16 de junio de 2008
3SIN CLASIFICAR
Índice
* I. INTRODUCCIÓN / QUE ES EL CCN* II. NUEVAS TECNOLOGÍAS VULNERABILIDADES /
AMENAZAS- SW Dañino.
- Caballos de Troya
* III. CCN-CERT. - Capacidad de Respuesta a Incidentes
* IV. CONCLUSIONES
4SIN CLASIFICAR
Marco Legal
Ley 11/2002, 6 de Mayo, regula el Centro Nacional de Inteligencia (CNI), que incluye al Centro Criptológico Nacional (CCN).
Real Decreto 421/2004, 12 de Marzo, que regula y define el ámbito y funciones del CCN.
Orden Ministerial PRE/2740/2007 de 19 de septiembre, por la que se establece el Reglamento de Evaluación y Certificación de la Seguridad de las TIC
Comisión para asuntos de Inteligencia, Modificar la actividad del CCN de forma proactiva para mitigar los riesgos.
5SIN CLASIFICAR
Funciones del CCN (RD 421/2004)
• Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de las TIC en la Administración.
• Formar al personal de la Administración especialista en el campo de la seguridad de las TIC.
• Constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de aplicación a productos y sistemas de su ámbito.
• Valorar y acreditar capacidad productos de cifra y Sistemas de las TIC (incluyan medios de cifra) para manejar información de forma segura.
• Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los Sistemas antes mencionados.
• Velar por el cumplimiento normativa relativa a la protección de la información clasificada en su ámbito de competencia (Sistemas de las TIC)
• Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países,
• Para el desarrollo de las funciones mencionadas. Coordinación oportuna con las Comisiones Nacionales a las que la leyes atribuyan responsabilidades en el ámbito de los sistema de las Tecnologías de la Información y de las Comunicaciones.
6SIN CLASIFICAR
Operadoras
y proveedores de servicios
Entornos de trabajo
Sistemas de la
Administración
Ciudadano
y PYME
Seguridad y
Defensa
Infraestructuras críticas
Sectores estratégicos
7SIN CLASIFICAR
Vulnerabilidades. Tendencias 2008
1. SISTEMAS OPERATIVOSWINDOWS /LINUXAplicaciones (Office, Acrobat…)Ataques a clientes
2. MENSAJERIA INSTANTANEAPropagación de ROBOTS
3. VIDEOS /WEB SOCIALESYouTube; MySpace….Envio de Spyware / Adware / Troyanos
4. Infraestructuras críticasProgramas SCADA
5. Teléfonos móviles
6. Usuarios sin formación
8SIN CLASIFICAR
ATAQUES. Tendencia para año 2008
1. Robo de informaciónRobo de equipos
2. Troyanos / RootkitsSistemas windows / unixExploits Dia CERO
3. Robots de InternetBotnet
4. Ataques servicios web
5. Phishing
6. Spam. Correo no deseado
NUEVO SW DAÑINO → más peligroso y menos visible.
9SIN CLASIFICAR
Troyano ADAPTADOS AL OBJETIVO
•Patrón de ataque-Escaso número de objetivos (10-100)-Objetivos seleccionados-Emplean exploits basados en vulnerabilidades recientes-No es detectado por el SW antivirus de los equipos (No dispone de firma)-Empleo de mecanismos de cifra resistentes al análisis-Permanece sin ser detectado por MESES
Vulnerability/Exploit timelineVulnerability/Exploit timeline
0
50
100
150
200
250
2001 2002 2003 2004D
ays
?
Slammer
Blaster
NachiSasser
Nimda
Klez
2005 … 868
2006 … 778
2007… 781
10SIN CLASIFICAR
Importancia del Factor Humano
No todos los ataques con éxito basados en ingeniería social son debidos a la ingenuidad de los empleados, la mayoría de los
casos se debe a la ignorancia de buenas prácticas de seguridad y a la falta de concienciación por
parte de los usuarios del Sistema
Cuanto más sofisticadas son las tecnologías empleadas para proteger la información, los ataques se van a centrar más en
explotar las debilidades de la persona
11SIN CLASIFICAR
CCN-CERT – CERT GUBERNAMENTAL
• OBJETIVO:- Contribuir a la mejora del nivel de seguridad de los sistemas
de información de las AAPP de España.
• MISIÓN:- Ser el centro de alerta y respuesta de incidentes de
seguridad, ayudando a las AAPP a responder de forma más rápida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de información.
12SIN CLASIFICAR
CCN-CERT. Comunidad / Autoridad
• Nuestra Comunidad serán las Administraciones Públicas de España: Administración General, Autonómica y Local
• La Autoridad del CCN-CERT es compartida con los organismos de nuestra comunidad, consensuando con ellos las acciones necesarias para cumplir con la misión CCN-CERT:- Se tiene potestad para realizar todas las acciones necesarias para
resolución del incidente en sistemas clasificados- Colaboración y asesoramiento en resolución de incidentes de
sistemas de la administración general, autonómica y local
13SIN CLASIFICAR
Portal Web - www.ccn-cert.cni.es
14SIN CLASIFICAR
• Funcionalidades principales PORTAL WEB:- Servicios públicos:
Estado de AlertaNoticias / Boletines de vulnerabilidades propiosEstadísticas e indicadores de propios / tercerosNotas de prensa / PublicacionesHerramienta PILAR 4.1 / Manual Usuario CCN-STIC 470
- Servicios restringidos AAPP:Series CCN-STIC / Contenido Cursos STICInformes de Seguridad TIC (Informes Semanales / Estudios Amenazas)Interfaces de comunicación de incidentesHerramientas de seguridad
CCN-WindowsHerramienta PILAR
- Mecanismos de publicación no Web:Publicación de noticias por listas de distribución de correo electrónicoPublicación de estadísticas y otros contenidos por hilos RSS
Servicios de Información
15SIN CLASIFICAR
Servicios de Información (2)
16SIN CLASIFICAR
Informes CCN-CERT
Estudios de Amenazas:• Técnicas de Ataques DDoS• Amenazas y Tendencias de la Seguridad Cibernética• Temáticos por Países (Rusia / Israel / Brasil)• Cambios Tecnológicos• Troyanos Bancarios• i-frames• Russian Bussines Network (RBN)Informes Semanales Seguridad TIC:
• CiberDefensa• Código dañino• Infraestructuras Críticas• Ataques Recientes, etc…
17SIN CLASIFICAR
CCN-CERT …. Series CCN-STIC
18SIN CLASIFICAR
Formación
Formar al personal de la Administración especialista en el campo de la seguridad de los sistemas de las tecnologías de
la información y las comunicaciones.
Cursos Informativos y de Concienciación 2
Cursos Básicos de Seguridad 4
Cursos Específicos de Gestión 3
Cursos de Especialización 9
• Datos 2006 / 2007
- 700 funcionarios de 87 organismos diferentes de la Administración (General, Autonómica y Local)
- 1.300 horas lectivas en 18 cursos (Apróx 11.000 transparencias)
19SIN CLASIFICAR
Gestión de Incidentes
• Incidentes prioritarios para CCN-CERT
20SIN CLASIFICAR
Fraude – Phishing…. 01.2007 / 07-08.2007 / 11.20077 / 01.2008
21SIN CLASIFICAR
SERVICIOS CCN-CERT• SERVICIOS REACTIVOS
- ALERTAS Y AVISOS.
- GESTIÓN DE INCIDENTES. Sistemas clasificados
- GESTIÓN DE VULNERABILIDADES.
- ANÁLISIS CÓDIGO DAÑINO.
• SERVICIOS PROACTIVOS
- ANUNCIOS Y AVISOS. A usuarios autorizados.
- AUDITORÍAS O EVALUACIONES DE SEGURIDADSistemas clasificados
- CONFIGURACIÓN Y MANTENIMIENTO DE ELEMENTOS DE SEGURIDAD
- DESARROLLO DE HERRAMIENTAS DE SEGURIDAD
- DETECCIÓN DE INTRUSIONES
- DISEMINACIÓN DE INFORMACIÓN.
- CERTIFICACIÓN DE CALIDAD
• SERVICIOS DE GESTIÓN- ANÁLISIS DE RIESGOS
- CONSULTORÍA SEGURIDAD INFORMÁTICA
- MENTALIZACIÓN Y FORMACIÓN:. Cursos STICSeminarios / workshopsForos de discusión
- EVALUACIÓN Y CERTIFICACIÓN DE PRODUCTOS:
COMMON CRITERIA / TEMPEST / CIFRA.
200620072008-
RD
22SIN CLASIFICAR
Conclusiones
Amenazas cada vez más complejas y difíciles de detectar.Código dañino
Formación de personal para luchar contra:Ingenuidad / Ignorancia de buenas prácticas / Falta de concienciación.
Hay que tomar conciencia de los riesgos.
Necesidad actuación proactiva y de la verificación de seguridadInspecciones de Seguridad / Sistemas de alerta
Gestión de incidentes … CCN-CERT
SIN CLASIFICAR
Gracias• Correos electrónicos
- [email protected] [email protected] [email protected]
• Páginas Web:- www.ccn.cni.es- www.ccn-cert.cni.es- www.oc.ccn.cni.es