ciberamenaza - sie.fer.es entrega... · capacidades de productos de cifra para manejar información...
Post on 26-Sep-2018
221 Views
Preview:
TRANSCRIPT
© 2016 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
CIBERAMENAZA
El cambio es exponencial
4000 a.C. ~ 1763
1971 ~ 2014
Consumo medio de
electricidad
per cápita
Consumo medio de
información per cápita
Penetración de internet
Consumo
medio de proteínas
per cápita
Sociedad
agraria
Sociedad industrial
Sociedad de Internet
Sociedad de
los datos
1764 ~1970
Después de 2015
Toda esta TECNOLOGÍA está ahora en un smartphone
1991
El ordenador en tu
MANO es más
POTENTE que el que
cargaban
estos 13 hombres en
1957
Las
REDES
SOCIALES tienen
un
IMPACTO instantáneo
y masivo
1 2 3 4 5
6
7
8
9
10
1,360
832
800
380
200
1,490
316
300
320
500
OCT 2015
La disrupción en servicios es cada vez más rápida
1878 2015 1898 1918 1938 1998 1958 1978
1878
1979
1990
2003
2004
2009
2010
2008
2012
Año de lanzamiento
1 año 3 meses
2 años 4 meses
3 años 4 meses
2 años 2 meses
4 años 6 meses
6 años 5 meses
7 años
16 años
75 años
Tiempo necesario para alcanzar 100
millones de usuarios
Ser disruptivos o no ser
6 años
Nueva York, 2015
Uber ha crecido más rápido en sus
primeros
5 años que Facebook en los suyos El mayor proveedor de
alojamientos,
no posee ninguna
propiedad
El mayor dueño de
contenidos del mundo, no
los genera
La mayor compañía
de taxis del mundo,
no tiene ningún coche
El minorista más
valorado, no tiene
inventarios
Vemos problemas de seguridad a diario
3.635.281 diariamente
151.470 por hora
2.525 por minuto
42 por segundo
Puedes cambiar tu contraseña pero no tus datos personales
Ficheros de datos perdidos o robados desde 2013
Si no estás pagando por el producto,
TU eres el producto
La “huella digital” de nuestra vida, consciente o desapercibida, tendrá un enorme
valor económico en el futuro, y se podrá vender e intercambiar por efectivo, descuentos, productos o servicios que cada vez están más personalizados y
adaptados al cliente.
Huella Digital
9
www.ccn-cert.cni.es
Riesgos asociados a las redes sociales
10
www.ccn-cert.cni.es
Riesgos asociados a las redes sociales
11
www.ccn-cert.cni.es
Riesgos asociados a las redes sociales
12
www.ccn-cert.cni.es
Riesgos asociados a las redes sociales
13
www.ccn-cert.cni.es
Riesgos asociados a las redes sociales
14
www.ccn-cert.cni.es
Riesgos asociados a las redes sociales
ÍNDICE
1. CCN / CCN-CERT • Marco Legal
2. ESTADO DE LA AMENAZA • PARTE OFENSIVA
• PARTE DEFENSIVA
3. Concienciación en Ciberseguridad
El CCN actúa según el siguiente marco legal:
Real Decreto 421/2004, 12 de marzo, que regula
y define el ámbito y funciones del CCN.
Ley 11/2002, 6 de mayo, reguladora del Centro
Nacional de Inteligencia (CNI), que incluye al
Centro Criptológico Nacional (CCN)
Real Decreto 3/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad en el ámbito
de la Administración Electrónica
RD 951/2015, 4 de Noviembre. Actualización
Orden Ministerio Presidencia PRE/2740/2007, de 19 de
septiembre, que regula el Esquema Nacional de
Evaluación y Certificación de la Seguridad de las
Tecnologías de la Información
Sobre el CCN … • Ley 11/2002 reguladora del Centro Nacional de
Inteligencia,
• Real Decreto 421/2004, 12 de Marzo, que regula y
define el ámbito y funciones del CCN.
Real Decreto 3/2010, 8 de Enero, que define el
Esquema Nacional de Seguridad para la
Administración Electrónica, modificado por el RD
951/2015 de 23 de octubre.
Establece al CCN-CERT como CERT Gubernamental/Nacional
HISTORIA
• 2006 Constitución en el seno del CCN
• 2007 Reconocimiento internacional
• 2008 Sistema Alerta Temprana SAT SARA
• 2009 EGC (CERT Gubernamentales Europeos)
• 2010 ENS y SAT Internet
• 2011 Acuerdos con CCAA
• 2012 CARMEN
• 2013 Relación con empresas
• 2014 LUCÍA e INES
• 2015 Ampliación SAT Internet
• 2016 REYES
MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el
centro de alerta y respuesta nacional que coopere y ayude a
responder de forma rápida y eficiente a las Administraciones
Públicas y a las empresas estratégicas, y afrontar de forma activa
las nuevas ciberamenazas.
COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados
y sobre sistemas de la Administración y de empresas
pertenecientes a sectores designados como estratégicos.
Centro Criptológico Nacional
Actividades del CCN
Normativa Art 2. Apdo.2a RD 421/2004: Elaborar y difundir
normas, instrucciones, guías y recomendaciones
para garantizar la seguridad de las TIC
Formación
Art 2. Apdo.2b RD 421/2004: Formar al personal
de la Administración especialista en el campo
de la seguridad de las TIC
Velar
Art 2. Apdo.2f RD 421/2004: Velar por el
cumplimiento normativa relativa a la protección
de la información clasificada en Sistemas TIC
Desarrollo normas,
procedimientos, instrucciones
y guías: Serie CCN-STIC
Concienciación
Cursos STIC
Inspecciones técnicas STIC
Análisis vulnerabilidades
Auditorías de seguridad
…
Actividades del CCN
Desarrollo
Art 2. Apdo.2e RD 421/2004: Coordinar la
promoción, desarrollo, obtención, adquisición,
explotación y uso de tecnologías de seguridad
Evaluación
Art 2. Apdo.2d RD 421/2004: Valorar y acreditar
capacidades de productos de cifra para
manejar información de forma segura
Certificación
Art 2. Apdo.2c RD 421/2004: Constituir el organismo
de certificación del Esquema Nacional de
Evaluación y Certificación del ámbito STIC
APROBACIÓN DE USO
Equipos para proteger
información clasificada
Difusión Limitada
Routers IPSec
APROBADO
De acuerdo con al configuración segura
y el documento:
- CCN-PE-2009-02 Configuración de
seguridad routers IPSec
- CCN-IT-2009-01 Implementación
segura VPN con IPSec
Conocimiento amenazas
Necesidades operativas
Estado tecnología seguridad
Conocimiento industria sector
Seguridad funcional
Criptológica
TEMPEST
Seguridad funcional
Criptológica
TEMPEST
Actividades del CCN
Gestión de Incidentes
Detección de la
Amenaza
Real Decreto 3/2010, 8 de Enero, que define el Esquema
Nacional de Seguridad para la Administración Electrónica.
RD 951/2015, 23 de octubre. Actualización
Diversidad de fuentes de
información
Sistemas de Alerta
Ingeniería Inversa
Análisis forense
Sistemas de gestión de
incidentes
Sistemas de intercambio de
información
Ley 11/2007 y Real Decreto 3/2010, 8 de Enero, que define
el Esquema Nacional de Seguridad para la Administración
Electrónica. RD 951/2015, 23 de octubre. Actualización
AMENAZAS 2015
TENDENCIAS 2016
Año
Concepto
Seguridad Amenaza Cambios Tecnológicos
1980-90
Compusec
Netsec
Transec Naturales
Telecomunicaciones
Sistemas Clasificados
1990-2004 Infosec
Info. Assurance Intencionadas
Redes corporativas
Sist. Control industrial
Infraestructuras Criticas
2005-2010 Ciberseguridad
Ciberdefensa
Ciberespionaje
Ciberterrorismo
Telefonía móvil
Redes sociales
Servicios en Cloud
2010-2015 Ciberresiliencia
Seg. Transparente
Defensa activa
Ciberguerra
APT
Hacktivismo
BYOD
Shadow IT
…//…
Access: Usuarios
Equipos
Power: Controladores de
dominio
Data: Servidores
Aplicaciones
Tomando el control
1. Objetivos en masa / definidos
2. Usuarios con altos privilegios son el principal objetivo
3. Buscan credenciales “de lo que sea”
4. Búsqueda de credenciales cacheadas, cuentas de acceso a dominio, correo electrónico, etc..
5. Si logran acceder a toda la red, la empresa está perdida
Definiciones. Agentes de la amenaza
25
CIBERSEGURIDAD
La habilidad de proteger y defender las redes o sistemas de los ciberataques.
Estos según su motivación pueden ser:
CIBERESPIONAJE
Ciberataques realizados para obtener secretos de estado, propiedad industrial,
propiedad intelectual, información comercial sensible o datos de carácter personal.
CIBERDELITO / CIBERCRIMEN
Actividad que emplea las redes y sistemas como medio, objetivo o lugar del delito.
HACKTIVISMO
Activismo digital antisocial. Sus practicantes persiguen el control de redes o sistemas
(sitios web) para promover su causa o defender su posicionamiento político o social.
CIBERTERRORISMO
Actividades dirigidas a causar pánico o catástrofes realizadas en las redes y sistemas
o utilizando éstas como medio.
CIBERCONFLICTO / CIBERGUERRA
CIBERATAQUE
Uso de redes y comunicaciones para acceder a información y servicios sin
autorización con el ánimo de robar, abusar o destruir.
El 90% de los incidentes aprovechan un defecto del software ya conocido (No son zero-day)
El análisis de 45 aplicaciones de negocio mostró que cerca del 70% de los defectos de seguridad eran
defectos de diseño
Existe una demostrada incapacidad de los fabricantes para desarrollar aplicaciones carentes de vulnerabilidades
Un millón de líneas de código tiene una media de entre 1000 y 5000 defectos software en producción
Vulnerabilidad Tecnología
La ciberamenaza es una de las amenazas más importantes del siglo XXI.
La tecnología forma parte ya de nuestras vidas, la ciberseguridad va irremediablemente unida a ella.
No se es consciente de hasta qué punto el día a día de los ciudadanos depende de
un adecuado nivel de ciberseguridad
Los dos retos más importantes a los que nos enfrentamos en relación con la
ciberseguridad son:
La complejidad y sofisticación de los ciberataques
La falta de formación y concienciación en profesionales y directivos
En el actual escenario mundial, las ADMINISTRACIONES PÚBLICAS y EMPRESAS
son objetivos de primera línea de los ciberataques. Ya no sólo las atacan los
empleados descontentos, los hackers, los ciberdelincuentes o los grupos
criminales, también los Estados.
Ciberamenaza
2015
Incidentes 2015
Atacantes - Motivación
ROBO DE INFORMACIÓN
BENEFICIO ECONÓMICO
PROVOCACIÓN DE DAÑOS
REIVINDICACIÓN SOCIAL O POLÍTICA
SUPERIORIDAD EN EL CIBERESPACIO
Ciberespionaje
Ciberdelito
Ciberterrorismo
Hacktivismo
Ciberdefensa
Ciberataque. Motivación
Ciberamenaza. Agentes
2. Ciberdelito/Cibercrimen
Hackers y Crimen Organizado
3. Ciberactivismo
ANONYMOUS y otros grupos
1. Ciberespionaje/Robo patrimonio tecnológico, propiedad intelectual
China, Rusia, Irán, otros… Servicios de Inteligencia/Fuerzas Armadas/Otras empresas
5. Ciberterrorismo
Ataque a Infraestructuras críticas y otros servicios -
+
+
=
4.Uso de INTERNET por terroristas
Objetivo : Comunicaciones , obtención de información, propaganda, radicalización o financiación
+
+
Usuarios Internos
Ciberamenaza. Agentes
Estados / Industrias / Empresas
Ataques Dirigidos (APT)
Dificultad de atribución. Contra los Sectores Privado y Público.
Ventajas políticas, económicas, sociales…
RUSIA Utilización de herramientas diseñadas específicamente contra el objetivo
Conocimiento técnico muy elevado
Evitar atribución
Esfuerzo HUMINT
AA.PP.
CHINA Programa activo desde 2011. Interés en Propiedad intelectual EMPRESAS
Aeroespacial / Energía / Defensa / Gubernamental / Farmacéutico / Químico / Tecnologías de información / Financiero / Transporte
Uso de herramientas comerciales Diferentes grupos con nivel técnico diverso
OTROS PAÍSES ?
Ciberamenaza. APT
Clasificación por capacidades
Nivel 1 Profesionales que emplean desarrollos de código dañino y mecanismos de infección
de terceros (usan exploits conocidos).
Nivel 2 Profesionales de gran experiencia que desarrollan herramientas propias a partir de vulnerabilidades conocidas.
Nivel 3 Profesionales que se focalizan en el empleo de código dañino desconocido. Usan Rootkits en modo usuario y kernel. Usan herramientas de minería de datos. Atacan personal clave en las organizaciones para robar datos personales / corporativos para su venta a otros criminales.
Nivel 4 Grupos Criminales / esponsorizados por Estados organizados, con capacidades técnicas y financiados para descubrir nuevas vulnerabilidades y desarrollar exploits.
Nivel 5 Grupos esponsorizados por Estados que crean vulnerabilidades mediante programas de influencia en productos y servicios comerciales durante su diseño, desarrollo o comercialización o con la habilidad de atacar la cadena de suministro para explotar redes / sistemas de interés.
Nivel 6 Estados con la capacidad de ejecutar operaciones conjuntas (ciber, de inteligencia y militares) para conseguir sus objetivos políticos, económicos, militares…
Agentes de la Amenaza. Niveles
Ciberataque. Factores de la Amenaza
C&C Atacante
Entorno estándar de red informática
SUBSIDIARIA
DIVISIÓN A
INTERNET
DIVISIÓN B
PROVEEDOR
Intrusión inicial
CLOUD
Servidores
repositorio
atacante
DIVISIÓN C
SUBSIDIARIA
RED INTERCONEXIÓN CORPORATIVA
Establecimiento de puerta trasera (backdoor)
Credenciales, incremento de privilegios
¿Contraseña?
¿Admin?
Keylogger
¿Contraseña?
¿Admin?
Keylogger
¿Contraseña?
¿Admin?
Keylogger
Propagación
Instalación utilidades
Fuga de datos (exfiltration)
Mantener persistencia y… ¿quién sabe?
Ciberataque. Fases
Infraestructura
Siempre Varios saltos para dificultar la geolocalización del ataque,
Se utilizan diferentes infraestructuras para realizar los ciberataques:
Infraestructura propia
Compra de VPS (Virtual Private Server) en empresas que ofrecen estos servicios, utilizando datos ficticios.
Uso de servicios de DNS dinámico.
Infraestructura “prestada”
Comprometimiento de servidores web legítimos.
Comprometimiento de servidores web del objetivo.
Varios saltos para evitarla geolocalización del ataque.
Se puede obtener el código fuente del servidor de mando y control.
Dificulta la detección de la infección.
Ciberamenaza. Infraestructura
Comunicaciones Externas/Internas
Comunicaciones externas
Básico. Protocolo HTTP. Puerto 80 / 443. Comunicación periódica contra el servidor de Mando y Control
Medio. Uso de cifrado simétrico
Avanzado. Uso de cifrado asimétrico (PGP / GPG). Comunicación distribuida contra varios servidores de Mando y Control
Comunicaciones internas
Protocolo SMB
Uso de tuberías nombradas (named pipes)
Conexiones a IPC$
Utilización de credenciales de administración
Ciberamenaza. Comunicaciones
Comunicaciones Externas. Exfiltración.
Diferentes formas de enviar la información robada:
Básico. Dentro de peticiones POST hacia el servidor de Mando y Control
Medio. Subida a un FTP externo hackeado
Avanzado
Uso de redes sociales: Twitter, Facebook, …
Uso de correo electrónico: GMail, Yahoo!, …
Uso de servicios de almacenamiento en la nube:
DropBox, Amazon AWS, Google Drive, …
Uso de Google Docs
Tratamiento de la información robada
B/M Compresión de ficheros con contraseña utilizando el compresor rar.
Almacenamiento información robada en papelera de reciclaje del
equipo
A. Contenedores cifrados NO Visibles.
Ciberamenaza. Comunicaciones
Malware
Dependiendo de los recursos disponibles se utiliza malware
comercial o desarrollado a medida.
¿Por qué malware comercial?
No hay que invertir recursos adicionales.
Se puede modificar para que sea invisible ante los antivirus.
Porque FUNCIONA.
EJEMPLOS:
WebC2
Para comunicarse con su servidor de mando y control introduce
comentarios dentro del código HTML
Poison Ivy
Del tipo RAT (Remote Administrator Tool).
Altamente configurable
Cifrado de las comunicaciones
Ciberamenaza. Herramientas
En el 75 % de los casos se utilizan ataques de Spear Phishing para
conseguir la infección de la red objetivo.
Correo electrónico especialmente diseñado para engañar al receptor y
obtener datos sensibles de éste. Se centra únicamente en objetivos
concretos
Analizar:
• Cabeceras del correo electrónico • Cuerpo
• Anexos / enlaces
Vector de infección. Correo electrónico
Ciberamenaza. Vectores de Infección
Este ataque está relacionado con Drive-by Download Attack: cualquier tipo de
descarga e instalación de software no deseado desde Internet (programas,
ActiveX., Java Applets…) típicamente a través de e-mail, ventanas de pop-up
o una web
Ataque a un grupo concreto de usuarios con un interés común donde se
compromete un sitio “confiable” para todos ellos de manera que, al visitarlo,
queden infectadas o se descarguen aplicaciones maliciosas.
Vector de infección. Watering Hole
Ciberamenaza. Vectores de Infección
Colonización / Persistencia
Acciones realizadas por el atacante dentro de nuestra red:
Robo de credenciales
mimikatz, gsecdump
Fuerza bruta contra controladores de dominio
Instalación de puertas traseras
Instalación de shell remotas en servidores
Infección de equipos con otro tipo de malware
Otras acciones que suelen realizarse por parte de los atacantes:
Si son descubiertos, lanzan un ataque DDoS como distracción.
Mayor resistencia a la Ingeniería Inversa.
Mayor Seguridad de Operaciones.
• Cese de actividad en un período de tiempo
• Maniobras distracción, mayor relación con otros grupos
• Menor actividad en países de habla inglesa
• Empleo de nuevas técnicas… Watering Hole
Ciberamenaza. Colonización/Persistencia
Infraestructuras Sistemas C&C
Nodos
Saltos
IP,s / Dominios
…//…
Capacidades Exploits propios
Vectores infección
Cifrado / RAT
Persistencia
…//…
Atacantes Actores
Motivación
Financiación
Formación
Modus Operandi
…//…
Víctimas
Sectores afectados
Métodos detección
…//…
The Diamond Model of Intrusion Analysis
www.activeresponse.org
- Socio-Política, que vincula al
Adversario con su Víctima
- Tecnológica, que vincula la
Infraestructura con la Capacidad
Ciberataque. Taxonomía
Factores facilitadores de los Ciberataques (INSUFICIENTE PROTECCIÓN)
- Falta de concienciación = Éxito de la Ingeniería Social
• Infecciones rápidas y masivas
- Existencia de vulnerabilidades día cero
- Sistemas de Seguridad Reactivos
• No se quieren falsos positivos
• Actualizaciones lentas o sin ejecutar en algunas tecnologías
- Poco personal dedicado a seguridad
• Escasa vigilancia. Solo el perímetro
• Fácil progresión por las redes internas de las organizaciones
- Mayor superficie de exposición: redes sociales, telefonía móvil y servicios
en la nube
- Organizaciones poco proclives a comunicar incidentes
- La atribución es MUY DIFÍCIL.
Ciberamenaza. Factores
¿Qué hemos aprendido todos este tiempo
sobre las APT?
Ciberamenaza. APT
Ataque Dirigido Ciber Ataque “a medida” contra un objetivo concreto (administración,
empresa, red, sistema).
Threat El atacante tiene la intención y capacidades para ganar el acceso a
información sensible almacenada electrónicamente.
Persistent Una vez infectado, se mantiene el acceso a la red/sistema durante un
largo periodo de tiempo
Muy difícil de eliminar
Advanced Habilidad de evitar la detección
Se adapta al objetivo
Disponibilidad de recursos tecnológicos, económicos, humanos
Advanced Persistent Threat
Ciberamenaza. APT
Ciberamenaza. APT
TIEMPOS DE RESPUESTA EN UN APT
VERIZON rp_data-breach-investigations 2012
Ciberamenaza. Tiempos Actuación
CAMPAÑAS MÁS CONOCIDAS
• Agent BTZ (2003-2015)
• Snake / Uroburos / Turla (2006)
• USBLink/Zawadi (2010/2013/2015)
• Red October (2013)
• WebDav (2014)
• Energetic Bear / Dragonfly (2014)
• Crounching Yeti
• Duke (APT29) (2007-2015)
• TeamSpy (2010)
• Sofacy/APT 28 (2015)
Ciberamenaza. APT
Respecto de… Es de esperar…
El número de atacantes (estados o delincuentes profesionales) con
capacidad para desarrollar ciberataques…
… aumentará.
Debido al número limitado de desarrolladores de software de
calidad…
… el denominado “Cybercrime-As-A-Service” aumentará,
reduciendo las barreras de entrada para los ciberdelincuentes.
La sofisticación de los adversarios… … se incrementará, por lo que la detección y la respuesta serán
más difíciles.
El spear-phishing… … seguirá siendo muy utilizado por los atacantes, así como es
previsible el aumento de las infecciones por Watering Hole.
El Ransomware/Cryptoware… … seguirá siendo una amenaza de las de mayor importancia.
Los adversarios con altas capacidades de destrucción
(ciberterrorismo)…
… aumentarán en número, así como el volumen de incidentes. No
se prevé incremento sustancial en las capacidades técnicas
Las desfiguraciones de páginas web y secuestro de medios de
comunicación social…
… aumentará.
Ciberamenaza. Tendencias 2016
¿Me puede pasar a mí?
IMPACTO EN ORGANIZACIONES
Debilidades de Nuestros Sistemas de Protección
Falta de concienciación y desconocimiento del riesgo
Sistemas con Vulnerabilidades, escasas configuraciones de
seguridad y Seguridad Reactiva. (OBJETIVOS BLANDOS)
Poco personal de seguridad y escasa vigilancia
Ausencia herramientas faciliten investigación
Mayor superficie de exposición (Redes sociales, Telefonía móvil
(BYOD) y Servicios en nube)
Afectados NO comparten información. NO comunican incidentes
Informe ransomware
2015-2016
Ciberamenaza. Tendencias 2016
Familia y versión de ransomware:
https://id-ransomware.malwarehunterteam.com/
¿Qué es el ransomware?
57
Ransom = Rescate
Ware = Software
Historia del ransomware I
58
1989 - AIDS ransomware
Dr. Joseph Popp diseña aplicación sobre el virus del SIDA
Aplicación de pago, pide renovación licencia
Cuando el equipo es arrancado 90 veces Cifrado simétrico
Historia del ransomware II
59
1996 – Primera PoC de ransomware usando RSA
2006 – Reaparición usando RSA y claves de 660 bits
2011 – Virus de la Policía
2013 – Aparición de CryptoLocker
Tipos Ransomware
60
Locker (Virus Policía)
CriptoVirus
Evolución histórica
61
Víctimas
62
Home users
Empresas
Instituciones públicas
Tendencias actuales
63
Windows
Teslacrypt
Locky
Torrentlocker
[…]
OSX
KeRanger
Linux
Linux.Encoder
Nuevas tendencias
64
Web Servers
Móviles
SmartWatch
TV’s
[IoT]
Ciberamenaza. Tendencias 2016
Malware diseñado para robar datos bancarios.
Las víctimas reciben un correo electrónico que simula ser una factura o el envío de un
paquete con un albarán adjunto.
Los equipos se infectan al descargar el archivo adjunto de Microsoft Word que
contiene macros.
Este malware cifra los archivos del ordenador y exige un pago a quien quiera recuperar el control del equipo infectado.
Locky
66
Ransomware que se dirige a 185 extensiones de archivos relacionados
con 40 juegos diferentes, cifrando dichos archivos.
Las últimas versiones también infectan equipos sin juegos instalados, buscando extensiones típicas de archivos Word o
pdf.
Este malware aprovecha una vulnerabilidad de Adobe Reader para
infectar los equipos.
Teslacrypt
67
Petya
Tipo de ransomware que está empezando
a detectarse durante este mes.
Cifra la MFT y modifica el MBR.
¡Ya existe descifrador!
Nuevas tendencias - Abril 2016
68
Campaña de Correos
Se recibe un email indicando que se intentó
entregar un paquete sin éxito. Se adjunta una url
donde acceder para ver los datos del envío, esta url
lleva una redirección para la descarga del
ransomware.
Esta campaña utiliza una variante de torrentlocker
conocida como crypt0l0cker, se han detectado 7
oleadas hasta la fecha, reportándose 151 incidentes
en lo que va de 2016.
Nuevas tendencias - Abril 2016
69
Mantener copias de seguridad periódicas de los datos importantes
Mantener el sistema actualizado con los últimos parches de seguridad
Mantener un antivirus actualizado con las últimas firmas de código dañino, así como una correcta configuración de los firewalls.
Disponer de sistemas antispam a nivel de correo electrónico
Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware
Bloquear el tráfico relacionado con dominios y servidores C&C mediante un IDS/IPS
Establecer una defensa en profundidad empleando herramientas como EMET
No utilizar cuentas con privilegios de administrador.
Medidas preventivas
70
Deshabilitar JS en Acrobat Reader
71
Deshabilitar Flash y PDF en Chrome
72
Chrome://plugins
Desinstalar QuickTime
73
• Sin soporte de Apple
• 2 vulnerabilidades críticas descubiertas 14/04/2016
Desconectar las unidades de red.
Comprobar si el proceso dañino aún sigue ejecutándose.
Finalizar la ejecución del proceso dañino.
Arrancar el equipo en Modo Seguro.
Realizar una copia de seguridad del equipo.
Comunicar el incidente de seguridad al equipo/persona competente.
Medidas reactivas
74
Estadísticas 2015
75
Cryptolocker 21%
Torrentlocker 20%
Teslacrypt 17%
Cryptowall 25%
Otros 17%
Tipo Nº incidentes
Cryptolocker 93
Torrentlocker 89
Teslacrypt 73
Cryptowall 109
Otros 73
Estadísticas 2016
76
Tipo Nº incidentes
Locky 231
Teslacrypt 132
Torrentlocker* 151
Otros 37
Locky 42%
Teslacrypt 24%
Torrentlocker 27%
Otros 7%
* Incluye Crypt0l0cker
¿Solución general?
77
Ciberamenaza. Tendencias 2016
El día de mañana…
o Windows, Linux, OS X, Android, iOS... uno no sabe ya donde
esconderse o qué medidas tomar.
o Puedes desactivar Java, Flash e incluso reducir el uso de
Javascript, usar un navegador seguro y actualizado e incluso no
andar por ahí con una cuenta privilegiada o analizar los adjuntos
del correo.
o Ya no te infectas navegando o te hacen llegar un archivo con
"las nóminas de todo el personal.xls.exe".
o Se aprovechan de nuestra confianza en qué aquello que
estamos descargando es "está limpio" porque viene de un sitio
conocido o controlado.
o Ni eso… al final, el malware encontrará un resquicio por donde
pasar.
Prevención
La Prevención abarca todas las actividades de:
• Concienciación
• Formación
• Elaboración de políticas, procedimientos y requisitos de seguridad
• Desarrollo, evaluación y certificación de la seguridad de productos y
sistemas
• Implementación de medidas técnicas, configuraciones y arquitecturas
de seguridad
• Valoración, inspección, acreditación y auditoría de la seguridad
Prevención
Usuarios Portal CCN-CERT
Formación - Cursos STIC
67%
14%
12%
2%
5%
Usuarios registrados por origen
general
autonómica
local
universidades
empresas
Prevención
Detección
La Detección abarca todas las actividades de:
• Despliegue de detectores y sistemas de alerta
• Recolección de logs, monitorización de tráfico y vigilancia de la red
• Análisis de malware, ingeniería inversa y análisis forense
• Caracterización técnica de la amenaza y elaboración de inteligencia
técnica sobre la misma
Detección
RED SARA [SAT- SARA]
• Servicio para la Intranet Administrativa
• Coordinado con MINHAP-SEAP
• 49/54 Áreas de Conexión
SALIDAS DE INTERNET [SAT INET]
• Servicio por suscripción
• Basado en despliegue de sondas.
• 96 Organismos / 115 sondas
Sistemas de Alerta Temprana (SAT)
Detección
Sistema Alerta Temprana
AGE
57% Ad.
Autonómica
13%
Empresas
12%
Entidades
Locales
11%
Universidades
7%
Detección
Respuesta
La Respuesta abarca:
Por una parte, todas las actividades para:
• Neutralizar técnicamente la amenaza
• Limpiar y desinfectar los sistemas
• Mitigar el impacto
• Elaborar inteligencia sobre la amenaza, su impacto y sobre el agente
de la amenaza
Por otra parte, también puede suponer llevar a cabo acciones de
respuesta de carácter
• Político / Diplomático
• Contrainteligencia/operaciones de información
• Militar/Information Warfare
• Legal, judicial y/o policial.
Respuesta
HERRAMIENTAS
DETECCIÓN ANÁLISIS AUDITORÍA INTERCAMBIO
Ciberseguridad. Herramientas
RETOS DE LA CIBERSEGURIDAD
Ser menos vulnerable
Equilibrio entre Privacidad y Seguridad
Desplegar y Coordinar Sistemas de Alerta
Colaboración Pública-Privada
Concienciación y Formación
Capacitación Técnica e Inteligencia
Capacitación Legal
Estímulo de la Economía vs Ciberseguridad
Ciberseguridad. Retos
1. Aumentar la capacidad de Vigilancia.
2. Herramientas de Gestión Centralizada.
3. Política de seguridad.
4. Aplicar configuraciones de seguridad.
5. Empleo de productos confiables y certificados.
6. Concienciación de usuarios.
7. Compromiso de dirección (Aceptación Riesgo)
8. Legislación y Buenas Prácticas.
9. Intercambio de Información.
10.Trabajar como si se estuviera comprometido.
Ciberseguridad. Decálogo
¿Qué puedo hacer yo?
En el 95% de los casos se utilizan ataques de spear phishing para
conseguir la infección de la red objetivo.
¿En qué consiste el spear phishing?
Correo electrónico especialmente diseñado para engañar al receptor y
obtener datos sensibles de éste.
¿En qué se diferencia del phishing?
El phishing está pensado para engañar a un elevado número de víctimas,
mientras que el spear phishing se centra únicamente en
objetivos concretos.
Vector de entrada - Ingeniería Social
¿Cómo cazar un bicho? Cuidado con los adjuntos
Ejecutable
¿Realmente alguien sigue ejecutando ficheros .exe desde el correo hoy
en día? Solución: RTLO, salvapantallas (.scr)
Word, Excel, PowerPoint
Se debe evitar la apertura de estos ficheros si no estamos seguros
completamente del remitente.
Macros!!
Se debe evitar la apertura de estos ficheros si no estamos seguros
completamente del remitente.
¡¡Uso de herramientas corporativas!!
SIN CLASIFICAR
Vector de entrada - Ingeniería social
Telefonía móvil. De diversificación a oligopolio en sistemas operativos
1T09 1T10 1T11 1T12 1T13 1T14 4T14
Other
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Cuota de ventas I Unidades
+ 96% 2014
+ Un riesgo potencial adicional
Posición dominante en
• Preferencias del consumidor
• Plataformas de servicios
• Servicios y aplicaciones
• Dispositivos
Teléfonos móviles. Código dañino
- Código dañino
Llamadas entrantes y salientes
Mensajes SMS,
Ficheros descargados
Las coordenadas GPS
Mensajeria (Whatsup…)
Lista de contactos
CCN-STIC 450/53/54/55/57
CCN-STIC 827
Cómo de seguro es tu PIN. ¿Dónde lo almacenas?
Ignorancia de buenas prácticas de
seguridad y a la falta de concienciación
por parte de los usuarios del Sistema
80% Comienzan desde una
esquina
45% Comienzan desde esquina
superior izda.
De media usan sólo 5 puntos =
7.152 combs.
MÁS SIMPLE QUE UN PIN DE
4 DÍGITOS
94
¿A qué acceden?
1. Revisa los permisos de las aplicaciones que instalas
2. Restringe al máximo los privilegios de las apps
3. El mejor antivirus es el sentido común
4. La política de seguridad debe ser equivalente a la
aplicada a los portátiles corporativos
Teléfonos móviles. Seguridad en las aplicaciones
95
Soportes de Información
Número de tarjeta de crédito
Copias en legibles de los documentos cifrados
Los registros temporales con datos de clientes
Claves de acceso a sitios seguros
En los discos duros de los ordenadores
hay enormes cantidades de datos ocultos
para los usuarios, pero fácilmente
accesibles. Entre estos datos se
encuentran archivos que ingenuamente
creemos que hemos borrado, claves de
acceso, versiones descifradas de archivos
confidenciales y todo tipo de rastros sobre
la actividad del equipo.
¡Cuidado con las copias sin cifrar!
Usar unidades de red
CONCLUSIONES
• Incremento constante del número, sofisticación y complejidad de los
ciberataques
• El ciberespionaje sobre las administraciones públicas y las empresas
estratégicas es la amenaza más importante para los intereses nacionales y
la seguridad nacional
• La dificultad de atribución es el factor que caracteriza esta amenaza en
relación con otras.
• La amenaza procede tanto de países con intereses encontrados como de
países amigos.
• Es preciso reforzar la capacidad de prevención y protección en todas las
instancias del Estado (ciudadanos, empresas y administraciones públicas)
• Es preciso reforzar las capacidades de INTELIGENCIA para la identificación
de atacantes, determinación de sus objetivos y difusión de Inteligencia al
respecto.
Ciberamenaza. Conclusiones
Gracias
E-Mails
ccn-cert@cni.es
info@ccn-cert.cni.es
ccn@cni.es
sat-inet@ccn-cert.cni.es
sat-sara@ccn-cert.cni.es
incidentes@ccn-cert.cni.es
organismo.certificacion@cni.es
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es
top related