Estrategia de seguridad ante Amenazas Persistentes Avanzadas

Manuel Barrios - CEX SeguridadCISSP-CISA-CBP-LA-IA

© Informática El Corte Inglés | www.iecisa.com 2

Índice

1) Sector sanitario como Infraestructura critica

2) Objetivo de los APT

3) Ejemplo de ataque con APT

4) ¿Por qué falla la seguridad?

5) Estrategia de Protección

1 - Sector SanitarioComo Infraestructura Critica

Sector Sanitario como Infraestructura Critica

El Plan Nacional de Protección de Infraestructuras Críticas las define como:

“Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas“.

Esta definición fue establecida por la Directiva europea: 2008/114/CE del 8 de diciembre de 2008

Las Infraestructuras Críticas según el Plan Nacional de Protección de Infraestructuras Críticas se dividen en 12 sectores estratégicos:

Sector Sanitario como Infraestructura Critica

6© Informática El Corte Inglés | www.ieci.es

2 - Objetivo de los APT

Objetivos APT

Entendemos los APT, con independencia de su sofisticación, como atacantes que buscan permanencia en los sistemas comprometidos con el objetivo de sustraer información de manera continua.

Definir objetivo

Uso de Herramientas

Busqueda de informacion sobre

el objetivo

Pruebas de vulnerabilidades

Ataque

Conexión inversa

Expansion de ataque en red

interna

Fuga de informacion

masiva

Borrado de rastro

Persistencia en acceso

Infecciones por malware

Descargas

Adjuntos a emails

Compartición de ficheros

Keygens & cracks

Phissing

Exploits

Infecciones físicas de Malware

Pendrives

CDs/DVDs

Tarjetas de Memoria

BYOD

Explotaciones remotas

Hacking

Exploits remotos

Infecciones por red local

Ataques desde la WIFI

3 - DEMOEjemplo de ataque APT

Ejemplo de ataque APT

Ataque en 5 pasos

Exploit•Ejecución en target

•Mail•Web•Físico

Infección • El ordenador

infectado concede acceso remoto

Replicación•Despliegue en red y elevación de privilegios

Recopilación de datos•Se recopila y preparan los datos a ser exportados

Fuga de información•Se roban los datos y se envían a un equipo externo

•Persiste el acceso remoto

VICTIMA

Ejemplo de ataque APT

Escenario de ataque

Ejemplo de ataque APT

Ejemplo de ataque APT

Infraestructura necesaria

4 - ¿Por qué falla la seguridad?

¿Cuentan todos con una protección efectiva?

¿Por qué falla la seguridad?

¿Por qué falla la seguridad?

Razón principal:

Principalmente la estrategia de protección se basa únicamente en el uso de cortafuegos y antivirus.

Estos dos clásicos mecanismos son necesarios.Sin embargo, son insuficientes para las técnicas y amenazas empleadas por los ciberdelicuentes.

A este punto, se añade no contemplar todos los activos a la hora de diseñar una estrategia de protección corporativa.

En la actualidad en el sector sanitario cada vez son mas los equipos que cuentan con un sistema operativo y están conectados a la red.

• ¿Cuántos con XP? Fin de soporte Abril 2014

16

TI Aspecto Sector Salud

2/3 años con la existencia de gran número de proveedores

Ciclo de vida 5-10 años

Práctica habitual que conduce a inversión en ciberseguridad

Inventario de activosSe percibe como gasto de

protección de activos

Habitual e integrada en la operación

Implementación de sistemas seguridad

No habitual y no integrada

Común con políticas bien definidas y automatizadas

Antivirus y parchesPoco habitual, no se contemplan

para despliegue en todos los activos.

Utilización de las metodologías estándares más actuales

Testeo y auditoríasAnálisis de perímetro pero no de

activos de red internaPoco habitual

En ocasiones carácter obligatorioRespuesta a incidencias y

análisis forensePoco habitual

Ciberseguridad TI vs Ciberseguridad Sanitaria

17© Informática El Corte Inglés | www.ieci.es

5 - Estrategia de protección

Estrategia de protección

1) Establecer políticas de seguridad y bastionado para todos los activos

2) Realizar análisis periódicos de vulnerabilidades

3) Establecer privilegios adecuados a cada equipo / usuario

4) Establecer sondas en equipos y red que alerten de intrusiones y

comportamientos anómalos

• Host IPS

• Network IDS

5) Dotar de sistemas antivirus/antimalware a TODOS los equipos.

6) Implementar soluciones de seguridad que garanticen la integridad en

aquellos equipos que están fuera de soporte o no permitan actualizaciones.

7) Concienciación de usuarios en materia de seguridad

• El usuario siempre es el eslabón mas débil de la cadena.

Manuel Barrios Responsable Línea de Auditoria y HE Centro Experto Seguridad manuel_barrios@ieci.es

© Informática El Corte Inglés

Informática El Corte Inglés, S.A. Travesía Costa Brava, 4. 28034 Madrid.T. 91 387 4700

Más informaciónwww.iecisa.com

MUCHAS GRACIAS