FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 2 2
MARCO LEGAL • Ley 11/2002 reguladora del Centro Nacional de Inteligencia,
• Real Decreto 421/2004, 12 de Marzo, que regula y
define el ámbito y funciones del CCN.
Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para la
Administración Electrónica.
Establece al CCN-CERT como CERT Gubernamental/Nacional
MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el
centro de alerta y respuesta nacional que coopere y ayude a
responder de forma rápida y eficiente a las Administraciones
Públicas y a las empresas estratégicas, y afrontar de forma
activa las nuevas ciberamenazas.
COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados y
sobre sistemas de la Administración y de empresas de interés
estratégicos.
HISTORIA
• 2006 Constitución en el seno del CCN
• 2007 Reconocimiento internacional • 2008 Sist. Alerta Temprana SAT SARA
• 2009 EGC (CERT Gubernamentales Europeos) • 2010 ENS y SAT Internet
• 2011 Acuerdos con CCAA
• 2012 CARMEN Y Reglas • 2013 Relación con empresas/ CCAA • 2014 LUCÍA / MARTA • 2015 SAT INTERNET Ayto / Diputaciones
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 3 3
ÍNDICE
1 Evolución de conceptos de ciberseguridad
3 Necesidad de una aproximación eficiente
4 Conclusiones
2 ¿Qué hemos visto en 2014?
0 CCN-CERT
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 4
Año
Concepto Seguridad Amenaza Cambios Tecnológicos
1980-90 Compusec
Netsec
Transec Naturales
Telecomunicaciones
Sistemas Clasificados
1990-2004 Infosec
Info. Assurance Intencionadas
Redes corporativas
Sist. Control industrial
Infraestructuras Criticas
2005-2010 Ciberseguridad
Ciberdefensa
Ciberespionaje
Ciberterrorismo
Telefonía móvil
Redes sociales
Servicios en Cloud
2010-2015 Ciberresiliencia
Seg. Transparente
Defensa activa
Ciberguerra
APT
Hacktivismo
BYOD
Shadow IT
…//…
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 5
Ciberamenazas. Agentes. Tendencia en 2015
2. Ciberdelito / cibercrimen HACKERS y crimen organizado
3. Ciberactivismo ANONYMOUS y otros grupos
1. Ciberespionaje / Robo patrimonio tecnológico, propiedad intelectual China, Rusia, Irán, otros…
Servicios de Inteligencia / Fuerzas Armadas / Otras empresas
5. Ciberterrorismo
Ataque a Infraestructuras críticas -
+
=
4.Uso de INTERNET por terroristas
Objetivo : Comunicaciones , obtención de información, propaganda o financiación
+
+
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 6
Código Dañino. Nivel complejidad
Fuente: Resilient Military Systems and the Advanced Cyber Threat. Enero 2013
Clasificación por capacidades
Nivel 1 Profesionales que emplean desarrollos de código dañino y mecanismos de
infección de terceros (usan exploits conocidos).
Nivel 2 Profesionales de gran experiencia que desarrollan herramientas propias a partir
de vulnerabilidades conocidas.
Nivel 3 Profesionales que se focalizan en el empleo de código dañino desconocido.
Usan Rootkits en modo usuario y kernel. Usan herramientas de minería de datos. Atacan personal clave en las organizaciones para robar datos personales / corporativos para su venta a otros criminales.
Nivel 4 Grupos Criminales / esponsorizados por Estados organizados, con capacidades
técnicas y financiados para descubrir nuevas vulnerabilidades y desarrollar exploits.
Nivel 5 Grupos esponsorizados por Estados que crean vulnerabilidades mediante
programas de influencia en productos y servicios comerciales durante su diseño, desarrollo o comercialización o con la habilidad de atacar la cadena de suministro para explotar redes / sistemas de interés.
Nivel 6 Estados con la capacidad de ejecutar operaciones conjuntas (ciber, de
inteligencia y militares) para conseguir sus objetivos políticos, económicos, militares… 109 euros
SNAKE
REGIN
EQUATION
GROUP
106 euros
OCTUBRE
ROJO
103 euros
GRUPOS
CHINOS
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 7
Ramsonware Botnets
Otro Malware
Carbanak AGENT BTZ
QUATION GROUP SNAKE
REGIN
PELIGROSIDAD DE LAS AMENAZAS
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 8
Botnets Otro Malware
Ramsonware
TorrentLocker (10) @india (3)
CryptoLocker (53)
CryptoWall (41) CTB-Locker (6)
Reveton (3) etc.
198 Incidentes
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 9
AGENT BTZ Carbanak
Más de 900 IP,s en España
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 10
EQUATION GROUP SNAKE
REGIN
Equation Group
Ataque más avanzado (y más antiguo) conocido (2001,
¿1996?).
0-days usados más tarde en Stuxnet.
Varias etapas, modular.
“Validación” de objetivo y Sistema Operativo.
Rotura del airgap.
Técnicas sofisticadas de ocultación (sólo en el registro).
Infección del firmware del HDD.
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 11
EQUATION GROUP SNAKE
REGIN
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 12 12
Informes sobre APT,s en fuentes abiertas
www.github.com//kbandia/APTnotes
https://apt.securelist.com
2003 1 informe 2006 1 informe
2007 2 informes
2008 4 informes
2009 3 informes
2010 9 informes 2011 11 informes
2012 17 informes
2013 39 informes
2014 103 informes
2015 8 informes
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 13
Debilidades de Nuestros Sistemas de Protección
Falta de concienciación y desconocimiento del riesgo
Sistemas con Vulnerabilidades, escasas configuraciones de
seguridad y Seguridad Reactiva
Poco personal de seguridad y escasa vigilancia
Mayor superficie de exposición (Redes sociales, Telefonía móvil y
Servicios en nube)
Afectados NO comparten información. NO comunican incidentes
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 14
CASOS DE EJEMPLO
CrowdStrike Global Threat Intel Report 2014
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 15
Servidor C2 Puerto usado Geolocalización
av.ddns.us 443 China
usa.got-game.org 443 China
yeahyeahyeahs.3322.org 443 China
za.myftp.info 53 China
CASO 1: EMPRESA ESTRATÉGICA (Junio 2013/ Enero / Octubre 2014)
Vector de infección: spear phishing
Malware utilizado: Poison Ivy, malware propio
Canal de exfiltración de información: Amazon C3
Servidor de Mando y Control: servidor web español hackeado
Uso de mimikatz y gsecdump para el robo de credenciales
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 16
CASO 2: ORGANISMO GUBERNAMENTAL (Abril 2013 / Nov 2014 / Ene
2015….)
Vector de ataque: Spear Phishing
Código dañino: malware específico
Canal de exfiltración: HTTP POST / DNS Dinámicos / ¿HTTPS? Canal exfiltración: CORREO ELECTRÓNICO
Uso de cifrado asimétrico : PGP y GPG
Infraestructura: Varios saltos
Server C2: Servidores web comprometidos (al menos 15)
Otras herramientas: mimikatz y gsecdump para robo de credenciales
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 17
TIEMPOS DE RESPUESTA EN UN APT
VERIZON rp_data-breach-investigations 2012
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 18
CONCLUSIONES 1. AUMENTAR LA CAPACIDAD DE VIGILANCIA. Equipo de seguridad.
Consultoría externa
2. Política de seguridad …. Restricción progresiva de permisos de
usuarios. Aproximación práctica a Servicios en CLOUD / BYOD….
3. Aplicar configuraciones de seguridad a los distintos componentes de la
red corporativa y portátiles.
4. Herramientas de gestión centralizada de logs - Monitorización y
Correlación. • Trafico de red / Usuarios remotos / Contraseñas Administración ….
• Minería de datos
5. INTERCAMBIO DE INFORMACIÓN CON CERT,s (empleo IOC,s)
…SE DEBE TRABAJAR COMO SI SE ESTUVIERA COMPROMETIDO
Aceptación del RIESGO por la dirección respecto al control de
la información
FUNDACIÓN CIRCULO / IBM SIN CLASIFICAR
www.ccn-cert.cni.es 02/03/2015 19
Gracias
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es