Amenazas / Vulnerabilidades 2008

CCN-CERT. Respuesta a Incidentes en AAPP

Madrid, Junio de 2008

2SIN CLASIFICAR

Presentación

FORO: Observatorio DINTEL

SESIÓN: Amenazas y Vulnerabilidades previstas para 2008. CCN-CERT Respuesta a incidentes en las AAPP.

OBJETIVO: Describirlas amenazas y vulnerabilidades previstas para 2008 y la iniciativa de CERT Gubernamental.

PONENTE: - Centro Criptológico Nacional

FECHA: 16 de junio de 2008

3SIN CLASIFICAR

Índice

* I. INTRODUCCIÓN / QUE ES EL CCN* II. NUEVAS TECNOLOGÍAS VULNERABILIDADES /

AMENAZAS- SW Dañino.

- Caballos de Troya

* III. CCN-CERT. - Capacidad de Respuesta a Incidentes

* IV. CONCLUSIONES

4SIN CLASIFICAR

Marco Legal

Ley 11/2002, 6 de Mayo, regula el Centro Nacional de Inteligencia (CNI), que incluye al Centro Criptológico Nacional (CCN).

Real Decreto 421/2004, 12 de Marzo, que regula y define el ámbito y funciones del CCN.

Orden Ministerial PRE/2740/2007 de 19 de septiembre, por la que se establece el Reglamento de Evaluación y Certificación de la Seguridad de las TIC

Comisión para asuntos de Inteligencia, Modificar la actividad del CCN de forma proactiva para mitigar los riesgos.

5SIN CLASIFICAR

Funciones del CCN (RD 421/2004)

• Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de las TIC en la Administración.

• Formar al personal de la Administración especialista en el campo de la seguridad de las TIC.

• Constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de aplicación a productos y sistemas de su ámbito.

• Valorar y acreditar capacidad productos de cifra y Sistemas de las TIC (incluyan medios de cifra) para manejar información de forma segura.

• Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los Sistemas antes mencionados.

• Velar por el cumplimiento normativa relativa a la protección de la información clasificada en su ámbito de competencia (Sistemas de las TIC)

• Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países,

• Para el desarrollo de las funciones mencionadas. Coordinación oportuna con las Comisiones Nacionales a las que la leyes atribuyan responsabilidades en el ámbito de los sistema de las Tecnologías de la Información y de las Comunicaciones.

6SIN CLASIFICAR

Operadoras

y proveedores de servicios

Entornos de trabajo

Sistemas de la

Administración

Ciudadano

y PYME

Seguridad y

Defensa

Infraestructuras críticas

Sectores estratégicos

7SIN CLASIFICAR

Vulnerabilidades. Tendencias 2008

1. SISTEMAS OPERATIVOSWINDOWS /LINUXAplicaciones (Office, Acrobat…)Ataques a clientes

2. MENSAJERIA INSTANTANEAPropagación de ROBOTS

3. VIDEOS /WEB SOCIALESYouTube; MySpace….Envio de Spyware / Adware / Troyanos

4. Infraestructuras críticasProgramas SCADA

5. Teléfonos móviles

6. Usuarios sin formación

8SIN CLASIFICAR

ATAQUES. Tendencia para año 2008

1. Robo de informaciónRobo de equipos

2. Troyanos / RootkitsSistemas windows / unixExploits Dia CERO

3. Robots de InternetBotnet

4. Ataques servicios web

5. Phishing

6. Spam. Correo no deseado

NUEVO SW DAÑINO → más peligroso y menos visible.

9SIN CLASIFICAR

Troyano ADAPTADOS AL OBJETIVO

•Patrón de ataque-Escaso número de objetivos (10-100)-Objetivos seleccionados-Emplean exploits basados en vulnerabilidades recientes-No es detectado por el SW antivirus de los equipos (No dispone de firma)-Empleo de mecanismos de cifra resistentes al análisis-Permanece sin ser detectado por MESES

Vulnerability/Exploit timelineVulnerability/Exploit timeline

0

50

100

150

200

250

2001 2002 2003 2004D

ays

?

Slammer

Blaster

NachiSasser

Nimda

Klez

2005 … 868

2006 … 778

2007… 781

10SIN CLASIFICAR

Importancia del Factor Humano

No todos los ataques con éxito basados en ingeniería social son debidos a la ingenuidad de los empleados, la mayoría de los

casos se debe a la ignorancia de buenas prácticas de seguridad y a la falta de concienciación por

parte de los usuarios del Sistema

Cuanto más sofisticadas son las tecnologías empleadas para proteger la información, los ataques se van a centrar más en

explotar las debilidades de la persona

11SIN CLASIFICAR

CCN-CERT – CERT GUBERNAMENTAL

• OBJETIVO:- Contribuir a la mejora del nivel de seguridad de los sistemas

de información de las AAPP de España.

• MISIÓN:- Ser el centro de alerta y respuesta de incidentes de

seguridad, ayudando a las AAPP a responder de forma más rápida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de información.

12SIN CLASIFICAR

CCN-CERT. Comunidad / Autoridad

• Nuestra Comunidad serán las Administraciones Públicas de España: Administración General, Autonómica y Local

• La Autoridad del CCN-CERT es compartida con los organismos de nuestra comunidad, consensuando con ellos las acciones necesarias para cumplir con la misión CCN-CERT:- Se tiene potestad para realizar todas las acciones necesarias para

resolución del incidente en sistemas clasificados- Colaboración y asesoramiento en resolución de incidentes de

sistemas de la administración general, autonómica y local

13SIN CLASIFICAR

Portal Web - www.ccn-cert.cni.es

14SIN CLASIFICAR

• Funcionalidades principales PORTAL WEB:- Servicios públicos:

Estado de AlertaNoticias / Boletines de vulnerabilidades propiosEstadísticas e indicadores de propios / tercerosNotas de prensa / PublicacionesHerramienta PILAR 4.1 / Manual Usuario CCN-STIC 470

- Servicios restringidos AAPP:Series CCN-STIC / Contenido Cursos STICInformes de Seguridad TIC (Informes Semanales / Estudios Amenazas)Interfaces de comunicación de incidentesHerramientas de seguridad

CCN-WindowsHerramienta PILAR

- Mecanismos de publicación no Web:Publicación de noticias por listas de distribución de correo electrónicoPublicación de estadísticas y otros contenidos por hilos RSS

Servicios de Información

15SIN CLASIFICAR

Servicios de Información (2)

16SIN CLASIFICAR

Informes CCN-CERT

Estudios de Amenazas:• Técnicas de Ataques DDoS• Amenazas y Tendencias de la Seguridad Cibernética• Temáticos por Países (Rusia / Israel / Brasil)• Cambios Tecnológicos• Troyanos Bancarios• i-frames• Russian Bussines Network (RBN)Informes Semanales Seguridad TIC:

• CiberDefensa• Código dañino• Infraestructuras Críticas• Ataques Recientes, etc…

17SIN CLASIFICAR

CCN-CERT …. Series CCN-STIC

18SIN CLASIFICAR

Formación

Formar al personal de la Administración especialista en el campo de la seguridad de los sistemas de las tecnologías de

la información y las comunicaciones.

Cursos Informativos y de Concienciación 2

Cursos Básicos de Seguridad 4

Cursos Específicos de Gestión 3

Cursos de Especialización 9

• Datos 2006 / 2007

- 700 funcionarios de 87 organismos diferentes de la Administración (General, Autonómica y Local)

- 1.300 horas lectivas en 18 cursos (Apróx 11.000 transparencias)

19SIN CLASIFICAR

Gestión de Incidentes

• Incidentes prioritarios para CCN-CERT

20SIN CLASIFICAR

Fraude – Phishing…. 01.2007 / 07-08.2007 / 11.20077 / 01.2008

21SIN CLASIFICAR

SERVICIOS CCN-CERT• SERVICIOS REACTIVOS

- ALERTAS Y AVISOS.

- GESTIÓN DE INCIDENTES. Sistemas clasificados

- GESTIÓN DE VULNERABILIDADES.

- ANÁLISIS CÓDIGO DAÑINO.

• SERVICIOS PROACTIVOS

- ANUNCIOS Y AVISOS. A usuarios autorizados.

- AUDITORÍAS O EVALUACIONES DE SEGURIDADSistemas clasificados

- CONFIGURACIÓN Y MANTENIMIENTO DE ELEMENTOS DE SEGURIDAD

- DESARROLLO DE HERRAMIENTAS DE SEGURIDAD

- DETECCIÓN DE INTRUSIONES

- DISEMINACIÓN DE INFORMACIÓN.

- CERTIFICACIÓN DE CALIDAD

• SERVICIOS DE GESTIÓN- ANÁLISIS DE RIESGOS

- CONSULTORÍA SEGURIDAD INFORMÁTICA

- MENTALIZACIÓN Y FORMACIÓN:. Cursos STICSeminarios / workshopsForos de discusión

- EVALUACIÓN Y CERTIFICACIÓN DE PRODUCTOS:

COMMON CRITERIA / TEMPEST / CIFRA.

200620072008-

RD

22SIN CLASIFICAR

Conclusiones

Amenazas cada vez más complejas y difíciles de detectar.Código dañino

Formación de personal para luchar contra:Ingenuidad / Ignorancia de buenas prácticas / Falta de concienciación.

Hay que tomar conciencia de los riesgos.

Necesidad actuación proactiva y de la verificación de seguridadInspecciones de Seguridad / Sistemas de alerta

Gestión de incidentes … CCN-CERT

SIN CLASIFICAR

Gracias• Correos electrónicos

- info@ccn-cert.cni.es- ccn@cni.es- organismo.certificacion@cni.es

• Páginas Web:- www.ccn.cni.es- www.ccn-cert.cni.es- www.oc.ccn.cni.es