Aproximación de la Ciberseguridad a la Provincia(Botnets of Things) La tendencia que se prevé pasa...
Transcript of Aproximación de la Ciberseguridad a la Provincia(Botnets of Things) La tendencia que se prevé pasa...
vSOC
Aproximación de la Ciberseguridad a la Provincia
Centro Criptológico Nacional
La tecnología ha venido para quedarse…
Internet de las cosas
56%del tráfico de Internet
no es de
humanos
•
La creciente superficie de ataque va desde algo tan inocuo como un juguete conectado aInternet hasta algo tan crítico como los sensores conectados que controlan la producción deenergía en una planta nuclear.
En los últimos años se ha popularizando el ataque de Denegación de Servicio Distribuido(DDoS). (Botnets of Things)
La tendencia que se prevé pasa por infectar a dispositivos IoT para obtener beneficio económicopor medio de miners. (cryptojacking)
Puede que empiecen a verse dentro de poco ataques serios a dispositivos IoT de manera dirigidapor parte de grupos APT.
Internet de las cosas
Internet de las cosas / Riesgos
Una conectividad sin precedentes constituye lo mejor de la Internet de las cosas (IoT) y a la vez lo peor ya que crea tanto grandes oportunidades como riesgos considerables
•
Las preocupaciones más obvias tienen que ver con la privacidad.
Quizás, asegurar la "cosa" no sea la respuesta, ya que siempre habrá demasiados elementos amanejar.
La vigilancia y monitorización permitirán aumentar la visibilidad, que junto con el análisis y larespuesta oportuna permitirán reducir los riesgos inherentes al crecimiento de los dispositivosIoT.
Las autoridades y los distintos sectores profesionales deben optar por medidas de regulación queprotejan del empleo de dispositivos inseguros.
Internet de las cosas
El éxito se reduce a establecer una base de monitorización y control para reducir la superficie de exposición al riesgo que supone la creciente población de dispositivos IoT.
Internet de las cosas / Retos
•
Nuevos kits de explotación que infectan equipos para minar criptomonedas está siendo unatécnica cada vez más habitual entre los ciberdelincuentes.
Técnica menos agresiva que el "ransomware“.
Smominru, botnet de minería de criptomonedas que genera millones $ con la explotación deMonero.
Los dispositivos IoT empieza a ser objetivo también de este tipo de amenazas.
El criptomining no debe verse como una amenaza inocua, puede causar que los sistemas y lasaplicaciones se bloqueen debido a alta utilización de CPU.
Las consecuencias en dispositivos móviles se agravan aún más, ya que el sobrecalentamientode la batería asociado con el uso continuo del procesador puede causar daños permanentes enel dispositivo.
Minar criptomonedas
La popularidad de las criptomonedas está permitiendo que haya numerosos casos de webs modificadas para minar criptomonedas ilegalmente.
Cryptomining
•
Huella digital
Diferentes estudios sobre el uso de Internet y los hábitos de consumo de información digital sugieren que cerca del 90 por ciento de la población española entre 16 y 65 años puede ser potencialmente víctima de
un ataque de desinformación
Cómo actuar frente a las campañas de desinformación en el ciberespacio, uno de los
mayores retos de seguridad del país
Desinformación y capacidad de predecir / influir
Analizar la fuente de las noticias.
Mantenerse alerta a los contenidos patrocinados de origen desconocido.
Desconfiar de estrellas invitadas.
Pensamiento crítico y cabeza fría.
Tú puedes parar un conflicto.
La realidad es muy tozuda…
Incidentes Gestionados - Peligrosidad - Tipología
Incremento de presencia de la ciberamenaza
Incremento de presencia de la
amenaza
No se trata de prohibir, hay que educar
•
CorreoIPS
WAFSIEM
Análisis y Corte
Proxy WebIPS
DNSNTP
Análisis Vulnerabilidaes
RADIUS
VIGILANCIA
OPERACIÓN
Alertas de Seguridad
Alertas Operación
Equipos Desplegables
SOC no viene a sustituir o reemplazar funciones o responsabilidades existentes.
Objetivo final es apoyar, dar soporte e incrementar las capacidades existentes.
SOC dispone de tres (3) niveles:
• Operación.
• Vigilancia.
• Ciberinteligencia.
Incrementar la vigilancia
Centro de Operaciones de Ciberseguridad
•
Vigilancia
Prevención
Respuesta
Monitorización
vSOC: respuesta a las necesidades prioritarias
• Objetivos vSOC
Dar seguridad a ayuntamientos y
diputaciones
Más información de ataques
Mayor visibilidad sobre incidentes
Mayor capacidad de correlación de
ataques
Mejor capacidad de respuesta
Mejorar las capacidades de despliegue, actuación y protección de las entidades. “ ”
• Implementación
vSOC Inicial
vSOC
vSOC Avanzado
- Notificación de incidentes.- Avisos y alertas.
- Actuación sobre el perímetro ante incidentes.- Capacidad forense e investigación remota.- Control de equipos infectados.
- Actuaciones / inspecciones técnicas.- Evaluación y conocimiento del estado de seguridad. - Valoración de la exposición.
Centro de Operaciones de Ciberseguridad
• vSOC InicialCentro de
Operaciones de Ciberseguridad
- Notificación de incidentes.- Avisos y alertas.
Seguridad perimetral con administración centralizada y capacidad de detección de
anomalías (sondas)
Gestión Eventos Seguridad(SIEM)
Adecuación al ENS(apoyo normativo)
Compartir Reglas(ciberinteligencia)
Notificación / Federación(LUCIA)
• vSOCCentro de
Operaciones de Ciberseguridad
- Actuación sobre el perímetro ante incidentes.- Capacidad forense e investigación remota.- Control de equipos infectados.
Seguridad perimetral con administración centralizada y capacidad de detección de
anomalías (sondas)
Notificación / Federación(LUCIA)
Apoyo configuración anti DDoS
Seguridad Punto Final(Endpoint)
Capacidad forense, remediación remota y reglas de comportamiento
Gestión Eventos SeguridadCompartir Reglas
• vSOC AvanzadoCentro de
Operaciones de Ciberseguridad
- Actuaciones / inspecciones técnicas.- Evaluación y conocimiento del estado de seguridad. - Valoración de la exposición. Seguridad perimetral con administración
centralizada y capacidad de detección de anomalías (sondas)
Evaluación Continua(ANA)
Notificación / Federación(LUCIA)
Seguridad Punto Final(Endpoint)
Capacidad forense, remediación remota y reglas de comportamiento
Gestión Eventos SeguridadCompartir Reglas
•
Soluciones de
Seguridad
• Seguridad perimetral
Administración centralizada
Ampliar navegación por categorías y
filtrado web
Mejora de la seguridad en las
Entidades Locales
Posibilidad de actuar ante ataques
tipo Wannacry
Costes adaptados a los recursos de la
entidad
Gestión directa del tráfico
• Reglas IDS
Alerta temprana y adscripción a comunidad CCN-CERT.
Adaptaciones de las sondas utilizadas para SAT-INET.
Ciberinteligencia (listas blancas).
Distribución de reglas (gestor de reglas).
Gestión de eventos de seguridad por SIEM vSOC.
Transferencia de conocimiento, capacitación y adaptaciones por CCN-CERT.
Valor añadido: Integración con la capacidad de alerta temprana del CCN-CERT.
Las detecciones mediante reglas pueden permitir abrir una ventana en la búsqueda de amenazas tipo APT o código dañino desconocido en los equipos de una entidad, otorgando
al vSOC las capacidades de prevención y detección.
• SIEMBeneficiosFuncionamiento
- Intercambio de incidentes a través de LUCÍA
- Exportación e importación de eventos seguridad
- Tratamiento de reglas conforme a estándares
- Exportación de reglas en formato estándar
Automatización de notificaciones de nivel 1
Adaptación de la Guía CCN-STIC 817
Flujo de incidentes y métricas de resolución
Valor añadido: mismas reglas de correlación
Mejora la detección
común
Posibilidad de unificar
SIEM
• Notificación
• Punto final
Creación de reglas por comportamiento.
Capacidad forense en el tiempo (un año) y en remoto.
Posibilidad de aislar maquinas (ransomware).
Reglas comunes y administración centralizada.
Fuente de información añadida para el SIEM (correlación).
Indicadores de compromiso (IOC) proporcionados por feeds.
Generación de inventario de software y versionado de equipos.
Gestión de catálogo de activos.
Detección de anomalías de comportamiento basadas en reglas y en eventos generados por las aplicaciones y acciones en los equipos finales.
Detección
Reacción
Seguridad
Capacidades Resultados
• Auditoría continuaGestión de seguridad Necesidad de evaluación continua:
Capacidad de gestionar y medir de manera continua la evolución de activos auditados respectos a niveles de seguridad y riesgos definido, posibilitando
con la priorización de recursos disponibles la capacidad de reacción y mitigación ante posibles defectos de configuración y vulnerabilidades
detectadas.
ANA en los vSOC
Auditoríabásica
Estado de seguridad
inicial
Incremento concienciación
Aumento advertenciadel nivel de seguridad
Actuaciones de ANA en
modo automático
•
Soporte técnico
Apoyo normativoLos vSOC podrán contar con servicio de apoyo a las entidades en su marco normativo yde adaptación al Esquema Nacional de Seguridad (ENS).
En función de las necesidades, este apoyo servirá de refuerzo al servicio existente obien se prestará a aquellas entidades que no dispongan del mismo.
Asesoramiento legal
Implementación de medidas de seguridad. Orientación en la declaración de cumplimiento. Superación de auditorías. Consultoría sobre la aplicación del ENS.
Apoyo a las entidades:
• Comunidad CCN-CERT
Asistencia en remoto
en caso de incidente
Asistencia presencial en caso de incidente
Análisis forense digital
Notificación de incidentes
correlados por el SIEM
Asesoramientoen
ciberseguridad
Ayuda en resolución de
incidentes
Alertas sobre vulnerabilidades
La SUPERFICIE DE EXPOSICIÓN es cada vez MAYOR: Redes Sociales, teléfonos móviles,BYOD, IoT…
No podemos dejar de utilizar la tecnología, pero para hacerlo de forma segura,debemos IMPLEMENTAR SEGURIDAD y utilizar el SENTIDO COMÚN.
La parte más importante de las medidas a adoptar recae en el usuario: FORMACIÓN,CONCIENCIACIÓN, etc…
¡¡NO SE TRATA DE PROHIBIR, HAY QUE EDUCAR!!
DECLARACIÓN DE INTENCIONES:
• No hace falta ser “técnico” para saber o conocer.
• Familiarización con las nuevas tecnologías.
La capacitación y educación en el buen uso de las tecnologías es fundamental para cualquier tipo de actividad que realice el usuario, ya sea básica o avanzada.
Conclusiones
PEDIR AYUDA! -> Los servicios del CCN están a disposición de cualquier organismo público que lo necesite
Camino a seguir…
1. Estrategia de ciberseguridad.
2. Gobernanza de la ciberseguridad.
3. Desarrollo reglamentario posibilista.
4. CSIRT de referencia, sectoriales y SOCs.
5. Capacidad de detección y alerta temprana.
6. Incremento de vigilancia (SOC).
7. Capacitación y búsqueda de talento.
8. Cooperación pública-privada. (comunidad)
9. Intercambio de información. (confianza)
10.Comunicación y promoción. (ser referencia)
Aproximación pragmática… no hay que resignarse
… Ciberseguridad es un asunto de Seguridad Nacional
Muchas
GraciasPáginas web:
www.ccn.cni.es
www.ccn-cert.cni.es
oc.ccn.cni.es
E-mails