vSOC

Aproximación de la Ciberseguridad a la Provincia

Centro Criptológico Nacional

La tecnología ha venido para quedarse…

Internet de las cosas

56%del tráfico de Internet

no es de

humanos

•

La creciente superficie de ataque va desde algo tan inocuo como un juguete conectado aInternet hasta algo tan crítico como los sensores conectados que controlan la producción deenergía en una planta nuclear.

En los últimos años se ha popularizando el ataque de Denegación de Servicio Distribuido(DDoS). (Botnets of Things)

La tendencia que se prevé pasa por infectar a dispositivos IoT para obtener beneficio económicopor medio de miners. (cryptojacking)

Puede que empiecen a verse dentro de poco ataques serios a dispositivos IoT de manera dirigidapor parte de grupos APT.

Internet de las cosas

Internet de las cosas / Riesgos

Una conectividad sin precedentes constituye lo mejor de la Internet de las cosas (IoT) y a la vez lo peor ya que crea tanto grandes oportunidades como riesgos considerables

•

Las preocupaciones más obvias tienen que ver con la privacidad.

Quizás, asegurar la "cosa" no sea la respuesta, ya que siempre habrá demasiados elementos amanejar.

La vigilancia y monitorización permitirán aumentar la visibilidad, que junto con el análisis y larespuesta oportuna permitirán reducir los riesgos inherentes al crecimiento de los dispositivosIoT.

Las autoridades y los distintos sectores profesionales deben optar por medidas de regulación queprotejan del empleo de dispositivos inseguros.

Internet de las cosas

El éxito se reduce a establecer una base de monitorización y control para reducir la superficie de exposición al riesgo que supone la creciente población de dispositivos IoT.

Internet de las cosas / Retos

•

Nuevos kits de explotación que infectan equipos para minar criptomonedas está siendo unatécnica cada vez más habitual entre los ciberdelincuentes.

Técnica menos agresiva que el "ransomware“.

Smominru, botnet de minería de criptomonedas que genera millones $ con la explotación deMonero.

Los dispositivos IoT empieza a ser objetivo también de este tipo de amenazas.

El criptomining no debe verse como una amenaza inocua, puede causar que los sistemas y lasaplicaciones se bloqueen debido a alta utilización de CPU.

Las consecuencias en dispositivos móviles se agravan aún más, ya que el sobrecalentamientode la batería asociado con el uso continuo del procesador puede causar daños permanentes enel dispositivo.

Minar criptomonedas

La popularidad de las criptomonedas está permitiendo que haya numerosos casos de webs modificadas para minar criptomonedas ilegalmente.

Cryptomining

•

Huella digital

Diferentes estudios sobre el uso de Internet y los hábitos de consumo de información digital sugieren que cerca del 90 por ciento de la población española entre 16 y 65 años puede ser potencialmente víctima de

un ataque de desinformación

Cómo actuar frente a las campañas de desinformación en el ciberespacio, uno de los

mayores retos de seguridad del país

Desinformación y capacidad de predecir / influir

Analizar la fuente de las noticias.

Mantenerse alerta a los contenidos patrocinados de origen desconocido.

Desconfiar de estrellas invitadas.

Pensamiento crítico y cabeza fría.

Tú puedes parar un conflicto.

La realidad es muy tozuda…

Incidentes Gestionados - Peligrosidad - Tipología

Incremento de presencia de la ciberamenaza

Incremento de presencia de la

amenaza

No se trata de prohibir, hay que educar

•

CorreoIPS

WAFSIEM

Análisis y Corte

Proxy WebIPS

DNSNTP

Análisis Vulnerabilidaes

RADIUS

VIGILANCIA

OPERACIÓN

Alertas de Seguridad

Alertas Operación

Equipos Desplegables

SOC no viene a sustituir o reemplazar funciones o responsabilidades existentes.

Objetivo final es apoyar, dar soporte e incrementar las capacidades existentes.

SOC dispone de tres (3) niveles:

• Operación.

• Vigilancia.

• Ciberinteligencia.

Incrementar la vigilancia

Centro de Operaciones de Ciberseguridad

•

Vigilancia

Prevención

Respuesta

Monitorización

vSOC: respuesta a las necesidades prioritarias

• Objetivos vSOC

Dar seguridad a ayuntamientos y

diputaciones

Más información de ataques

Mayor visibilidad sobre incidentes

Mayor capacidad de correlación de

ataques

Mejor capacidad de respuesta

Mejorar las capacidades de despliegue, actuación y protección de las entidades. “ ”

• Implementación

vSOC Inicial

vSOC

vSOC Avanzado

- Notificación de incidentes.- Avisos y alertas.

- Actuación sobre el perímetro ante incidentes.- Capacidad forense e investigación remota.- Control de equipos infectados.

- Actuaciones / inspecciones técnicas.- Evaluación y conocimiento del estado de seguridad. - Valoración de la exposición.

Centro de Operaciones de Ciberseguridad

• vSOC InicialCentro de

Operaciones de Ciberseguridad

- Notificación de incidentes.- Avisos y alertas.

Seguridad perimetral con administración centralizada y capacidad de detección de

anomalías (sondas)

Gestión Eventos Seguridad(SIEM)

Adecuación al ENS(apoyo normativo)

Compartir Reglas(ciberinteligencia)

Notificación / Federación(LUCIA)

• vSOCCentro de

Operaciones de Ciberseguridad

- Actuación sobre el perímetro ante incidentes.- Capacidad forense e investigación remota.- Control de equipos infectados.

Seguridad perimetral con administración centralizada y capacidad de detección de

anomalías (sondas)

Notificación / Federación(LUCIA)

Apoyo configuración anti DDoS

Seguridad Punto Final(Endpoint)

Capacidad forense, remediación remota y reglas de comportamiento

Gestión Eventos SeguridadCompartir Reglas

• vSOC AvanzadoCentro de

Operaciones de Ciberseguridad

- Actuaciones / inspecciones técnicas.- Evaluación y conocimiento del estado de seguridad. - Valoración de la exposición. Seguridad perimetral con administración

centralizada y capacidad de detección de anomalías (sondas)

Evaluación Continua(ANA)

Notificación / Federación(LUCIA)

Seguridad Punto Final(Endpoint)

Capacidad forense, remediación remota y reglas de comportamiento

Gestión Eventos SeguridadCompartir Reglas

•

Soluciones de

Seguridad

• Seguridad perimetral

Administración centralizada

Ampliar navegación por categorías y

filtrado web

Mejora de la seguridad en las

Entidades Locales

Posibilidad de actuar ante ataques

tipo Wannacry

Costes adaptados a los recursos de la

entidad

Gestión directa del tráfico

• Reglas IDS

Alerta temprana y adscripción a comunidad CCN-CERT.

Adaptaciones de las sondas utilizadas para SAT-INET.

Ciberinteligencia (listas blancas).

Distribución de reglas (gestor de reglas).

Gestión de eventos de seguridad por SIEM vSOC.

Transferencia de conocimiento, capacitación y adaptaciones por CCN-CERT.

Valor añadido: Integración con la capacidad de alerta temprana del CCN-CERT.

Las detecciones mediante reglas pueden permitir abrir una ventana en la búsqueda de amenazas tipo APT o código dañino desconocido en los equipos de una entidad, otorgando

al vSOC las capacidades de prevención y detección.

• SIEMBeneficiosFuncionamiento

- Intercambio de incidentes a través de LUCÍA

- Exportación e importación de eventos seguridad

- Tratamiento de reglas conforme a estándares

- Exportación de reglas en formato estándar

Automatización de notificaciones de nivel 1

Adaptación de la Guía CCN-STIC 817

Flujo de incidentes y métricas de resolución

Valor añadido: mismas reglas de correlación

Mejora la detección

común

Posibilidad de unificar

SIEM

• Notificación

• Punto final

Creación de reglas por comportamiento.

Capacidad forense en el tiempo (un año) y en remoto.

Posibilidad de aislar maquinas (ransomware).

Reglas comunes y administración centralizada.

Fuente de información añadida para el SIEM (correlación).

Indicadores de compromiso (IOC) proporcionados por feeds.

Generación de inventario de software y versionado de equipos.

Gestión de catálogo de activos.

Detección de anomalías de comportamiento basadas en reglas y en eventos generados por las aplicaciones y acciones en los equipos finales.

Detección

Reacción

Seguridad

Capacidades Resultados

• Auditoría continuaGestión de seguridad Necesidad de evaluación continua:

Capacidad de gestionar y medir de manera continua la evolución de activos auditados respectos a niveles de seguridad y riesgos definido, posibilitando

con la priorización de recursos disponibles la capacidad de reacción y mitigación ante posibles defectos de configuración y vulnerabilidades

detectadas.

ANA en los vSOC

Auditoríabásica

Estado de seguridad

inicial

Incremento concienciación

Aumento advertenciadel nivel de seguridad

Actuaciones de ANA en

modo automático

•

Soporte técnico

Apoyo normativoLos vSOC podrán contar con servicio de apoyo a las entidades en su marco normativo yde adaptación al Esquema Nacional de Seguridad (ENS).

En función de las necesidades, este apoyo servirá de refuerzo al servicio existente obien se prestará a aquellas entidades que no dispongan del mismo.

Asesoramiento legal

Implementación de medidas de seguridad. Orientación en la declaración de cumplimiento. Superación de auditorías. Consultoría sobre la aplicación del ENS.

Apoyo a las entidades:

• Comunidad CCN-CERT

Asistencia en remoto

en caso de incidente

Asistencia presencial en caso de incidente

Análisis forense digital

Notificación de incidentes

correlados por el SIEM

Asesoramientoen

ciberseguridad

Ayuda en resolución de

incidentes

Alertas sobre vulnerabilidades

La SUPERFICIE DE EXPOSICIÓN es cada vez MAYOR: Redes Sociales, teléfonos móviles,BYOD, IoT…

No podemos dejar de utilizar la tecnología, pero para hacerlo de forma segura,debemos IMPLEMENTAR SEGURIDAD y utilizar el SENTIDO COMÚN.

La parte más importante de las medidas a adoptar recae en el usuario: FORMACIÓN,CONCIENCIACIÓN, etc…

¡¡NO SE TRATA DE PROHIBIR, HAY QUE EDUCAR!!

DECLARACIÓN DE INTENCIONES:

• No hace falta ser “técnico” para saber o conocer.

• Familiarización con las nuevas tecnologías.

La capacitación y educación en el buen uso de las tecnologías es fundamental para cualquier tipo de actividad que realice el usuario, ya sea básica o avanzada.

Conclusiones

PEDIR AYUDA! -> Los servicios del CCN están a disposición de cualquier organismo público que lo necesite

Camino a seguir…

1. Estrategia de ciberseguridad.

2. Gobernanza de la ciberseguridad.

3. Desarrollo reglamentario posibilista.

4. CSIRT de referencia, sectoriales y SOCs.

5. Capacidad de detección y alerta temprana.

6. Incremento de vigilancia (SOC).

7. Capacitación y búsqueda de talento.

8. Cooperación pública-privada. (comunidad)

9. Intercambio de información. (confianza)

10.Comunicación y promoción. (ser referencia)

Aproximación pragmática… no hay que resignarse

… Ciberseguridad es un asunto de Seguridad Nacional

Muchas

GraciasPáginas web:

www.ccn.cni.es

www.ccn-cert.cni.es

oc.ccn.cni.es

E-mails

info@ccn-cert.cni.es

ccn@cni.es

sondas@ccn-cert.cni.es

redsara@ccn-cert.cni.es

organismo.certificacion@cni.es