Presente y Futuro de la

Ciberseguridad

SIN CLASIFICAR

02/03/2015 1
www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

MARCO LEGAL
Ley 11/2002 reguladora del Centro Nacional de
Inteligencia,
Real Decreto 421/2004, 12 de Marzo, que regula y
define el mbito y funciones del CCN.

Real Decreto 3/2010, 8 de Enero, que define el

Esquema Nacional de Seguridad para la
Administracin Electrnica.

Establece al CCN-CERT como CERT Gubernamental/Nacional

HISTORIA
MISIN 2006 Constitucin en el seno del CCN
Contribuir a la mejora de la ciberseguridad espaola, siendo el 2007 Reconocimiento internacional
centro de alerta y respuesta nacional que coopere y ayude a 2008 Sist. Alerta Temprana SAT SARA
responder de forma rpida y eficiente a las Administraciones 2009 EGC (CERT Gubernamentales Europeos)
Pblicas y a las empresas estratgicas, y afrontar de forma 2010 ENS y SAT Internet
activa las nuevas ciberamenazas.
2011 Acuerdos con CCAA
2012 CARMEN Y Reglas
COMUNIDAD 2013 Relacin con empresas/ CCAA
Responsabilidad en ciberataques sobre sistemas clasificados y 2014 LUCA / MARTA
sobre sistemas de la Administracin y de empresas de inters 2015 SAT INTERNET Ayto / Diputaciones
estratgicos.

2 2
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

NDICE
0 CCN-CERT

1 Evolucin de conceptos de ciberseguridad

2 Qu hemos visto en 2014?
3 Necesidad de una aproximacin eficiente
4 Conclusiones

3 3
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

Concepto
Ao Seguridad Amenaza Cambios Tecnolgicos
Compusec
1980-90 Netsec Telecomunicaciones
Naturales
Transec Sistemas Clasificados

Infosec Redes corporativas

1990-2004 Intencionadas Sist. Control industrial
Info. Assurance
Infraestructuras Criticas

Ciberseguridad Ciberespionaje Telefona mvil

2005-2010
Ciberdefensa Ciberterrorismo Redes sociales
Servicios en Cloud

2010-2015 Ciberresiliencia Ciberguerra BYOD

Seg. Transparente APT Shadow IT
Defensa activa Hacktivismo //

4
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

Ciberamenazas. Agentes. Tendencia en 2015

+ 1. Ciberespionaje / Robo patrimonio tecnolgico, propiedad intelectual

China, Rusia, Irn, otros
Servicios de Inteligencia / Fuerzas Armadas / Otras empresas

+ 2. Ciberdelito / cibercrimen
HACKERS y crimen organizado

3. Ciberactivismo
=
ANONYMOUS y otros grupos

+
4.Uso de INTERNET por terroristas
Objetivo : Comunicaciones , obtencin de informacin,
propaganda o financiacin
5. Ciberterrorismo
- Ataque a Infraestructuras crticas
5
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

Cdigo Daino. Nivel complejidad

Clasificacin por capacidades

Nivel 1 Profesionales que emplean desarrollos de cdigo daino y mecanismos de GRUPOS

infeccin de terceros (usan exploits conocidos). CHINOS
Nivel 2 Profesionales de gran experiencia que desarrollan herramientas propias a partir 103 euros
de vulnerabilidades conocidas.
Nivel 3 Profesionales que se focalizan en el empleo de cdigo daino desconocido.
Usan Rootkits en modo usuario y kernel. Usan herramientas de minera de datos.
Atacan personal clave en las organizaciones para robar datos personales / OCTUBRE
corporativos para su venta a otros criminales. ROJO
Nivel 4 Grupos Criminales / esponsorizados por Estados organizados, con capacidades
tcnicas y financiados para descubrir nuevas vulnerabilidades y desarrollar
106 euros
exploits.
Nivel 5 Grupos esponsorizados por Estados que crean vulnerabilidades mediante
programas de influencia en productos y servicios comerciales durante su SNAKE
diseo, desarrollo o comercializacin o con la habilidad de atacar la cadena REGIN
de suministro para explotar redes / sistemas de inters. EQUATION
Nivel 6 Estados con la capacidad de ejecutar operaciones conjuntas (ciber, de GROUP
inteligencia y militares) para conseguir sus objetivos polticos, econmicos,
militares 109 euros

Fuente: Resilient Military Systems and the Advanced Cyber Threat. Enero 2013

6
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

PELIGROSIDAD DE LAS AMENAZAS

QUATION GROUP
SNAKE
REGIN

Carbanak
AGENT BTZ

Ramsonware
Botnets
Otro Malware

7
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

Botnets
Ramsonware
Otro Malware
198 Incidentes

TorrentLocker (10)
@india (3)
CryptoLocker (53)
CryptoWall (41)
CTB-Locker (6)
Reveton (3)
etc.

8
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

AGENT BTZ Carbanak

Ms de 900 IP,s en Espaa

9
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

EQUATION GROUP Equation Group

SNAKE Ataque ms avanzado (y ms antiguo) conocido (2001,
REGIN
1996?).

0-days usados ms tarde en Stuxnet.

Varias etapas, modular.

Validacin de objetivo y Sistema Operativo.

Rotura del airgap.

Tcnicas sofisticadas de ocultacin (slo en el registro).

Infeccin del firmware del HDD.

10
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

EQUATION GROUP
SNAKE
REGIN

11
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

Informes sobre APT,s en fuentes abiertas

2003 1 informe
2006 1 informe
2007 2 informes
2008 4 informes
2009 3 informes
2010 9 informes
2011 11 informes
2012 17 informes
2013 39 informes
2014 103 informes
www.github.com//kbandia/APTnotes 2015 8 informes
https://apt.securelist.com

12 12
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

Debilidades de Nuestros Sistemas de Proteccin

Falta de concienciacin y desconocimiento del riesgo

Sistemas con Vulnerabilidades, escasas configuraciones de

seguridad y Seguridad Reactiva

Poco personal de seguridad y escasa vigilancia

Mayor superficie de exposicin (Redes sociales, Telefona mvil y

Servicios en nube)

Afectados NO comparten informacin. NO comunican incidentes

13
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

CASOS DE EJEMPLO

CrowdStrike
Global Threat Intel Report 2014

14
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

CASO 1: EMPRESA ESTRATGICA (Junio 2013/ Enero / Octubre 2014)

Vector de infeccin: spear phishing

Malware utilizado: Poison Ivy, malware propio

Canal de exfiltracin de informacin: Amazon C3

Servidor de Mando y Control: servidor web espaol hackeado

Uso de mimikatz y gsecdump para el robo de credenciales

Servidor C2 Puerto usado Geolocalizacin

av.ddns.us 443 China
usa.got-game.org 443 China
yeahyeahyeahs.3322.org 443 China
za.myftp.info 53 China

15
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

CASO 2: ORGANISMO GUBERNAMENTAL (Abril 2013 / Nov 2014 / Ene

2015.)

Vector de ataque: Spear Phishing

Cdigo daino: malware especfico

HTTPS?
Canal de exfiltracin: HTTP POST / DNS Dinmicos /

Canal exfiltracin: CORREO ELECTRNICO

Uso de cifrado asimtrico : PGP y GPG

Infraestructura: Varios saltos

Server C2: Servidores web comprometidos (al menos 15)

Otras herramientas: mimikatz y gsecdump para robo de credenciales

16
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

TIEMPOS DE RESPUESTA EN UN APT

VERIZON rp_data-breach-investigations 2012

17
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

CONCLUSIONES
1. AUMENTAR LA CAPACIDAD DE VIGILANCIA. Equipo de seguridad.
Consultora externa

2. Poltica de seguridad . Restriccin progresiva de permisos de

usuarios. Aproximacin prctica a Servicios en CLOUD / BYOD.
3. Aplicar configuraciones de seguridad a los distintos componentes de la
red corporativa y porttiles.

4. Herramientas de gestin centralizada de logs - Monitorizacin y

Correlacin.
Trafico de red / Usuarios remotos / Contraseas Administracin .
Minera de datos

5. INTERCAMBIO DE INFORMACIN CON CERT,s (empleo IOC,s)

SE DEBE TRABAJAR COMO SI SE
ESTUVIERA COMPROMETIDO
Aceptacin del RIESGO por la direccin respecto al control de
la informacin

18
02/03/2015 www.ccn-cert.cni.es
 FUNDACIN CIRCULO / IBM SIN CLASIFICAR

E-Mails
ccn-cert@cni.es

info@ccn-cert.cni.es
ccn@cni.es

sondas@ccn-cert.cni.es

redsara@ccn-cert.cni.es

ines@ccn-cert.cni.es

organismo.certificacion@cni.es

Websites
www.ccn.cni.es
www.ccn-cert.cni.es

www.oc.ccn.cni.es
Gracias
19
02/03/2015 www.ccn-cert.cni.es