ciberseguridad - ciccp · ciberseguridad dr. enrique belda esplugues subdirector general de...
TRANSCRIPT
Ciberseguridad
Dr. Enrique Belda Esplugues SUBDIRECTOR GENERAL DE SISTEMAS DE INFORMACIÓN Y COMUNICACIONES PARA LA SEGURIDAD
MINISTERIO DEL INTERIOR
11 de julio de 2019
2
CIBERSEGURIDAD
CONCEPTOS GENERALES
CIBERSEGURIDAD EN ENTORNOS EMPRESARIALES
MODUS OPERANDI DE UN CIBERATAQUE
MODELO DE CIBERSEGURIDAD EN EL MINISTERIO DEL INTERIOR
DECÁLOGO PARA PYMES
3
CIBERSEGURIDAD
La seguridad es un estado de ánimo, una sensación, una cualidad intangible. Se puede entender como un objetivo y un fin que el hombre anhela constantemente como una necesidad primaria.
Seguridad
Seguridad de la información La Seguridad de la Información se define como un conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad tanto de su información como la de los sistemas que la contienen.
4
CIBERSEGURIDAD
Ciberseguridad
Ciudadanía
Empresas
Estado
Cuando se habla de seguridad informática se tiende generalmente a pensar en una cuestión técnica cuya responsabilidad recae únicamente en los responsables informáticos.
La seguridad informática es una cuestión que afecta a toda la sociedad en su conjunto. Y por ello es importante adquirir los conocimientos esenciales en materia de Ciberseguridad.
Ámbito
5
CIBERSEGURIDAD
CONCEPTOS GENERALES
CIBERSEGURIDAD EN ENTORNOS EMPRESARIALES
MODUS OPERANDI DE UN CIBERATAQUE
MODELO DE CIBERSEGURIDAD EN EL MINISTERIO DEL INTERIOR
DECÁLOGO PARA PYMES
6
CIBERSEGURIDAD
– Información
Activos que da valor al negocio
– Infraestructura TIC
Activo que soporta el negocio
Activos a proteger
7
CIBERSEGURIDAD
– Pérdida de datos
– Robo de información
– Sensible
– Confidencial
– Estratégica
– Divulgación de los datos
de clientes
Etc…
El acceso no autorizado a través de un ciberataque a una red informática o a los equipos que engloba dentro de una organización puede ocasionar graves problemas para la empresa afectada.
Qué se expone
8
CIBERSEGURIDAD
Pueden ocasionar pérdidas
• Económicas
• Credibilidad
Dejar de cumplir con requisitos legales, especialmente los relacionados con el GRPD (Reglamento Europeo de Protección de Datos)
Consecuencias
9
CIBERSEGURIDAD
En un entorno empresarial, se establece lo que se conoce como Seguridad Perimetral.
Su objetivo es proteger el acceso a nuestra red de confianza (intranet) desde el exterior
(Internet) o evitar la fuga de información desde el interior.
Seguridad perimetral
10
CIBERSEGURIDAD
Entre los elementos utilizados, los más empleados son:
• Cortafuegos: mediante la aplicación de reglas establecen una barrera entre la red
interna y la red externa.
• IDS o Sistema de Detección de intrusos: para detectar tráfico no deseado.
• Sistemas Antivirus, Anti Spyware, Anti Malware: para detectar cualquier tipo de
software malicioso.
• Sistemas de Autenticación y control de acceso: Para identificar, autenticar a las
personas autorizadas.
Seguridad perimetral
11
CIBERSEGURIDAD
La seguridad perimetral se complementa con la aplicación de la seguridad en profundidad
añadiendo varias capas de seguridad que dificulten la materialización de una amenaza.
Seguridad en profundidad
12
CIBERSEGURIDAD
“Vulnerabilidad” debilidad asociada a un error en el diseño de una aplicación.
Por ello un primer requisito de seguridad es mantener las aplicaciones y el Sistema Operativo sobre el que se instalan actualizado frente a los problemas de seguridad que son detectados (vulnerabilidades) y posteriormente corregidos (actualizaciones de seguridad).
Estas actualizaciones de seguridad son comunicadas por los fabricantes y enviadas periódicamente a los dispositivos, siempre y cuando esté activada esta directiva.
Actualizaciones Seguridad en profundidad
13
CIBERSEGURIDAD
Tener una copia de seguridad de nuestros archivos no va a evitar que podamos tener un problema en nuestros equipos, pero evitará en gran medida uno de los incidentes de seguridad más habituales, perder nuestra información. Una copia de seguridad, (“backup”) se define como una copia de los datos originales con el fin de disponer de un medio para recuperarlos en caso de su pérdida. Nos permitirá recuperar más tarde archivos que pueden haberse borrado accidentalmente, haber sido corrompidos o infectados por cualquier malware. El proceso de copia de seguridad se complementa con otro conocido como restauración de los datos (“restore”), que es la acción de recuperar los datos requeridos.
Copias de seguridad Seguridad en profundidad
14
CIBERSEGURIDAD
La gestión de contraseñas robustas es un aspecto fundamental para la seguridad en el control de acceso a nuestros dispositivos o aplicaciones. Si tan solo tuviéramos que recordar un par de contraseñas en nuestra actividad diaria, no resultaría demasiado complicado seleccionar la contraseña con los requisitos de seguridad más exigentes como:
• Longitud mínima de 8 caracteres.
• Formada por letras, mayúsculas, minúsculas, números y caracteres especiales.
• No forma parte de ningún diccionario de ningún idioma.
• Contraseñas diferentes para cada dispositivo o aplicación.
• Cambiar la contraseña cada cierto periodo de tiempo.
• Nunca escribir una contraseña en ningún lugar.
Gestión de las contraseñas Seguridad en profundidad
15
CIBERSEGURIDAD
CONCEPTOS GENERALES
CIBERSEGURIDAD EN ENTORNOS EMPRESARIALES
MODUS OPERANDI DE UN CIBERATAQUE
MODELO DE CIBERSEGURIDAD EN EL MINISTERIO DEL INTERIOR
DECÁLOGO PARA PYMES
16
CIBERSEGURIDAD
Modus Operandi
Ciberataque
Faso 1 Reconocimiento
Fase 2 Exploración
Fase 3 Obtener Acceso
Fase 4 Mantener Acceso
Fase 5 Borrar huellas
17
CIBERSEGURIDAD
• Técnicas Pasivas: no se interacciona directamente
con los sistemas atacados (Ingeniería social, etc.)
• Técnicas Activas: Se obtiene información directamente de los sistemas atacados (con herramientas como FOCA, Maltego, etc.)
Recolección de información estratégica acerca del objetivo fijado (información del objetivo en redes sociales, revelación de información sobre la infraestructura tecnológica, personal, nombres de usuarios, direcciones de correo, etc.).
Fase 1: Reconocimiento
18
CIBERSEGURIDAD
Se realiza antes de lanzar un ataque al objetivo. Se utiliza la información obtenida en la fase de reconocimiento tratando de identificar vulnerabilidades para ser explotadas.
Fase 2: Exploración
19
CIBERSEGURIDAD
Intrusión inicial en la red. En esta fase el atacante explota las vulnerabilidades encontradas en la fase de exploración, haciendo uso de una o varias técnicas de ataque: • Ingeniería social (a través de correos personalizados/dirigidos al
personal de la empresa/organismo objetivo. • Envíos de mensajes fraudulentos vía redes sociales como
Facebook o Twitter que contengan algún enlace malicioso • Mensajería instantánea, etc. • DNS Spoofing • Ataques Man in the Middle • Pen drive infectado • exploits que aprovechan vulnerabilidades conocidas (o no), • Ataques web, etc.
Fase 3: Obtener acceso
20
CIBERSEGURIDAD
Una vez ganado el acceso al sistema atacado, el atacante buscará mantener ese acceso. Podrá usar el sistema atacado como plataforma de lanzamiento de nuevos ataques hacia otros sistemas, escalando privilegios o alcanzando los objetivos que le interesan dentro de la red atacada.
Buscará información sensible dentro de la red objetivo, credenciales de usuarios, escalado de privilegios, unidades mapeadas, etc.
Fase 4: Mantener acceso
21
CIBERSEGURIDAD
En esta fase el atacante tratará de destruir toda evidencia de sus actividades tratando con ello de seguir manteniendo el acceso al sistema informático comprometido sin ser descubierto.
Fase 5: Borrar huellas
22
CIBERSEGURIDAD
El atacante envía un correo spam
Consigue evitar el filtro antispam de la
víctima
El correo llega a la bandeja de entrada
El usuario pincha en el enlace malicioso
El antivirus no consigue detectarlo
El ransomware se ejecuta y elimina las
Shadow Copies (“instantáneas”)
Se propaga en el sistema a través de
PowerShell
Realiza modificaciones en el registro (persistencia)
Se comunica con el C&C a la espera de
instrucciones
Comienza el cifrado de ficheros y envía la
clave de cifrado al C&C
Se muestra un mensaje con las instrucciones de
rescate
Intenta infectar a toda la organización (movimientos
laterales)
FASE 1 FASE 2 FASE 3
Secuencia de un ataque por ransomware
23
CIBERSEGURIDAD
Aspecto de nuestros ficheros
24
CIBERSEGURIDAD
Solicitud del rescate
25
CIBERSEGURIDAD
CONCEPTOS GENERALES
CIBERSEGURIDAD EN ENTORNOS EMPRESARIALES
MODUS OPERANDI DE UN CIBERATAQUE
MODELO DE CIBERSEGURIDAD EN EL MINISTERIO DEL INTERIOR
DECÁLOGO PARA PYMES
26
CIBERSEGURIDAD
LIDERAZGO
Ministerio del Interior
27
CIBERSEGURIDAD
Actor Principal en
Ciberseguridad
Competencia
•Seguridad Ciudadana
•Orden Público
•Protección de personas y bienes
Capacidad
•Unidades de FFCCSE altamente especializadas
•Dentro de CNPIC Oficina de Coordinación Cibernética
•SGSCIS departamento tecnológico de referencia de la
Secretaría de Estado
Posicionamiento
El Ministerio del Interior es percibido por la sociedad como el garante de sus derechos y libertades
Ministerio del Interior
28
CIBERSEGURIDAD
OBJETIVOS
Acceso y gestión correcta de la información disponible en el ciberespacio
Fomentar la formación y capacitación
Establecer procedimientos armonizados de actuación
Optimizar el uso y disposición de herramientas específicas
Promover la cultura de ciberseguridad entre la ciudadanía y la empresa
Impulsar medidas que faciliten la coordinación y colaboración nacional e internacional
Proteger los sistemas de información y telecomunicaciones utilizados por el Ministerio del Interior
Plan Director de Ciberseguridad
29
CIBERSEGURIDAD
Nivel Central
CNPIC
SGSICS
CITCO
Nivel FFCCSE
D.G. POLICIA
D.G. GUARDIA CIVIL
Otras Organizaciones
Organización y coordinación
30
CIBERSEGURIDAD
Asesoramiento al Secretario de Estado
Punto de contacto nacional coordinación operativa CE directiva 2013/40/UE
Punto de contacto con Operadores Críticos
Canal comunicación entre los CSIRT
Coordinación Técnica en materia de ciberseguridad entre SES y FFCCSE
A través de la OCC
CNPIC
Nivel Central
31
CIBERSEGURIDAD
Planificación, coordinación y gestión de inversiones
Estandarización y homogeneización
Propuesta al SES de planes y programas, coordinarlos, supervisar su ejecución, evaluarlos y analizar sus costes
Implantación programas y proyectos de utilización conjunta o compartida derivada de Fondos Europeos u Organismos Internacionales
Coordinación, desarrollo e implantación de bases de datos, sistemas de
información y sistemas de comunicaciones de utilización conjunta o compartida por FFCCSE
SGSICS
Nivel Central
32
CIBERSEGURIDAD
Recepción, integración y análisis de la información estratégica disponible en la lucha contra todo tipo de delincuencia organizada y grave ejecutada por medios cibernéticos
Establecimiento de criterios de actuación y coordinación operativa de los órganos u organismos actuantes en los supuestos de concurrencia en las investigaciones
CITCO
Nivel Central
33
CIBERSEGURIDAD
SES • CNPIC
• SGSICS
• CITCO
FFCCSE • Policía Nacional
• Guardia Civil
La labor de coordinación, y el intercambio de la información que haga posible dicha coordinación, no podrá interferir el curso de las investigaciones policiales
Nivel Fuerzas y Cuerpos de Seguridad del Estado
34
CIBERSEGURIDAD
CNPIC • Aspectos técnicos relacionados con la ciberseguridad
• Notificación de incidentes que presenten caracteres de delito
SGSICS • Adquisición y provisión de medios técnicos
• Programas y proyectos relacionados con los sistemas de información y comunicaciones en el ámbito de la seguridad
CITCO
• Coordinación operativa cibercriminalidad en los supuestos de concurrencia de investigaciones
• Sin perjuicio de las competencias que ejerza la Fiscalía Especializada en Criminalidad Informática
Nivel Fuerzas y Cuerpos de Seguridad del Estado Coordinación entre la SES, DGP y DGGC
35
CIBERSEGURIDAD
Otros Organismos
Equipos nacionales de respuesta a incidentes de seguridad informática (CSIRT) de referencia
Centros de respuesta operativa (SOC) de los operadores críticos
Comisión Europea y los Estados miembros contacto nacional de coordinación operativa para el intercambio de Información
Departamento de Seguridad Nacional, en lo relativo a procedimientos de gestión de crisis de ciberseguridad
Instituto de Ciberseguridad de España (INCIBE) y el INCIBE-CERT, en lo referente a las actuaciones en el ámbito de la protección de las infraestructuras críticas y de los servicios esenciales proporcionados por el sector privado
Centro Criptológico Nacional (CCN) y el CCN-CERT, en lo referente a las actuaciones en el ámbito de la protección de las infraestructuras críticas y de los servicios esenciales proporcionados por el sector público
Mando conjunto de Ciberdefensa (MCCD), dependiente del Estado Mayor Conjunto del Ministerio de Defensa, en lo relativo a las actuaciones hostiles hacia los intereses nacionales con origen en el exterior, o acciones híbridas
36
CIBERSEGURIDAD
CONCEPTOS GENERALES
CIBERSEGURIDAD EN ENTORNOS EMPRESARIALES
MODUS OPERANDI DE UN CIBERATAQUE
MODELO DE CIBERSEGURIDAD EN EL MINISTERIO DEL INTERIOR
DECÁLOGO PARA PYMES
37
CIBERSEGURIDAD
• Cuentas y Permisos • Eliminar las cuentas innecesarias
• Revisar permisos de administración
• Utilizar contraseñas fuertes
38
CIBERSEGURIDAD
• Equipos y dispositivos de red • Cambiar los valores de fábrica
• Activar cortafuegos
39
CIBERSEGURIDAD
• Todos tus dispositivos • Desactivar la ejecución automática
• Eliminar las aplicaciones que no se utilicen
40
CIBERSEGURIDAD
• Antimalware • Instalar y mantener siempre activado el
antimalware
• Analizar el software antimalware
41
CIBERSEGURIDAD
• Software • Actualizar todo el software
• Hacer copias de seguridad completas
42
CIBERSEGURIDAD
• FORMAR Y CONCIENCIAR
43
CIBERSEGURIDAD
Una reflexión para el final
ESTRATEGIA DE SEGURIDAD NACIONAL 2017:
OBJETIVO GENERAL DE CIBERSEGURIDAD: “Reforzar,impulsar y promover los mecanismos normativos, organizativos y técnicos, así como la aplicación de medidas, servicios, buenas prácticas y planes de
continuidad para la protección, seguridad y resilencia en el Sector Público, los sectores estratégicos, el sector empresarial y la ciudadanía, de manera que se garantice un entorno digital seguro y fiable.”
CYBERSECURITY STRATEGY OF THE EUROPEAN UNION (EUROPEAN COMMISION, BRUSSELS 2013):
“The Commission invites industry to: Promote cybersecurity awareness at all levels, both in business practices and in the interface with customers. In particular, industry should reflect on ways to make CEOs and Boards
more accountable for ensuring cyber- security”
Gracias
Subdirección General de Sistemas de Información y Comunicaciones para la Seguridad - Ministerio del Interior Centro Tecnológico de Seguridad (CETSE)
C/Cabo López Martínez, s/n
28048 El Pardo - Madrid
Tlf: 91 839 80 00
Fax: 91 839 80 19