PDF de programación - Amenazas y vulnerabilidades a los sistemas de información y comunicaciones 2011

Amenazas y Vulnerabilidades a los Sistemas de

Información y Comunicaciones.

Conclusiones 2010
Tendencias 2011

SIN CLASIFICAR

Madrid, marzo de 2011

Presentación

FORO:
VII ciclo de conferencias. Temas
avanzados en Seguridad y Sociedad de la
Información.
SESIÓN: Ciberamenazas. Escenario 2010.
Tendencias 2011.
OBJETIVO:
amenazas
vulnerabilidades a que están sometidos
Sistemas de las TIC. Escenario de 2011.
PONENTE:

Describir

las

y
los

- Centro Criptológico Nacional

FECHA: 01 de marzo de 2011

SIN CLASIFICAR

2

Índice
• Centro Criptológico Nacional

- Marco Legal / Funciones
- CCN-CERT

• CIBERAMENAZAS 2010 / TENDENCIAS 2011

Agentes de la amenaza
Vulnerabilidades
Código dañino

Troyanos / Botnets
Ataques servicios Web
SCADA
Otros ataques
Usuarios

Estrategias de ciberseguridad
Conclusiones

SIN CLASIFICAR

ENERO 2001:
Sobre 458 millones
usuarios Internet

ENERO 2009:
usuarios Internet

Sobre 1.500 millones

3

Marco Legal

El CCN actúa según el siguiente marco legal:
Ley 11/2002, 6 de mayo, reguladora del Centro
Nacional de Inteligencia (CNI), que incluye al
Centro Criptológico Nacional (CCN).

Real Decreto 421/2004, 12 de marzo, que
regula y define el ámbito y funciones del CCN.

Orden Ministerio Presidencia PRE/2740/2007, de 19
de septiembre, que regula el Esquema Nacional de
Evaluación y Certificación de la Seguridad de las
Tecnologías de la Información

Real Decreto 3/2010, de 8 de enero, por el que se
Comisión Delegada del Gobierno para asuntos de
regula el Esquema Nacional de Seguridad en el ámbito
Inteligencia. Define los objetivos del CNI.
de la Administración Electrónica

4

SIN CLASIFICAR

Marco Legal (1): CNI (Ley 11/2002)

Art. 4 a) Inteligencia

Art. 4 b) ContraInteligencia

Art. 4 c) Relaciones

Art. 4 d) SIGINT

Art. 4 e) STIC

Riesgos
Emergentes

Art. 4 f) Protección Información Clasificada

Art. 4 g) Seguridad Propia

NACIONAL
UE / OTAN / ACUERDOS INTERNACIONALES

En la exposición de motivos de la Ley 11/2002 se establece que el CNI tiene que
hacer frente a los riesgos emergentes. La Seguridad de las TIC es un ámbito de
nuevos riesgos emergentes. Así lo entendió el legislador al definir las funciones del
CNI en el artículo 4 de la Ley

SIN CLASIFICAR

5

Marco Legal (2): Funciones CCN

• Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la

seguridad de las TIC en la Administración

•

Formar al personal de la Administración especialista en el campo de la seguridad de las
TIC

• Constituir el organismo de certificación del Esquema Nacional de Evaluación y

Certificación de aplicación a productos y sistemas de su ámbito

• Valorar y acreditar capacidad productos de cifra y Sistemas de las TIC (incluyan medios

de cifra) para manejar información de forma segura

• Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación

y la utilización de la tecnología de seguridad de los Sistemas antes mencionados

• Velar por el cumplimiento normativa relativa a la protección de la información clasificada

en su ámbito de competencia (Sistemas de las TIC)

• Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones
similares de otros países. Para el desarrollo de las funciones mencionadas, coordinación
oportuna con las Comisiones nacionales a las que la leyes atribuyan responsabilidades en
el ámbito de los sistema de las Tecnologías de la Información y de las Comunicaciones.

SIN CLASIFICAR

6

Marco Conceptual (1): Inteligencia y Seguridad

Inteligencia

Art. 4 b) ContraInteligencia

Riesgos
Emergentes

InfOps&Ciberataques

Art. 4 e) STIC
Ciberdefensa

Ciberdefensa: “La aplicación de medidas de seguridad para proteger las infraestructuras de
los sistemas de información y comunicaciones frente a los ciberataques” (MC0571 – NATO
Cyber Defence Concept)

SIN CLASIFICAR

7

RD 3/2010

SIN CLASIFICAR

8

RD 3/2010
Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones
públicas.
1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los
siguientes servicios:
a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan
la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la
Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de
cualquiera de las administraciones indicadas.
El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier
agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados
en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados.

b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las
Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de
las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas,
instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los
sistemas de tecnologías de la información en la Administración.

c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la
información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización
y mejora de sus capacidades para la detección y gestión de incidentes.

d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de
diversas fuentes de reconocido prestigio, incluidas las propias.

2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas
necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de
respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.

SIN CLASIFICAR

9

Vulnerabilidades y código dañino

SIN CLASIFICAR

10

Normativa

• 156 documentos, normas, instrucciones, guías y recomendaciones

(21 pendientes de su aprobación)

• Nueva serie 800: ESQUEMA NACIONAL DE SEGURIDAD

10 Guías

• Nueva clasificación:

Cumplen con el ENS
Adaptables al ENS

- CCN-STIC 000: Instrucciones/Políticas STIC
- CCN-STIC 100: Procedimientos
- CCN-STIC 200: Normas
- CCN-STIC 300: Instrucciones Técnicas
- CCN-STIC 400: Guías Generales
- CCN-STIC 500: Guías Entornos Windows
- CCN-STIC 600: Guías Otros Entornos
- CCN-STIC 800: Guías desarrollo ENS
- CCN-STIC 900: Informes Técnicos

SIN CLASIFICAR

11

Formación

Formar al personal de la Administración especialista en el campo

de la seguridad de los sistemas de las tecnologías de la

información y las comunicaciones.

Cursos Informativos y de Concienciación

Cursos Básicos de Seguridad

Cursos Específicos de Gestión

Cursos de Especialización

Disponibles www.ccn-cert.cni.es

SIN CLASIFICAR

12

CCN-CERT

• MISIÓN:

- Ser el centro de alerta y respuesta de incidentes de seguridad,

ayudando a las AAPP a responder de forma más rápida y eficiente
ante las amenazas de seguridad que afecten a sus sistemas de
información.

• COMUNIDAD:
Administraciones Públicas de España

• HITOS RELEVANTES

• 2006 Creación
• 2007 Recon. internacional
• 2008 EGC
• 2009 Sondas SARA
• 2010 Sondas INTERNET

RD 3/2010

SIN CLASIFICAR

•

13

Portal CCN-CERT

SIN CLASIFICAR

14

CCN-CERT …. www.ccn-cert.cni.es

SIN CLASIFICAR

15

SISTEMAS DE ALERTA TEMPRANA

• RED SARA:

- Servicio para la Intranet Administrativa
- Coordinado con Mº Presidencia.
- Portal de Informes.

• SONDAS SALIDAS DE INTERNET AAPP:
- Servicio por suscripción de los Organismos.
- Despliegue de Sensores.
- Portal de Informes.

• BENEFICIOS:

- Detección de Ataques
- Estadísticas propias y patrones de ataque
- Actualización de Firmas

SIN CLASIFICAR

16

AMENAZAS

VULNERABILIDADES

SIN CLASIFICAR

17

Ciberamenazas. Agentes
- Ciberespionaje

Estados
Objetivo: Industrias / empresas
Amenaza:

Servicios de Inteligencia /FFAA
Otras empresas de la competencia

- Cibercrimen

Robo propiedad intelectual
Robo de información de tarjetas de crédito /

certificados

Fraude Telemático / Blanqueo de dinero
Robo de identidades…

Hackers
Hackers

Usuarios internos

- Ciberterrorismo

Comunicaciones / Obtención info
Propaganda / financiación
Infraestructuras críticas ¿?

- Hacking Político / Patriótico

SIN CLASIFICAR

China- Japón; Azerbaiyán-Turquía; India-Pakistán; Árabe-Israelí….

18

Coste del cibercrimen

SIN CLASIFICAR

19

Vulnerabilidades 2010
•Tendencia a la baja durante 2010.

-Mejores prácticas de seguridad en el
desarrollo de aplicaciones

-Mayor proactividad de los vendedores

Mayor número de recursos
Trato a investigadores

Comunicaciones; reconocimiento…

-Desmotivación de investigadores

Programas de recompensas

-Vulnerabilidades DIA CERO

Remote code execution
Amplio mercado negro
Exploit asociado

SIN CLASIFICAR

20

Vulnerabilidades 2010. Fabricantes
•Publicación periódica
•Adobe / Apple más vulnerabilidades
detectadas
•Necesidad de publicación de parches fuera
de ciclo

Criticidad del impacto
Estado de explotación vulnerabilidad.

SIN CLASIFICAR

21

Vulnerabilidades 2010. Conclusiones

1. Distribución