Ciberterrorismo: La nueva realidad de la Seguridad de la Información Manuel Humberto Santander Peláez Arquitecto Seguridad de la Información

AGENDA

o o o o

Introducción Ciberterrorismo: una realidad actual Respuesta a incidentes de seguridad Caso práctico: Colombia

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Historia

• Los viejos días … – Windows 3.1 – DOS era usado para la gran mayoría de los programas – Internet Incipiente – Modems!!! – Computación Centralizada – Mainframes

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Historia (2)

• La información de la compañía residía en libros – Consultas manuales en archivos físicos de las compañías – Aseguramiento físico de la información

• La operación de infraestructura crítica se hacía en sitio – Protocolos y maquinas propietarios

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Los viejos fraudes

• Los mensajes anónimos se realizaban manualmente – Se cortaban letras de revistas – Había que evitar los reconocimientos grafológicos – El correo público, ideal para camuflar el emisor de la comunicación

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Los viejos fraudes (2)

• Las suplantaciones igualmente existían – ¿Qué tan fácil se puede suplantar una firma? – ¿Cuántas personas cayeron en conversaciones telefónicas con una persona ficticia?

• Los atentados terroristas también existían – Bombas – Tomas guerrilleras – Ningún sistema crítico se conecta a TI

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Los viejos fraudes (3)

• Los virus de aquel entonces no hacían mayores estragos – Se desplegaban por diskettes – Pocas aplicaciones en red – Internet inexistente

• Los sistemas críticos tenían redes de datos incipientes y aisladas – Tecnología no era una variable crítica en la empresa

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Los viejos fraudes (4)

• Los sistemas críticos tenían redes de datos incipientes y aisladas – Las contingencias en los sistemas críticos se hacían análogamente configurando y moviendo físicamente dispositivos – Los sistemas de gestión eran análogos – Poca comunicación con el mundo real

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Pero …

• La tecnología evolucionó • Internet hizo su aparición en el país • Los negocios empezaron a requerir intercambio de archivos dinámico, incluyendo a los sistemas industriales • La información ya no estaba sólo en servidores centrales …

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Nuevos riesgos

• Suplantación de usuarios – Robo cuentas MSN – Robo cuentas Facebook – ¿Qué pasa si se roban las cuentas con privilegios de escritura en el sistema SCADA?

• Envío de correos electrónicos anónimos – Hotmail, GMAIL, yahoo, … – ¿Qué pasa si el correo anónimo es interno?

• Robo información estratégica de las

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Nuevos riesgos (2)

• Robo información estratégica de las compañías • Modificación de sitios web de las compañías • Ataques distribuidos de negación de servicio – Muy comunes en anonymous – Busquen “webhive” en twitter ;)

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Nuevos riesgos (3)

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Nuevos riesgos (4)

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Nuevos riesgos (5)

AGENDA

o o o o

Introducción Ciberterrorismo: una realidad actual Respuesta a incidentes de seguridad Caso práctico: Colombia

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

¿Qué es ciberterrorismo?

• Es la combinación de ataques a las redes de cómputo y técnicas especiales de operación y defensa • Tiene 8 principios – Ausencia de limitaciones físicas – Debe tener efectos físicos: agua, energía, telecomunicaciones – Invisibilidad

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

¿Qué es ciberterrorismo? (2)

• Tiene 8 principios – Mutabilidad e inconsistencia – Identidad y privilegios – Uso dual de herramientas para ataque y defensa – Control de infraestructura – Información como ambiente operacional

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

¿Qué es ciberterrorismo? (3)

• Temas a considerar: – Actividad maliciosa: crimen, espionaje, terrorismo, ataques – La clasificación se realiza dependiendo de las intenciones del perpetrador y el efecto del acto – Todos estos actos comienzan como incidente de seguridad

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Servicios críticos para el país

• Sistema Bancario – Los bancos controlan el flujo de efectivo en el país – Si se afecta la operación de los tres mas grandes se crea un impacto lo suficientemente grande como para interrumpir la normal vía diaria de la población – Se paraliza la economía

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Servicios críticos para el país (2)

• Sistema Bancario – Múltiples canales para el manejo de información – Múltiples vectores de vulnerabilidades – Grandes infraestructuras con buena inversión en seguridad – Regulados por la circular 052 – Foco principal de ciberdelincuentes

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Servicios críticos para el país (3)

• Sistema eléctrico – Controlado por sistemas SCADA para la generación, transmisión y distribución de energía eléctrica – Infraestructura obsoleta tecnológicamente • • • •

Windows NT Server Windows XP sin parches Máquinas SOLARIS sin parches Todas las anteriores con configuraciones defecto

por

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Servicios críticos para el país (4)

• Sistema eléctrico – Conectado a las redes de datos para el intercambio de información del negocio – Posibilidad de materialización de múltiples riesgos en la infraestructura – Si se materializa, puede dejar el país a oscuras completamente

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

¿Cómo se realiza ciberterrorismo?

• Utilización penetration terroristas

de herramientas testing pero con

para fines

– Causar un apagón – Inutilizar el sistema bancario – Deshabilitar los servicios de comunicaciones del país – Cualquier cosa que pueda causar caos

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Sistema Interconectado Nacional

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Sistema Interconectado Nacional (2)

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Sistema Interconectado Nacional (3)

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Red SCADA Sistema Eléctrico

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

¿Cómo se realiza ciberterrorismo? (2)

• Exploits al alcance de cualquier persona – http://www.packetstormsecurity.org – http://www.securityfocus.org – http://www.exploit-db.com

• Herramientas vulnerabilidades

para

– http://www.nessus.org – http://www.openvas.org – http://www.metasploit.com

análisis

de

AGENDA

o o o o

Introducción Ciberterrorismo: una realidad actual Respuesta a incidentes de seguridad Caso práctico: Colombia

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Ciclo de vida respuesta a incidentes

Preparación

Detección y Análisis

Contención, Erradicación y Recuperación

Actividades PostIncidente

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Preparación de incidentes

• Debe establecerse una capacidad de respuesta a incidentes en la organización • Deben instalarse controles para que los equipos de cómputo, la red y las aplicaciones son suficientemente seguros • Comunicaciones de los administradores de incidentes • Hardware y software para respuesta a incidentes

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Controles Técnicos de Seguridad

• Firewalls – Aplicación – Red

• Sistemas de Detección de Intrusos – Red (NIDS) – Host (HIPS)

• Controles de navegación URL

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Controles Técnicos de Seguridad (2)

• Control antimalware – Servidores y PC – Internet (http, ftp, smtp)

• Data loss prevention – Servidores – PC – Internet

• NAC

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Controles Técnicos de Seguridad (3)

• Mitigan el riesgo de seguridad de la información – No lo eliminan – Sí, puede materializarse el riesgo aún teniendo controles

• Pueden proveer evidencia en caso de la ocurrencia de un incidente de seguridad • ¿Qué hacer empresarialmente?

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Modelo Seguridad SCADA

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Prevención de incidentes

• El riesgo debe ser mínimo – Los controles necesarios deben ser implementados – Si no están implementados, el número de incidentes aumenta

• Proceso de gestión del riesgo – Parte del Sistema de Gestión de Seguridad de la Información – El entorno cambia continuamente

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Prevención de incidentes (2)

• Controles de seguridad para prevención de incidentes – Administración de parches – Línea base para servidores y PC – Seguridad en Red – Prevención de código malicioso – Entrenamiento para usuarios

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Detección y análisis

• Los incidentes deben agruparse en categorías – Definición de procedimientos por cada categoría de incidente – Permite mayor rapidez para atender los incidentes

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Detección y análisis (2)

• Tipos de incidente – Denial of Service – Código malicioso – Acceso no autorizado – Uso inapropiado

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Detección y análisis (3)

• Análisis de incidentes – Las señales de incidentes no corresponden necesariamente a incidentes que hayan ocurrido o estén ocurriendo – Deben descartarse problemas en la infraestructura o en el software antes de determinar que fue un incidente de seguridad

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Detección y análisis (4)

• Análisis de incidentes – ¿Cómo determinar si ocurrió un incidente? • Determine patrones en los equipos y las redes de datos • Determine los comportamientos normales • Use logs centralizados y cree una política de retención de logs

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Contención, erradicación y recuperación

• Escogencia de una estrategia de contención • Captura y manejo de evidencia – Debe aplicarse la normatividad legal para la captura de la evidencia

• Erradicación y recuperación – El servicio debe recuperarse – ¿Qué es primero? ¿Evidencia o servicio?

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Actividades post incidente

• Lecciones aprendidas – ¿Qué pasó exactamente y en qué tiempos? – ¿Cómo manejó la gerencia y el personal el incidente? ¿Se siguieron los procedimientos? ¿Fueron adecuados?

• Métricas del proceso de respuesta a incidentes – Número de incidentes atendidos – Tiempo por incidente – Auditoría del proceso de respuesta a incidentes

AGENDA

o o o o

Introducción Ciberterrorismo: una realidad actual Respuesta a incidentes de seguridad Caso práctico: Colombia

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Entidades encargadas de la respuesta a incidentes en Colombia • ColCERT: Dependencia del Ministerio de Defensa encargado de coordinar la respuesta del país a incidentes de seguridad que afecten su funcionamiento • Centro Cibernético Policial (CCP): Dependencia adscrita a la DIJIN, encargada de las labores de investigación y procesamiento inicial de delincuentes informáticos

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Entidades encargadas de la respuesta a incidentes en Colombia (2) • Comando Conjunto Cibernético (CCP): Dependencia adscrita al Comando de las Fuerzas Militares, el cual se encarga de coordinar la respuesta a incidentes de seguridad que afecten la seguridad nacional • Todas creadas a partir del documento CONPES 3701

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Simulacro de ataques a la infraestructura crítica nacional • La Organización de Estados Americanos y el ColCERT organizaron los días 21 y 22 de septiembre los primeros ejercicios de simulacro de ataques a la infraestructura crítica nacional • Invitados de los sectores críticos del país – Presidencia – Bancos

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Simulacro de ataques a la infraestructura crítica nacional • Invitados de los sectores críticos del país – Sector eléctrico – Universidades – CCP – CCC – ColCERT

• Se trabajó con base en una circunstancia particular del país

Ciberterrorismo: La nueva realidad en la Seguridad de la Información

Simulacro de ataques a la infraestructura crítica nacional (2) • Conclusiones del ejercicio – Los sectores críticos del país no están preparados para contener un incidente de seguridad de naturaleza ciberterrorista – No existen iniciativas de coordinación entre los diversos sectores

Contacto o Manuel Humberto Santander Peláez [email protected]

Teléfono: +57-4 380 7837