Ciberterrorismo: La nueva realidad de la Seguridad de la Información Manuel Humberto Santander Peláez Arquitecto Seguridad de la Información
AGENDA
o o o o
Introducción Ciberterrorismo: una realidad actual Respuesta a incidentes de seguridad Caso práctico: Colombia
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Historia
• Los viejos días … – Windows 3.1 – DOS era usado para la gran mayoría de los programas – Internet Incipiente – Modems!!! – Computación Centralizada – Mainframes
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Historia (2)
• La información de la compañía residía en libros – Consultas manuales en archivos físicos de las compañías – Aseguramiento físico de la información
• La operación de infraestructura crítica se hacía en sitio – Protocolos y maquinas propietarios
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Los viejos fraudes
• Los mensajes anónimos se realizaban manualmente – Se cortaban letras de revistas – Había que evitar los reconocimientos grafológicos – El correo público, ideal para camuflar el emisor de la comunicación
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Los viejos fraudes (2)
• Las suplantaciones igualmente existían – ¿Qué tan fácil se puede suplantar una firma? – ¿Cuántas personas cayeron en conversaciones telefónicas con una persona ficticia?
• Los atentados terroristas también existían – Bombas – Tomas guerrilleras – Ningún sistema crítico se conecta a TI
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Los viejos fraudes (3)
• Los virus de aquel entonces no hacían mayores estragos – Se desplegaban por diskettes – Pocas aplicaciones en red – Internet inexistente
• Los sistemas críticos tenían redes de datos incipientes y aisladas – Tecnología no era una variable crítica en la empresa
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Los viejos fraudes (4)
• Los sistemas críticos tenían redes de datos incipientes y aisladas – Las contingencias en los sistemas críticos se hacían análogamente configurando y moviendo físicamente dispositivos – Los sistemas de gestión eran análogos – Poca comunicación con el mundo real
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Pero …
• La tecnología evolucionó • Internet hizo su aparición en el país • Los negocios empezaron a requerir intercambio de archivos dinámico, incluyendo a los sistemas industriales • La información ya no estaba sólo en servidores centrales …
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos
• Suplantación de usuarios – Robo cuentas MSN – Robo cuentas Facebook – ¿Qué pasa si se roban las cuentas con privilegios de escritura en el sistema SCADA?
• Envío de correos electrónicos anónimos – Hotmail, GMAIL, yahoo, … – ¿Qué pasa si el correo anónimo es interno?
• Robo información estratégica de las
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos (2)
• Robo información estratégica de las compañías • Modificación de sitios web de las compañías • Ataques distribuidos de negación de servicio – Muy comunes en anonymous – Busquen “webhive” en twitter ;)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos (3)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos (4)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos (5)
AGENDA
o o o o
Introducción Ciberterrorismo: una realidad actual Respuesta a incidentes de seguridad Caso práctico: Colombia
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Qué es ciberterrorismo?
• Es la combinación de ataques a las redes de cómputo y técnicas especiales de operación y defensa • Tiene 8 principios – Ausencia de limitaciones físicas – Debe tener efectos físicos: agua, energía, telecomunicaciones – Invisibilidad
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Qué es ciberterrorismo? (2)
• Tiene 8 principios – Mutabilidad e inconsistencia – Identidad y privilegios – Uso dual de herramientas para ataque y defensa – Control de infraestructura – Información como ambiente operacional
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Qué es ciberterrorismo? (3)
• Temas a considerar: – Actividad maliciosa: crimen, espionaje, terrorismo, ataques – La clasificación se realiza dependiendo de las intenciones del perpetrador y el efecto del acto – Todos estos actos comienzan como incidente de seguridad
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Servicios críticos para el país
• Sistema Bancario – Los bancos controlan el flujo de efectivo en el país – Si se afecta la operación de los tres mas grandes se crea un impacto lo suficientemente grande como para interrumpir la normal vía diaria de la población – Se paraliza la economía
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Servicios críticos para el país (2)
• Sistema Bancario – Múltiples canales para el manejo de información – Múltiples vectores de vulnerabilidades – Grandes infraestructuras con buena inversión en seguridad – Regulados por la circular 052 – Foco principal de ciberdelincuentes
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Servicios críticos para el país (3)
• Sistema eléctrico – Controlado por sistemas SCADA para la generación, transmisión y distribución de energía eléctrica – Infraestructura obsoleta tecnológicamente • • • •
Windows NT Server Windows XP sin parches Máquinas SOLARIS sin parches Todas las anteriores con configuraciones defecto
por
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Servicios críticos para el país (4)
• Sistema eléctrico – Conectado a las redes de datos para el intercambio de información del negocio – Posibilidad de materialización de múltiples riesgos en la infraestructura – Si se materializa, puede dejar el país a oscuras completamente
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Cómo se realiza ciberterrorismo?
• Utilización penetration terroristas
de herramientas testing pero con
para fines
– Causar un apagón – Inutilizar el sistema bancario – Deshabilitar los servicios de comunicaciones del país – Cualquier cosa que pueda causar caos
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Sistema Interconectado Nacional
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Sistema Interconectado Nacional (2)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Sistema Interconectado Nacional (3)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Red SCADA Sistema Eléctrico
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Cómo se realiza ciberterrorismo? (2)
• Exploits al alcance de cualquier persona – http://www.packetstormsecurity.org – http://www.securityfocus.org – http://www.exploit-db.com
• Herramientas vulnerabilidades
para
– http://www.nessus.org – http://www.openvas.org – http://www.metasploit.com
análisis
de
AGENDA
o o o o
Introducción Ciberterrorismo: una realidad actual Respuesta a incidentes de seguridad Caso práctico: Colombia
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Ciclo de vida respuesta a incidentes
Preparación
Detección y Análisis
Contención, Erradicación y Recuperación
Actividades PostIncidente
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Preparación de incidentes
• Debe establecerse una capacidad de respuesta a incidentes en la organización • Deben instalarse controles para que los equipos de cómputo, la red y las aplicaciones son suficientemente seguros • Comunicaciones de los administradores de incidentes • Hardware y software para respuesta a incidentes
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Controles Técnicos de Seguridad
• Firewalls – Aplicación – Red
• Sistemas de Detección de Intrusos – Red (NIDS) – Host (HIPS)
• Controles de navegación URL
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Controles Técnicos de Seguridad (2)
• Control antimalware – Servidores y PC – Internet (http, ftp, smtp)
• Data loss prevention – Servidores – PC – Internet
• NAC
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Controles Técnicos de Seguridad (3)
• Mitigan el riesgo de seguridad de la información – No lo eliminan – Sí, puede materializarse el riesgo aún teniendo controles
• Pueden proveer evidencia en caso de la ocurrencia de un incidente de seguridad • ¿Qué hacer empresarialmente?
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Modelo Seguridad SCADA
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Prevención de incidentes
• El riesgo debe ser mínimo – Los controles necesarios deben ser implementados – Si no están implementados, el número de incidentes aumenta
• Proceso de gestión del riesgo – Parte del Sistema de Gestión de Seguridad de la Información – El entorno cambia continuamente
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Prevención de incidentes (2)
• Controles de seguridad para prevención de incidentes – Administración de parches – Línea base para servidores y PC – Seguridad en Red – Prevención de código malicioso – Entrenamiento para usuarios
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Detección y análisis
• Los incidentes deben agruparse en categorías – Definición de procedimientos por cada categoría de incidente – Permite mayor rapidez para atender los incidentes
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Detección y análisis (2)
• Tipos de incidente – Denial of Service – Código malicioso – Acceso no autorizado – Uso inapropiado
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Detección y análisis (3)
• Análisis de incidentes – Las señales de incidentes no corresponden necesariamente a incidentes que hayan ocurrido o estén ocurriendo – Deben descartarse problemas en la infraestructura o en el software antes de determinar que fue un incidente de seguridad
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Detección y análisis (4)
• Análisis de incidentes – ¿Cómo determinar si ocurrió un incidente? • Determine patrones en los equipos y las redes de datos • Determine los comportamientos normales • Use logs centralizados y cree una política de retención de logs
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Contención, erradicación y recuperación
• Escogencia de una estrategia de contención • Captura y manejo de evidencia – Debe aplicarse la normatividad legal para la captura de la evidencia
• Erradicación y recuperación – El servicio debe recuperarse – ¿Qué es primero? ¿Evidencia o servicio?
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Actividades post incidente
• Lecciones aprendidas – ¿Qué pasó exactamente y en qué tiempos? – ¿Cómo manejó la gerencia y el personal el incidente? ¿Se siguieron los procedimientos? ¿Fueron adecuados?
• Métricas del proceso de respuesta a incidentes – Número de incidentes atendidos – Tiempo por incidente – Auditoría del proceso de respuesta a incidentes
AGENDA
o o o o
Introducción Ciberterrorismo: una realidad actual Respuesta a incidentes de seguridad Caso práctico: Colombia
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Entidades encargadas de la respuesta a incidentes en Colombia • ColCERT: Dependencia del Ministerio de Defensa encargado de coordinar la respuesta del país a incidentes de seguridad que afecten su funcionamiento • Centro Cibernético Policial (CCP): Dependencia adscrita a la DIJIN, encargada de las labores de investigación y procesamiento inicial de delincuentes informáticos
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Entidades encargadas de la respuesta a incidentes en Colombia (2) • Comando Conjunto Cibernético (CCP): Dependencia adscrita al Comando de las Fuerzas Militares, el cual se encarga de coordinar la respuesta a incidentes de seguridad que afecten la seguridad nacional • Todas creadas a partir del documento CONPES 3701
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Simulacro de ataques a la infraestructura crítica nacional • La Organización de Estados Americanos y el ColCERT organizaron los días 21 y 22 de septiembre los primeros ejercicios de simulacro de ataques a la infraestructura crítica nacional • Invitados de los sectores críticos del país – Presidencia – Bancos
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Simulacro de ataques a la infraestructura crítica nacional • Invitados de los sectores críticos del país – Sector eléctrico – Universidades – CCP – CCC – ColCERT
• Se trabajó con base en una circunstancia particular del país
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Simulacro de ataques a la infraestructura crítica nacional (2) • Conclusiones del ejercicio – Los sectores críticos del país no están preparados para contener un incidente de seguridad de naturaleza ciberterrorista – No existen iniciativas de coordinación entre los diversos sectores
Contacto o Manuel Humberto Santander Peláez
[email protected]
Teléfono: +57-4 380 7837