Embed Size (px)
Citation preview
Ciberterrorismo:
La nueva realidad de la Seguridad de la Información
Manuel Humberto Santander Peláez Arquitecto Seguridad de la Información
AGENDA
o Introducción
o Ciberterrorismo: una realidad actual
o Respuesta a incidentes de seguridad
o Caso práctico: Colombia
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Historia
• Los viejos días …
– Windows 3.1
– DOS era usado para la gran mayoría de los
programas
– Internet Incipiente
– Modems!!!
– Computación Centralizada
– Mainframes
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Historia (2)
• La información de la compañía residía
en libros
– Consultas manuales en archivos físicos de
las compañías
– Aseguramiento físico de la información
• La operación de infraestructura crítica
se hacía en sitio
– Protocolos y maquinas propietarios
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Los viejos fraudes
• Los mensajes anónimos se realizaban
manualmente
– Se cortaban letras de revistas
– Había que evitar los reconocimientos
grafológicos
– El correo público, ideal para camuflar el
emisor de la comunicación
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Los viejos fraudes (2)
• Las suplantaciones igualmente existían
– ¿Qué tan fácil se puede suplantar una firma?
– ¿Cuántas personas cayeron en conversaciones
telefónicas con una persona ficticia?
• Los atentados terroristas también existían
– Bombas
– Tomas guerrilleras
– Ningún sistema crítico se conecta a TI
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Los viejos fraudes (3)
• Los virus de aquel entonces no hacían
mayores estragos
– Se desplegaban por diskettes
– Pocas aplicaciones en red
– Internet inexistente
• Los sistemas críticos tenían redes de datos
incipientes y aisladas
– Tecnología no era una variable crítica en la
empresa
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Los viejos fraudes (4)
• Los sistemas críticos tenían redes de datos
incipientes y aisladas
– Las contingencias en los sistemas críticos se
hacían análogamente configurando y moviendo
físicamente dispositivos
– Los sistemas de gestión eran análogos
– Poca comunicación con el mundo real
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Pero …
• La tecnología evolucionó
• Internet hizo su aparición en el país
• Los negocios empezaron a requerir
intercambio de archivos dinámico,
incluyendo a los sistemas industriales
• La información ya no estaba sólo en
servidores centrales …
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos
• Suplantación de usuarios
– Robo cuentas MSN
– Robo cuentas Facebook
– ¿Qué pasa si se roban las cuentas con
privilegios de escritura en el sistema SCADA?
• Envío de correos electrónicos anónimos
– Hotmail, GMAIL, yahoo, …
– ¿Qué pasa si el correo anónimo es interno?
• Robo información estratégica de las
compañías
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos (2)
• Robo información estratégica de las
compañías
• Modificación de sitios web de las
compañías
• Ataques distribuidos de negación de
servicio
– Muy comunes en anonymous
– Busquen “webhive” en twitter ;)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos (3)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos (4)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos (5)
AGENDA
o Introducción
o Ciberterrorismo: una realidad actual
o Respuesta a incidentes de seguridad
o Caso práctico: Colombia
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Qué es ciberterrorismo?
• Es la combinación de ataques a las redes
de cómputo y técnicas especiales de
operación y defensa
• Tiene 8 principios
– Ausencia de limitaciones físicas
– Debe tener efectos físicos: agua, energía,
telecomunicaciones
– Invisibilidad
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Qué es ciberterrorismo? (2)
• Tiene 8 principios
– Mutabilidad e inconsistencia
– Identidad y privilegios
– Uso dual de herramientas para ataque y
defensa
– Control de infraestructura
– Información como ambiente operacional
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Qué es ciberterrorismo? (3)
• Temas a considerar:
– Actividad maliciosa: crimen, espionaje,
terrorismo, ataques
– La clasificación se realiza dependiendo de las
intenciones del perpetrador y el efecto del
acto
– Todos estos actos comienzan como incidente
de seguridad
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Servicios críticos para el país
• Sistema Bancario
– Los bancos controlan el flujo de efectivo en el
país
– Si se afecta la operación de los tres mas
grandes se crea un impacto lo suficientemente
grande como para interrumpir la normal vía
diaria de la población
– Se paraliza la economía
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Servicios críticos para el país (2)
• Sistema Bancario
– Múltiples canales para el manejo de
información
– Múltiples vectores de vulnerabilidades
– Grandes infraestructuras con buena inversión
en seguridad
– Regulados por la circular 052
– Foco principal de ciberdelincuentes
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Servicios críticos para el país (3)
• Sistema eléctrico
– Controlado por sistemas SCADA para la
generación, transmisión y distribución de
energía eléctrica
– Infraestructura obsoleta tecnológicamente
• Windows NT Server
• Windows XP sin parches
• Máquinas SOLARIS sin parches
• Todas las anteriores con configuraciones por
defecto
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Servicios críticos para el país (4)
• Sistema eléctrico
– Conectado a las redes de datos para el
intercambio de información del negocio
– Posibilidad de materialización de múltiples
riesgos en la infraestructura
– Si se materializa, puede dejar el país a oscuras
completamente
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Cómo se realiza ciberterrorismo?
• Utilización de herramientas para
penetration testing pero con fines
terroristas
– Causar un apagón
– Inutilizar el sistema bancario
– Deshabilitar los servicios de comunicaciones
del país
– Cualquier cosa que pueda causar caos
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Sistema Interconectado Nacional
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Sistema Interconectado Nacional (2)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Sistema Interconectado Nacional (3)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Red SCADA Sistema Eléctrico
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Cómo se realiza ciberterrorismo? (2)
• Exploits al alcance de cualquier persona
– http://www.packetstormsecurity.org
– http://www.securityfocus.org
– http://www.exploit-db.com
• Herramientas para análisis de
vulnerabilidades
– http://www.nessus.org
– http://www.openvas.org
– http://www.metasploit.com
AGENDA
o Introducción
o Ciberterrorismo: una realidad actual
o Respuesta a incidentes de seguridad
o Caso práctico: Colombia
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Ciclo de vida respuesta a incidentes
Preparación Detección y
Análisis
Contención, Erradicación
y Recuperación
Actividades Post-
Incidente
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Preparación de incidentes
• Debe establecerse una capacidad de
respuesta a incidentes en la organización
• Deben instalarse controles para que los
equipos de cómputo, la red y las
aplicaciones son suficientemente seguros
• Comunicaciones de los administradores de
incidentes
• Hardware y software para respuesta a
incidentes
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Controles Técnicos de Seguridad
• Firewalls
– Aplicación
– Red
• Sistemas de Detección de Intrusos
– Red (NIDS)
– Host (HIPS)
• Controles de navegación URL
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Controles Técnicos de Seguridad (2)
• Control antimalware
– Servidores y PC
– Internet (http, ftp, smtp)
• Data loss prevention
– Servidores
– PC
– Internet
• NAC
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Controles Técnicos de Seguridad (3)
• Mitigan el riesgo de seguridad de la
información
– No lo eliminan
– Sí, puede materializarse el riesgo aún teniendo
controles
• Pueden proveer evidencia en caso de la
ocurrencia de un incidente de seguridad
• ¿Qué hacer empresarialmente?
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Modelo Seguridad SCADA
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Prevención de incidentes
• El riesgo debe ser mínimo
– Los controles necesarios deben ser
implementados
– Si no están implementados, el número de
incidentes aumenta
• Proceso de gestión del riesgo
– Parte del Sistema de Gestión de Seguridad de
la Información
– El entorno cambia continuamente
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Prevención de incidentes (2)
• Controles de seguridad para prevención de
incidentes
– Administración de parches
– Línea base para servidores y PC
– Seguridad en Red
– Prevención de código malicioso
– Entrenamiento para usuarios
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Detección y análisis
• Los incidentes deben agruparse en
categorías
– Definición de procedimientos por cada
categoría de incidente
– Permite mayor rapidez para atender los
incidentes
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Detección y análisis (2)
• Tipos de incidente
– Denial of Service
– Código malicioso
– Acceso no autorizado
– Uso inapropiado
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Detección y análisis (3)
• Análisis de incidentes
– Las señales de incidentes no corresponden
necesariamente a incidentes que hayan
ocurrido o estén ocurriendo
– Deben descartarse problemas en la
infraestructura o en el software antes de
determinar que fue un incidente de seguridad
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Detección y análisis (4)
• Análisis de incidentes
– ¿Cómo determinar si ocurrió un incidente?
• Determine patrones en los equipos y las redes de
datos
• Determine los comportamientos normales
• Use logs centralizados y cree una política de
retención de logs
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Contención, erradicación y recuperación
• Escogencia de una estrategia de
contención
• Captura y manejo de evidencia
– Debe aplicarse la normatividad legal para la
captura de la evidencia
• Erradicación y recuperación
– El servicio debe recuperarse
– ¿Qué es primero? ¿Evidencia o servicio?
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Actividades post incidente
• Lecciones aprendidas
– ¿Qué pasó exactamente y en qué tiempos?
– ¿Cómo manejó la gerencia y el personal el
incidente? ¿Se siguieron los procedimientos?
¿Fueron adecuados?
• Métricas del proceso de respuesta a
incidentes
– Número de incidentes atendidos
– Tiempo por incidente
– Auditoría del proceso de respuesta a incidentes
AGENDA
o Introducción
o Ciberterrorismo: una realidad actual
o Respuesta a incidentes de seguridad
o Caso práctico: Colombia
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Entidades encargadas de la respuesta a
incidentes en Colombia
• ColCERT: Dependencia del Ministerio de
Defensa encargado de coordinar la
respuesta del país a incidentes de
seguridad que afecten su funcionamiento
• Centro Cibernético Policial (CCP):
Dependencia adscrita a la DIJIN, encargada
de las labores de investigación y
procesamiento inicial de delincuentes
informáticos
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Entidades encargadas de la respuesta a
incidentes en Colombia (2)
• Comando Conjunto Cibernético (CCP):
Dependencia adscrita al Comando de las
Fuerzas Militares, el cual se encarga de
coordinar la respuesta a incidentes de
seguridad que afecten la seguridad
nacional
• Todas creadas a partir del documento
CONPES 3701
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Simulacro de ataques a la infraestructura
crítica nacional
• La Organización de Estados Americanos y el
ColCERT organizaron los días 21 y 22 de
septiembre los primeros ejercicios de
simulacro de ataques a la infraestructura
crítica nacional
• Invitados de los sectores críticos del país
– Presidencia
– Bancos
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Simulacro de ataques a la infraestructura
crítica nacional
• Invitados de los sectores críticos del país
– Sector eléctrico
– Universidades
– CCP
– CCC
– ColCERT
• Se trabajó con base en una circunstancia
particular del país
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Simulacro de ataques a la infraestructura
crítica nacional (2)
• Conclusiones del ejercicio
– Los sectores críticos del país no están
preparados para contener un incidente de
seguridad de naturaleza ciberterrorista
– No existen iniciativas de coordinación entre los
diversos sectores
