TACTICA Y CIBERDEFENSA MADRID 11 DE JUNIO DE 2015 VICTORINO MARTIN JORCANO CIBERDEFENSA SI VIS PACEM PARA BELUM Si quieres la paz prepárate para la guerra Federico II de Prusia “El Grande” “Es perdonable ser vencido pero nunca ser sorprendido” Algunos principios tácticos Seguridad Precaverse contra la acción del adversario, evitando que este nos sorprenda Táctica, se basa en el Estratégica, se basa en adecuado empleo de los la información procedimientos Debe proporcionar libertad de acción Sorpresa Obligar a combatir al adversario en el lugar o momento para él inesperados o en emplear medios o procedimientos para él desconocidos. Flexibilidad Capacidad de adaptación a los cambios de situación Aprender a DECIDIR Factores de la decisión Misión Estudio de la Situación - Terreno - Enemigo - Ambiente - Medios Misión Seguridad de la redes y de la información: Es la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. (Real decreto 3/2010, de 8 de enero, por el que se Regula el Esquema Nacional le Seguridad) Situación - Terreno Tierra Mar Aire Espacio Ciberespacio Situación - Enemigo H. MAS PROBABLE H. MAS PELIGROSA MANIOBRA SEGURIDAD Características del Ataque Rapidez en la acción Potencia Profundidad IGUAL QUE LAS UNIDADES ACORAZADAS ¿Cómo nos defendemos? Servidor FTP FW Router Esto me suena.. Internet SW Servidor Web Correo SMTP IDS Host Pero si es.. FW FW la Ciudadela de Jaca Correo POP Servidor DNS Defensiva en Profundidad SITUACION - Ambiente SITUACION - Medios NOC,s y SOC,s y CERT,s TRABAJAR JUNTOS EN LA VIGILANCIA Y SEGURIDAD DE LA RED De la Información a la Inteligencia Información Comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada. EXCESO DE INFORMACION, NO PODEMOS ASIMILARLA Inteligencia Acciones: Recopilación Clasificación Correlación Distribución Dirigida a: Quien toma decisiones Medidas Preventivas Correctivas DECIDIR SELECCIONANDO LAS MEJORES OPCIONES Inteligencia de Guerrilla Inteligencia creativa y pensamiento divergente Se apoya en: Técnicas de análisis alternativo Pensamiento lateral Orientación práctica hacia resultados de valor CONOCER AL ADVERSARIO Inyección de SQL Mediante datos maliciosos es posible saltarse el formulario de autenticación. Desbordamiento de buffers Cuando no existe separación entre las zonas de memoria dedicadas a datos y las dedicadas a programa, los bytes que desbordan el buffer pueden grabarse donde antes había instrucciones. Inteligencia Operativa de Seguridad Forma de análisis en tiempo real y dinámico de la seguridad del negocio. Se analizan datos y eventos para obtener información útil para la toma de decisiones La información se suele presentar como Alertas Paneles de situación. VISIBILIDAD Y CONOCIMIENTO DE LA SITUACION ELEMENTOS DE INFORMACION EVENTO Acaecimiento, cosa que sucede. LOG Anotación, registro. CORRELACION Proceso de analizar y determinar un conjunto de eventos relacionados, tomando como base una serie de reglas que sirvan para interpretar los datos contenidos. INFORMACION + CORRELACION = INTELIGENCIA PUEDEN GENERAR LOGS.. Sistemas operativos : • Host, Servidores, Estaciones de trabajo, PC,s portátiles.. Bases de datos Aplicaciones Dispositivos de comunicaciones Dispositivos de seguridad lógica: • Cortafuegos, antivirus, IDS, etc. Dispositivos de seguridad física: • Cámaras, sensores, tornos, etc. Sistemas SCADA SITUACION DE LOS LOGS Diferentes formatos. Formatos poco “procesables”. Elevado número . La mayoría de los eventos no son de seguridad o no son útiles para generar alertas. MONITORIZACION Y ALMACENAMIENTO Facilita la generación de alertas en tiempo real. Permite acceder desde un único punto a cualquier Log. Permite el análisis forense. Posibilita la custodia ante necesidades futuras de investigación. El estudio de tendencias y bandas de normalidad permite establecer medidas preventivas. La clave es el filtrado Millones de Eventos – Decenas de Alarmas Alienvault Unified Security Management Tecnologías de Gestión Tecnologías de Seguridad de Contexto Se reunen en un solo producto AlienVault USM Gestión unificada de la seguridad Plataforma unificada de gestión de la seguridad Una única plataforma que simplifica, acelera, detecta intrusiones, responde a las incidencias y cumple las normativas AlienVault Labs Threat Intelligence Normas y directivas de correlación escritas por nuestro equipo de AlienVault Labs, visibles a través de la interface de USM Open Threat Exchange El repositorio de amenazas colaborativo más grande del mundo. Nos da una vision continua de las amenazas en tiempo real. Plataforma USM INTELIGENCIA DE SEGURIDAD/SIEM • SIEM Correlación de eventos • Respuesta a incidentes MONITORIZACION DE COMPORTAMIENTOS • Recolección de logs • Análisis de Netflow • Monitorización de disponsibilidad de servicios DESCUBRIMIENTO DE ACTIVOS • Escaneo de red activo • Escaneo de red pasivo • Inventario de assets • Inventario de software basado en host ANÁLISIS DE VULNERABILIDADES • Monitorizacion contínua de Vulnerabilidades • Escaneo active autentificado y noautetificado DETECCION DE AMENAZAS • Network IDS • Host IDS • Monitorizacion de Integridad de ficheros Controles de seguridad integrados Inteligencia Integrada de Amenazas Analisis Coordinado, Remediación Entendible Intercambio Abierto de Amenazas (OTX) El repositorio colaborativo de amenazas más grande del mundo. Proporciona acceso en tiempo real a información detallada acerca de amanazas e incidentes de mas de 8.000 puntos en 140 paises. Los profesionales de seguridad comparten y se benefician de los datos de otros. Ejercicio Táctico ANTECEDENTES "VIRUS INFORMÁTICO STUXNET TIENE COMO OBJETIVO A IRÁN" Un virus informático afectó las centrífugas del programa de enriquecimiento de uranio. Irán sufrió un ataque informático masivo a través del virus "Stuxnet", que infectó miles de direcciones IP de ordenadores industriales incluyendo sus centrifugadoras nucleares. ¿QUIEN FUE? The New York Times informó que especialistas israelíes probaron el gusano Stuxnet. Según el rotativo, Stuxnet incluye dos componentes. El primero obliga a las centrifugadoras a funcionar en un modo incorrecto, y el segundo, transmite datos falsos sobre el funcionamiento de los equipos. OBJETIVO : Un Astillero MISION Impedir o retrasar en normal funcionamiento del astillero. Obtención de información sensible. Sin que el enemigo lo advierta. IDEA DE MANIOBRA Concepto de la operación CONCEPTO DE LA OPERACION - Penetrar en la instalación enemiga, utilizando medios cibernéticos. - Efectuar acciones de sabotaje introduciendo malware en sus sistemas. - Obtener información sobre qué y como produce el astillero. FASE 1: Selección del Personal Objetivo - Conocer su entorno de trabajo - Conocer su entorno personal FASE 2: Infección del móvil - Mandar mensaje de móvil falso (recibirá constancia de que se lo envía un amigo) Recomienda la instalación de una aplicación de música on-line. Esta aplicación reside en el market de Google. Solo tiene finalidad maliciosa para la victima, cualquier otro que la descargue solo oirá música. - Si acepta la instalación de la aplicación en su móvil.. La infección se realiza utiliando el IMSI de la víctima. IMSI (International Mobile Subscriber Identity). Es el código de identificación único para cada dispositivo de telefonía móvil, integrado en la tarjeta SIM, que permite su identificación a través de las redes. FASE 3: Acceso a la red Wifi El malware instalado se activará automáticamente cuando la victima se sitúe dentro de unas coordenadas predefinidas, donde el móvil puede recibir señal de la red Wifi del Astillero. Cuando el operario se conecte a la red wifi, se activará el terminal para dar acceso al atacante a la red interna, a través del teléfono. (la red interna no tiene acceso desde el exterior, esta es la única forma de acceso) FASE 4: Acceso al Puesto de Trabajo - Utilización de una vulnerabilidad para explotar Factory XXXX FASE 5: Descarga de material Comprometido Factory XXXX se conectará por el ftp de la aplicación para instalar un Applet de Java con un certificado no sospechoso FASE 6: Control total Cuando el operador entra a la aplicación de control de PLC,s, el navegador instancia el Applet de Java y su ordenador se ve comprometido, permitiendo al atacante acceso a todas las aplicaciones de control a las que tiene acceso el operador FASE 7: Explotación del exito FASE 8: Retirada - Retirada organizada - Borrado de huellas Fin del Ejercicio Muchas gracias por su atención VICTORINO MARTIN JORCANO [email protected]
© Copyright 2024