TACTICA Y CIBERDEFENSA

TACTICA Y CIBERDEFENSA
MADRID 11 DE JUNIO DE 2015
VICTORINO MARTIN JORCANO
CIBERDEFENSA
SI VIS PACEM PARA BELUM
Si quieres la paz prepárate para la guerra
Federico II de Prusia “El Grande”
“Es perdonable ser vencido
pero nunca ser sorprendido”
Algunos principios tácticos
Seguridad
Precaverse contra la acción del adversario, evitando
que este nos sorprenda
Táctica, se basa en el
Estratégica, se basa en
adecuado empleo de los
la información
procedimientos
Debe proporcionar libertad de acción
Sorpresa
Obligar a combatir al adversario en el lugar o
momento para él inesperados o en emplear medios
o procedimientos para él desconocidos.
Flexibilidad
Capacidad de
adaptación a los
cambios de
situación
Aprender a DECIDIR
Factores de la decisión
Misión
Estudio de la Situación
- Terreno
- Enemigo
- Ambiente - Medios
Misión
Seguridad de la redes y de la información:
Es la capacidad de las redes o de los sistemas de información de resistir,
con un determinado nivel de confianza, los accidentes o acciones ilícitas o
malintencionadas que comprometan la disponibilidad, autenticidad,
integridad y confidencialidad de los datos almacenados o transmitidos y de
los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
(Real decreto 3/2010, de 8 de enero, por el que se Regula el
Esquema Nacional le Seguridad)
Situación - Terreno
Tierra
Mar
Aire
Espacio
Ciberespacio
Situación - Enemigo
H. MAS PROBABLE
H. MAS PELIGROSA
MANIOBRA
SEGURIDAD
Características del Ataque
Rapidez en la acción
Potencia
Profundidad
IGUAL QUE LAS UNIDADES ACORAZADAS
¿Cómo nos defendemos?
Servidor
FTP
FW Router
Esto me
suena..
Internet
SW
Servidor Web
Correo SMTP
IDS
Host
Pero si es..
FW
FW
la Ciudadela
de Jaca
Correo POP
Servidor DNS
Defensiva en Profundidad
SITUACION - Ambiente
SITUACION - Medios
NOC,s y SOC,s y CERT,s
TRABAJAR JUNTOS EN LA VIGILANCIA Y SEGURIDAD DE LA RED
De la Información a la Inteligencia
Información
Comunicación o adquisición de conocimientos que permiten
ampliar o precisar los que se poseen sobre una materia
determinada.
EXCESO DE INFORMACION, NO PODEMOS ASIMILARLA
Inteligencia
Acciones:
Recopilación
Clasificación
Correlación
Distribución
Dirigida a:
Quien toma decisiones
Medidas
Preventivas
Correctivas
DECIDIR SELECCIONANDO LAS MEJORES OPCIONES
Inteligencia de Guerrilla
Inteligencia creativa y pensamiento divergente
Se apoya en:
Técnicas de análisis alternativo
Pensamiento lateral
Orientación práctica hacia resultados de valor
CONOCER AL ADVERSARIO
Inyección de SQL
Mediante datos maliciosos es posible saltarse el formulario de
autenticación.
Desbordamiento de buffers
Cuando no existe separación entre las
zonas de memoria dedicadas a datos y las
dedicadas a programa, los bytes que
desbordan el buffer pueden grabarse
donde antes había instrucciones.
Inteligencia Operativa de Seguridad
Forma de análisis en tiempo real y
dinámico de la seguridad del
negocio.
Se analizan datos y eventos para obtener
información útil para la toma de decisiones
La información se suele presentar como
Alertas
Paneles de situación.
VISIBILIDAD Y CONOCIMIENTO DE LA SITUACION
ELEMENTOS DE INFORMACION
EVENTO
Acaecimiento, cosa que sucede.
LOG
Anotación, registro.
CORRELACION
Proceso de analizar y determinar un
conjunto de eventos relacionados,
tomando como base una serie de
reglas que sirvan para interpretar los
datos contenidos.
INFORMACION + CORRELACION = INTELIGENCIA
PUEDEN GENERAR LOGS..
Sistemas operativos :
•
Host, Servidores, Estaciones de trabajo,
PC,s portátiles..
Bases de datos
Aplicaciones
Dispositivos de comunicaciones
Dispositivos de seguridad lógica:
•
Cortafuegos, antivirus, IDS, etc.
Dispositivos de seguridad física:
•
Cámaras, sensores, tornos, etc.
Sistemas SCADA
SITUACION DE LOS LOGS
Diferentes formatos.
Formatos poco “procesables”.
Elevado número .
La mayoría de los eventos no son
de seguridad o no son útiles para
generar alertas.
MONITORIZACION Y ALMACENAMIENTO
Facilita la generación de alertas en
tiempo real.
Permite acceder desde un único punto a
cualquier Log.
Permite el análisis forense.
Posibilita la custodia ante necesidades
futuras de investigación.
El estudio de tendencias y bandas de
normalidad permite establecer medidas
preventivas.
La clave es el filtrado
Millones de Eventos – Decenas de Alarmas
Alienvault Unified Security Management
Tecnologías de Gestión
Tecnologías de
Seguridad de Contexto
Se reunen en un solo producto AlienVault USM
Gestión unificada de la seguridad
Plataforma unificada de gestión de la seguridad
Una única plataforma que simplifica, acelera, detecta intrusiones, responde a
las incidencias y cumple las normativas
AlienVault Labs Threat Intelligence
Normas y directivas de correlación escritas por
nuestro equipo de AlienVault Labs, visibles a
través de la interface de USM
Open Threat Exchange
El repositorio de amenazas colaborativo más
grande del mundo. Nos da una vision continua
de las amenazas en tiempo real.
Plataforma USM
INTELIGENCIA DE
SEGURIDAD/SIEM
• SIEM Correlación de eventos
• Respuesta a incidentes
MONITORIZACION DE
COMPORTAMIENTOS
• Recolección de logs
• Análisis de Netflow
• Monitorización de disponsibilidad
de servicios
DESCUBRIMIENTO DE ACTIVOS
• Escaneo de red activo
• Escaneo de red pasivo
• Inventario de assets
• Inventario de software basado en host
ANÁLISIS DE VULNERABILIDADES
• Monitorizacion contínua de
Vulnerabilidades
• Escaneo active autentificado y noautetificado
DETECCION DE AMENAZAS
• Network IDS
• Host IDS
• Monitorizacion de
Integridad de ficheros
Controles de seguridad integrados
Inteligencia Integrada de Amenazas
Analisis Coordinado,
Remediación Entendible
Intercambio Abierto de Amenazas (OTX)
El repositorio colaborativo de
amenazas más grande del
mundo.
Proporciona acceso en tiempo
real a información detallada
acerca de amanazas e
incidentes de mas de 8.000
puntos en 140 paises.
Los profesionales de seguridad
comparten y se benefician de los
datos de otros.
Ejercicio Táctico
ANTECEDENTES
"VIRUS INFORMÁTICO STUXNET TIENE COMO OBJETIVO A IRÁN"
Un virus informático afectó las
centrífugas del programa de
enriquecimiento de uranio.
Irán sufrió un ataque informático masivo
a través del virus "Stuxnet", que infectó
miles de direcciones IP de ordenadores
industriales incluyendo sus
centrifugadoras nucleares.
¿QUIEN FUE?
The New York Times informó que
especialistas israelíes probaron el gusano
Stuxnet.
Según el rotativo, Stuxnet incluye dos
componentes. El primero obliga a las
centrifugadoras a funcionar en un modo
incorrecto, y el segundo, transmite datos
falsos sobre el funcionamiento de los
equipos.
OBJETIVO : Un Astillero
MISION
Impedir o retrasar en normal funcionamiento del astillero.
Obtención de información sensible.
Sin que el enemigo lo advierta.
IDEA DE MANIOBRA
Concepto de la operación
CONCEPTO DE LA OPERACION
- Penetrar en la instalación enemiga, utilizando medios cibernéticos.
- Efectuar acciones de sabotaje introduciendo malware en sus sistemas.
- Obtener información sobre qué y como produce el astillero.
FASE 1: Selección del Personal Objetivo
- Conocer su entorno de trabajo
- Conocer su entorno personal
FASE 2: Infección del móvil
- Mandar mensaje de móvil falso (recibirá constancia de que se lo
envía un amigo)
Recomienda la instalación de una aplicación de música on-line. Esta aplicación
reside en el market de Google. Solo tiene finalidad maliciosa para la victima,
cualquier otro que la descargue solo oirá música.
- Si acepta la instalación de la aplicación en su móvil..
La infección se realiza utiliando el IMSI de la víctima.
IMSI (International Mobile Subscriber Identity). Es el código de identificación único para cada
dispositivo de telefonía móvil, integrado en la tarjeta SIM, que permite su identificación a
través de las redes.
FASE 3: Acceso a la red Wifi
El malware instalado se activará automáticamente cuando la
victima se sitúe dentro de unas coordenadas predefinidas, donde
el móvil puede recibir señal de la red Wifi del Astillero.
Cuando el operario se conecte a la red wifi, se activará el terminal para dar acceso
al atacante a la red interna, a través del teléfono.
(la red interna no tiene acceso desde el exterior, esta es la única forma de acceso)
FASE 4: Acceso al Puesto de Trabajo
- Utilización de una vulnerabilidad para explotar Factory XXXX
FASE 5: Descarga de material
Comprometido Factory XXXX se conectará por el ftp de la
aplicación para instalar un Applet de Java con un certificado no
sospechoso
FASE 6: Control total
Cuando el operador entra a la aplicación de control de PLC,s, el
navegador instancia el Applet de Java y su ordenador se ve
comprometido, permitiendo al atacante acceso a todas las
aplicaciones de control a las que tiene acceso el operador
FASE 7: Explotación del exito
FASE 8: Retirada
- Retirada organizada
- Borrado de huellas
Fin del Ejercicio
Muchas gracias por su atención
VICTORINO MARTIN JORCANO
[email protected]