CERT Gubernamental. Actualización ENS. Actuaciones 2014

SIN CLASIFICAR 23/02/2014

www.ccn-cert.cni.es

1

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

ÍNDICE 1 CCN-CERT. Desarrollo de Funciones. 2 Sistemas de Alerta Temprana. • •

Despliegue 2014 Ayuntamientos

3 Implantación ENS. ART 35. 4 Estrategia Nacional de Ciberseguridad 5 Planes Nacionales. Proyectos

Cibersecurity

www.ccn-cert.cni.es

2

IV Congreso Nacional de Interoperabilidad y Seguridad.

MARCO LEGAL

SIN CLASIFICAR

• Ley 11/2002 reguladora del Centro Nacional de Inteligencia, • Real Decreto 421/2004, 12 de Marzo, que regula y define el ámbito y funciones del CCN. Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para la Administración Electrónica.

Establece al CCN-CERT como CERT Gubernamental/Nacional MISIÓN

HISTORIA

Contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a las Administraciones Públicas y a las empresas estratégicas, y afrontar de forma activa las nuevas ciberamenazas.

• 2006 Constitución en el seno del CCN

COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de la Administración y de empresas pertenecientes a sectores designados como estratégicos.

• 2007 Reconocimiento internacional • 2008 Sist. Alerta Temprana SAT SARA • 2009 EGC (CERT Gubernamentales Europeos) • 2010 ENS y SAT Internet • 2011 Acuerdos con CCAA • 2012 CARMEN • 2013 Intercambio reglas • 2014 LUCÍA / INÉS

www.ccn-cert.cni.es

3

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

CCN-CERT RD 3/2010 ESQUEMA NACIONAL DE SEGURIDAD

Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas 1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes servicios: a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas. El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados. b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración. c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes. d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias. 2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.

www.ccn-cert.cni.es

4

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

Normativa– Series CCN-STIC 457 Herramientas de gestión de dispositivos móviles: MDM (BORRADOR) 001 Seguridad de las TIC que manejan información nacional clasificada en la Administración 526 Exchange Server 2007 en Windows 2008 R2 527 W2008 R2 -Clúster de conmutación por error 406 Seguridad en redes inalámbricas 305 Destrucción y sanitización de soportes informáticos 911B Recomendaciones generales frente a una APT 38 Guías CCN-STIC nuevas 423 Indicadores de Compromiso (IOC) o actualizadas en 2013 525 Microsoft Exchange Server 2007 en Windows Server 2003 422 Desarrollo seguro de aplicaciones web 222 en TOTAL (23 del ENS) 521C Seguridad en Windows 2008 Core (controlador de dominio) 912 Procedimiento de investigación de código dañino 530 Seguridad en Microsoft Office 2010 521D Seguridad en Windows 2008 Server modo Core (servidor independiente) 304 Baja y destrucción de material criptológico 400 Manual STIC 453 Seguridad en Dispositivos Móviles: Android 815 Métricas e Indicadores en el Esquema Nacional de Seguridad 455 Seguridad en Dispositivos Móviles: iPhone 820 Protección contra Denegación de Servicio 454 Seguridad en Dispositivos Móviles: iPad 823 Seguridad en entorno Cloud 450 Seguridad en Dispositivos Móviles 804 Medidas de implantación del ENS 957 Recomendaciones de empleo de TrueCrypt 825 ENS & 27001 531 Seguridad en Sharepoint Server 2007 911A Ciclo de un APT 674 Seguridad en GlassFish

23/02/2014

5

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

Formación – Solicitantes Cursos STIC 2013 2010… 2119 / 16 cursos 2011… 2493 / 14 cursos 2012… 3090 / 14 cursos 2013… 3007 / 14 cursos 450 400 350 300 250 200 150 100 50

DEFENSA

0

INAP

23/02/2014

6

SIN CLASIFICAR

IV Congreso Nacional de Interoperabilidad y Seguridad.

Vulnerabilidades 2012

10714 vulnerabilidades

Vulnerabilidades por Año

3717 bajo 4214 medio 2783 alto

14000 12000 10000

42 vulnerabilidades propias

8000 6000 4000 2000

28%

0 2005 2006 2007 2008 2009

2010

2011

2012

35%

2013

Riesgo Bajo Riesgo Medio Riesgo Alto

37%

23/02/2014

www.ccn-cert.cni.es

7

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

Informes de Seguridad Publicados 2013 •

Informe Actividades 2011-2012

•

Informes de Actualidad STIC (CCN-CERT IS)  24 informes

•

Informes de Amenazas (CCN-CERT IA)  26 informes • Análisis de WhatsApp (iPhone). Vulnerabilidades • Análisis de Facebook (Android). Vulnerabilidades • Análisis de Facebook (iPhone). Vulnerabilidades • Ciberamenazas 2012 y Tendencias 2013 • Riesgos Derivados del Uso de las Redes Sociales (Público) • Riesgos y Amenazas del BYOD (Público) • Persistencia del Código Dañino

•

Informes de código dañino / IOC  6 informes

•

Auditorías Web  9 informes (12 planificadas)

23/02/2014

8

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

SISTEMAS DE ALERTA TEMPRANA - SAT RED SARA:

Servicio para la Intranet Administrativa Coordinado con MINHAP. 49/54 áreas de conexión SONDAS SALIDAS DE INTERNET AAPP:

Servicio por suscripción de los Organismos. Despliegue de Sensores. 54/63 sondas. ONT / SELAE / EXTREMADURA, ASTURIAS, ARAGON, CANARIAS, JCCM, LA RIOJA, CANTABRIA, BALEARES SISTEMA CARMEN

Análisis LOG,s en el perímetro (Proxy, correo, DNS….) Búsqueda anomalías de tráfico Fase piloto: 8 sondas

www.ccn-cert.cni.es

9

SIN CLASIFICAR

IV Congreso Nacional de Interoperabilidad y Seguridad.

SLALE

ONT

SAT INET Sensores Desplegados 23/02/2014

7 COMPAÑIAS ESTRATÉGICAS www.ccn-cert.cni.es

10

SIN CLASIFICAR

IV Congreso Nacional de Interoperabilidad y Seguridad.

Incidentes de Seguridad. Año 2013

7263 en 2013 Incidentes totales

2011

2012

2013

0

1000

2000

3000

4000

5000

www.ccn-cert.cni.es

6000

7000

8000

11

SIN CLASIFICAR

IV Congreso Nacional de Interoperabilidad y Seguridad.

CLASIFICACIÓN DE LOS INCIDENTES • APT con exfiltración información • DoS Distribuido

CRÍTICOS

• Ataques Dirigidos • DoS • Código dañino específico

MUY ALTO

BAJO / MEDIO / ALTO

• Mayoría Incidentes • Ataques externos sin consecuencias • Código dañino genérico

Guía CCN-STIC-817– Criterios Comunes y Gestión de Incidentes

23/02/2014

www.ccn-cert.cni.es

12

SIN CLASIFICAR

IV Congreso Nacional de Interoperabilidad y Seguridad.

Incidentes de Seguridad. Año 2011 - 2013 4500 4000 3500 3000 2500 2000 1500 1000 500 0

3831

2067

1938 1532

1033

900 172

196

749

423

bajo

85

medio

2011

alto

2012

213

muy alto

8

20

38

crítico

2013

31.12.2013 www.ccn-cert.cni.es

13

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

ESTRATEGIA DE CIBERSEGURIDAD NACIONAL 1.El ciberespacio y su seguridad 2.Propósito y principios rectores de la ciberseguridad en España 3.Objetivos de la ciberseguridad 4.Líneas de acción de la ciberseguridad 5.La ciberseguridad en el Sistema de Seguridad Nacional ESTADOS EXTRANJEROS CAUSAS TÉCNICAS

FENÓMENOS NATURALES

HACKING

CONFLICTOS

CRIMEN ORGANIZADO

AMENAZAS INTERNAS

TERRORISMO

SABOTAJE INDIVIDUOS AISLADOS

HACKTIVISTAS DELINCUENCIA

ESPIONAJE

ORGANIZACIONES TERRORISTAS www.ccn-cert.cni.es

14

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

ESTRATEGIA DE CIBERSEGURIDAD NACIONAL Lograr que España haga un uso seguro de las Redes y Sistemas de Información y Telecomunicaciones, fortaleciendo las capacidades de prevención, detección y respuesta a los ciberataques

OBJETIVO GLOBAL

Garantizar que los Sistemas de Información y Telecomunicaciones que utilizan las Administraciones Públicas poseen el adecuado nivel de ciberseguridad y resiliencia Impulsar la seguridad y resiliencia de los Sistemas de Información y Telecomunicaciones usados por el sector OBJETIVO empresarial en general y los operadores de Infraestructuras II Críticas en particular Potenciar las capacidades de prevención, detección, reacción, OBJETIVO análisis, recuperación, respuesta, investigación y coordinación III frente a las actividades del terrorismo y la delincuencia en el ciberespacio

OBJETIVO I

OBJETIVO VI Contribuir a la mejora de la ciberseguridad en el ámbito internacional

OBJETIVO Sensibilizar a los ciudadanos, profesionales, empresas y Administraciones Públicas españolas de los riesgos derivados IV

del ciberespacio Alcanzar y mantener los conocimientos, habilidades, experiencia y OBJETIVO capacidades tecnológicas que necesita España para sustentar V todos los objetivos de ciberseguridad 15 www.ccn-cert.cni.es

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

ESTRATEGIA DE CIBERSEGURIDAD NACIONAL LINEAS DE ACCIÓN

Ciberseguridad

1 2 3 4

5 .6

Capacidad de prevención, detección, respuesta y recuperación ante las ciberamenazas Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las AAPP Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las infraestructuras críticas Capacidades de detección y persecución del ciberterrorismo y de la ciberdelincuencia Seguridad y resiliencia de las Tecnologías de la Información y la Comunicación (TIC) en el sector privado Conocimientos, competencias e I+D+i

7

Cultura de ciberseguridad

8

Compromiso internacional

www.ccn-cert.cni.es

16

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

ESTRATEGIA DE CIBERSEGURIDAD NACIONAL ORGANIZACIÓN

www.ccn-cert.cni.es

17

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

Línea de acción 2. Estrategia de Ciberseguridad LA 2 SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Y TELECOMUNICACIONES QUE SOPORTAN LAS ADMINISTRACIONES PÚBLICAS. Garantizar la implantación del Esquema Nacional de Seguridad, reforzar las capacida-des de detección y mejorar la defensa de los sistemas clasificados. 2-1

2-2 2-3 2-4 2-5 2-6

2-7

2-8

Asegurar la plena implantación del Esquema Nacional de Seguridad y articular los procedimientos necesarios para conocer regularmente el estado de las principales varia-bles de seguridad de los sistemas afectados. Ampliar y mejorar las capacidades del CERT de las Administraciones Públicas- CCN-CERT- y particularmente de sus Sistemas de Detección y de Alerta Temprana. Reforzar las estructuras de seguridad y la capacidad de vigilancia de los Sistemas de Información, en particular los que manejan información clasificada. Optimizar el modelo de interconexión de los organismos de las Administraciones Públicas españolas a las redes públicas de voz y datos, maximizando su eficacia, disponi-bilidad y seguridad. Reforzar la implantación y seguridad de la infraestructura común y segura en la Administración Pública española (Red SARA), potenciando su uso y sus capacidades de seguridad y resiliencia. Desarrollar nuevos servicios horizontales seguros, de acuerdo con directrices de la Dirección de Tecnologías de la Información y de las Comunicaciones de la Administra-ción General del Estado, organismo responsable de la coordinación, dirección y raciona-lización del uso de las TIC en la Administración General del Estado. Incrementar las actividades nacionales para el desarrollo y evaluación de produc-tos, servicios y sistemas a fin de obtener su certificación apoyando específicamente aquellas que sustenten necesidades de interés nacional. Potenciar la creación, difusión y aplicación de las Mejores Prácticas en materia de Ciberseguridad en el ámbito de las Administraciones Públicas.

www.ccn-cert.cni.es

18

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

ENS. Nivel de implantación

19

SIN CLASIFICAR

IV Congreso Nacional de Interoperabilidad y Seguridad.

Conclusiones Informe ART 35. Resultados ENS. [org] Marco organizativo 80 [mp.s] Protección de los servicios [org.1] Política de seguridad [mp.info] Protección de la 70 [org.2] Normativa de seguridad información [mp.sw] Protección de las aplicaciones informáticas

60 50

[org.3] Procedimientos de seguridad

40

[mp.si] Protección de los soportes de información

30

[org.4] Proceso de autorización

20

[mp.com] Protección de las comunicaciones

[mp.eq] Protección de los equipos

[mp.per] Gestión del personal [mp.if] Protección de las instalaciones e infraestructuras [mp] Medidas de protección [op.mon] Monitorización del sistema

10

[op] Marco operacional

0

[op.pl] Planificación

Q(25) Q(50) Q(75)

[op.acc] Control de acceso [op.exp] Explotación [op.ext] Servicios externos [op.cont] Continuidad del servicio

20

IV Congreso Nacional de Interoperabilidad y Seguridad.

2-1

SIN CLASIFICAR

Asegurar la plena implantación del Esquema Nacional de Seguridad y articular los procedimientos necesarios para conocer regularmente el estado de las principales varia-bles de seguridad de los sistemas afectados.

- ART 34. Auditoría regular ordinaria, al menos cada dos años. Extraordinaria si -

hay modificaciones sustanciales. Según la categoría del sistema. Utilizarán (CCN-STIC 802):

 Criterios, métodos de trabajo y de conducta generalmente reconocidos,  Normalización nacional e internacional.

- El informe de auditoría deberá dictaminar sobre:

 Grado de cumplimiento del presente real decreto / Identificar sus deficiencias / Sugerir las posibles medidas correctoras o complementarias / Recomendaciones.

- Informes serán :

 Analizados por Responsable Seguridad / Aplicar por Responsable del sistema.  Sistemas de categoría ALTA, tras auditoría podrá acordar la retirada de operación

PROPUESTAS: a. ART 34. Auditorías. Más vinculantes ?? b. ART 35. Herramienta INÉS c. Extensión a resto de sistemas d. Programa de impulso en AAPP e. …//… www.ccn-cert.cni.es

21

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

Informe ART 35

Nueva versión Febrero 2014

www.ccn-cert.cni.es

22

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

Informe ART 35

www.ccn-cert.cni.es

23

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas) • Implantación de sistema de gestión de incidentes • Basado en Request Tracker (RT) y Request Tracker for Incident Response (RTIR) desarrollado por JANET-CERT y TF-CSIRT RTIR-WG.

• Personalizado para: • Cumplir los requisitos del ENS • Mejorar la coordinación entre CCN-CERT y los organismos • Mejorar intercambio de incidentes • Ofrecer un lenguaje común de criticidad y clasificación del incidente • Mantener la trazabilidad y seguimiento del incidente

• Automatizar tareas • Permitir integrar otros sistemas

23/02/2014

www.ccn-cert.cni.es

24

SIN CLASIFICAR

IV Congreso Nacional de Interoperabilidad y Seguridad.

Arquitectura - Sistema OpenSource: • Centos 6.4

LUCIA CCN-CERT

•

Virtualización KVM

•

Comunicación HTTPS/SOAP

•

Canal cifrado autenticado

-

Distribución de una máquina virtual preconfigurada a los organismos federados para los sistemas en local.

-

Actualizaciones de seguridad y versiones por parte del CCNCERT. Personalizaciones concretas por parte del organismo

-

http://www.linux-kvm.org

23/02/2014

y

LUCIA Organismo (Local)

www.ccn-cert.cni.es

LUCIA Organismo (Remoto)

LUCIA interconectado a otros sistemas

25

IV Congreso Nacional de Interoperabilidad y Seguridad.

SIN CLASIFICAR

Esquema de Federación de Sistemas LUCIA

23/02/2014

www.ccn-cert.cni.es

26

IV Congreso Nacional de Interoperabilidad y Seguridad.

•

SIN CLASIFICAR

CONCLUSIONES.

ENS 1.

RETRASO EN LA IMPLANTACIÓN.

2.

Responsable de seguridad no es suficiente. Necesidad de equipo de seguridad

3.

Pocas tareas de vigilancia de la red. No revisión de logs / No montorización.

4.

Dudas sobre aplicación de seguridad real. •

Configuraciones de seguridad a componentes de la red corporativa y portátiles. • Política de seguridad …. Restricción progresiva de permisos de usuarios 5.

•

Retraso en la protección de los servicios / Deficiencias en la gestión de incidencias.

ESTRATEGIA DE CIBERSEGURIDAD NACIONAL / Propuestas • ECSN. Ambiciosa. Sin presupuesto. • Extender ENS a todos los sistemas de las AAPP • Propuesta de Plan Específico para las AAPP. Desarrolla objetivos de la Estrategia.

www.ccn-cert.cni.es

27

IV Congreso Nacional de Interoperabilidad y Seguridad.

•

SIN CLASIFICAR

PROYECTOS 2014

ENS 1.

INES. Información ART 35.

2.

GESTIÓN DE INCIDENTES. LUCÍA. Intercambio de información. Empleo de herramientas comunes.

•

3.

IMPULSO AL ENS EN EL COMITÉ DE CIBERSEGURIDAD NACIONAL

4.

Actualización del RD 3 /2010.

CCN-CERT • SAT INTERNET. Extender el servicio a la ADMNISTRACIÓN LOCAL (Diputaciones y Ayuntamientos). • Despliegue herramientas de análisis de Anomalías. • Incrementar el intercambio de información técnica.

www.ccn-cert.cni.es

28

IV Congreso Nacional de Interoperabilidad y Seguridad.

E-Mails [email protected]

[email protected] [email protected] [email protected] [email protected] [email protected]

Websites www.ccn.cni.es www.ccn-cert.cni.es www.oc.ccn.cni.es

Gracias www.ccn-cert.cni.es

SIN CLASIFICAR