Jornadas TIC - Autoridad Portuaria de
Cartagena
Abel González Bello
Responsable CERTSI
Alberto Hernández
Director General
Gestión de ciberincidentes en
infraestructuras críticas: El CERTSI
Secretaría de Estado de Seguridad
Secretaría de Estado
para la Sociedad de la Información y la Agenda Digital
CNPIC
INCIBE
CERTSI
+
=
Año 2012
Acuerdo Marco de Colaboración:
Apoyo tecnológico
FCSE
¿Qué es INCIBE?
Entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de:
Ciudadanos Empresas, en especial de
sectores estratégicos
Catálogo de servicios para Operadores Estratégicos e IICC Servicio de Information Gathering Servicio de respuesta ante incidentes Servicio de alerta temprana Detección proactiva Servicio de Sensorización Servicio de compartición de amenazas ÍCARO CyberEx ENSI
5
[email protected] [email protected]
647 300 717
¿Cómo pasamos a la acción?
4.153
Red Académica (RedIRIS)45.689
Ciudadanos y empresas134
Infraestructuras críticas49.976
Incidentes gestionados2015
2016
26.331
3.995
363
(30 octubre 2016)30.689
+
69.028
CERTSI
¿Cuántos incidentes se detectan internamente y cuántos nos informan?
0 1000 2000 3000 4000 5000 6000 interno externo
+ 70 %
Campaña ENDESA
Fraude
9.776
1.158
SPAM416
Denegación de servicio12.599
Acceso no autorizado Virus, troyanos, gusanos, spyware5.398
Otros966
349
Escaneos de red27
Robo de informaciónTipología de incidentes gestionados
0 5 10 15 20 25 30 35 40 45 o ct.-13 n o v.-13 d ic .-13 en e.-14 feb .-14 mar.-14 ab r. -14 may. -14 ju n .-14 ju l.-14 ag o .-14 se p .-14 o ct.-14 n o v.-14 d ic .-14 en e.-15 feb .-15 mar.-15 ab r. -15 may. -15 ju n .-15 ju l.-15 ag o .-15 se p .-15 o ct.-15 n o v.-15 d ic .-15 en e.-16 feb .-16 mar.-16 ab r. -16 may. -16 ju n .-16 ju l.-16 ag o .-16 se p .-16 o ct.-16
Contenido abusivo Contenido malicioso Obtención de información
Acceso/Intrusión Disponibilidad Seguridad/Confidencialidad de la información Fraude HelpDesk Otros
Tipología de incidentes que afectan a entidades afiliadas como operadores críticos
Ciclo de vida de un incidente
Inicio del caso
Cuando se recibe la notificación, por parte de un tercero o alerta desde
el propio CERT
Respuesta
Tras un análisis del mismo y se da una primera
respuesta, con las acciones correctivas a tomar
Seguimiento o
actualizaciones
Comunicación bidireccional con el notificante y terceras partes afectadas(Operador estratégico, ISP, CERT, Policía, etc.)
Cierre del incidente
Una vez cerradas todas las vías de investigación y
resuelto el problema que generó el incidente
VULNERABILIDAD 0-DAY INFECCIÓN MALWARE RANSOMWARE DISTRIBUCIÓN DE MALWARE DENEGACIÓN DE SERVICIO AMENAZA APT DEFACEMENT
Tendencias de ciberataques: los ransomware y las ciberextorsiones
Impacto respecto a otros incidentes
15 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 2014 2015 2016Ransomware en el ámbito de los incidentes
Evolución histórica del Top 1
16 0 100 200 300 400 500 600 700 Incidentes de ransomware17 0 500 1000 1500 2000 2500 2014 2015 2016 51 2.016 1.735 Afectados al año
Evolución de afectados al año
Impacto económico
18 0 100000 200000 300000 400000 500000 600000 700000 800000 2014 2015 2016 22.770 653.490 739.220 Impacto económicoPerspectiva por ámbito de actuación
19
45% 54%
1%
Ransomware por público objetivo
Empresas: evolución anual
20 0 200 400 600 800 1000 1200 2014 2015 2016 32 705 1.179Impacto en los operadores IICC
21 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 2014 2015 2016 0 % 10 % 7 % 56 131 273Ransomware en el ámbito de los incidentes de IICC
Operadores IICC: evolución anual
22 0 5 10 15 20 25 30 2014 2015 2016 0 13 29Operadores IICC: evolución mensual
23 0 1 2 3 4 5 6 7Caso de éxito: campaña de suplantación a Endesa
Colaboración público-privada con Endesa
Caso de éxito en la compartición de Información: ÍCARO
26
1.227 URL
735 dominios
Servicio Antiransomware: soporte y descifrado
27 82% 0%3% 15%Total gestionados
Fuente: The Shadowserver Fundation
Colaboraciones con otros CERTs
Colaboraciones con otros CERT nacionales en 762 incidentes
¿Cuáles son los 20 países con los que más se ha colaborado?
0 5 10 15 20 25 30 FR US CH UK PT PL NL IT CO BR ZA VN TR RU KR IN EU CN AU AR
Lecciones aprendidas
Detección Notificación Apoyo a la
respuesta Análisis Respuesta a incidentes Detección proactiva Information Gathering Detector de incidentes
Alerta temprana Ciberejercicios
Compartición de
amenazas Preventivos
Sectorización y verticalización
Apoyo y asistencia para lograr el mayor nivel de ciberseguridad posible en las empresas
Sectorización y verticalización
Detectar conexiones a recursos maliciosos en internet
Servidores C&C.
Servidores comprometidos.
Distribución de malware.
Phishing.
Implementar indicadores de compromiso
APT.
Intrusión.
Ex-filtración de datos.Sectorización y verticalización
Vulnerabilidades 0day
Criticidad Recursos afectados Descripción Solución / mitigaciónInformes personalizados de la visión de un posible atacante
Information Gathering
Posibles vulnerabilidades detectadas Posible SW vulnerable
Dominios registrados
Subdominios encontrados IPs activas
Servidores web encontrados Vigencia de certificados
Compartir los IOC del malware conocido para facilitar la detección
Anonimización de la información compartida
Nodos de entrada para alimentación
Nodos de salida para obtención de información
Análisis de la información por parte de CERTSI
3 Fases implementadas Fase I: Ataque dirigido
Fase II: Roleplay
Fase III: Simulación de incidente Operadores estratégicos y críticos
Equipos participantes Países participantes Integrantes de equipos 39 21 266 Equipos confirmados Agua Energía 25 3 7 Financiero 10 Transporte 3 TIC 2 0 5 10 15 20 25 30 35 40 A rg en ti n a Braz il Can ad a Ch ile Co lo mb ia Do min ic an … Ec u ad o r Eg yp t G e o rg ia G u ate mala Hait i H o n d u ras Me xi co Mo ro cc o Pa n ama Per u Sp ain Tri n id ad an d … Tu n is ia Un ite d S tate s… Ur u gu ay 38 6 8 16 26 8 8 13 7 10 6 6 24 8 8 22 15 4 6 8 19
Ciberejecicios
INSTRUMENTOS Y GUÍAS
DE APLICACIÓN
Otras guías de aplicación C4V: Construcción Capacidades IMC: Indicadores Ciberresilienci a ARLI: Análisis de Riesgos LigerosAPOYO REGULATORIO
SA: Sistema de AcreditaciónSecretaría de Estado para la Sociedad de la Información y la Agenda Digital Secretaría de Estado de Seguridad
ENSI
C OLABOR A CI ÓNINSTRUMENTOS Y GUÍAS
DE APLICACIÓN
Otras guías de aplicación C4V: Construcción Capacidades IMC: Indicadores Ciberresilienci a ARLI: Análisis de Riesgos LigerosAPOYO REGULATORIO
SA: Sistema de AcreditaciónSecretaría de Estado para la Sociedad de la Información y la Agenda Digital Secretaría de Estado de Seguridad
ENSI
C OLABOR A CI ÓNEsquema Nacional de Seguridad Industrial
1. Politica del ENSI
2. Metodologia e indicadores del Modelo
de Ciberresiliencia
3. Metodologia e indicadores del Modelo
de Construcción de Capacidades
4. Metodología e indicadores del Modelo
de Analisis de Riesgos
Organized by:
> SUMM
ER
BOO
TCAM
P
20
16
SUMMER BOOTCAMP 2016 OEA Countrie s… Spain 42% Other … 180 estudiantes de 28 países Argentina Bahamas Barbados Belize Brazil Canada Chile Colombia Costa Rica Ecuador The Salvador United States of America Guatemala Haiti Spain Austria (2) Cyprus (2) Honduras Jamaica Mexico Nicaragua Panama Paraguay Peru Dominican Republic Surinam Trinidad and Tobago UruguaySíguenos en…
SÍGUENOS CONTACTO INFÓRMATE VISÍTANOS REPÓRTANOSInstituto Nacional de Ciberseguridad (INCIBE) https://www.incibe.es
incidentes, vulnerabilidades, fraude online, phishing, malware, etc.
[email protected] y [email protected]
Twitter, YouTube, Facebook, LinkedIn, G+.
@Incibe @Certsi_ @Osiseguridad @CyberCampEs @CiberEmprende
CERT de Seguridad e Industria (CERTSI) https://www.certsi.es
Oficina de Seguridad del Internauta (OSI) https://www.osi.es
CyberCamp https://www.cybercamp.es
Instituto Nacional de Ciberseguridad(INCIBE)