CIBERDEFENSA

IX CICLO DE CONFERENCIAS UPM TASSI

Juan Carlos BATANERO
6 Marzo 2013, Madrid

NDICE

La Amenaza
La Respuesta

Perspectiva a Futuro
Indra

El Ciberespacio
El uso comn se refiere a los sistemas de informacin y
proceso de datos interconectados por redes de
comunicaciones

qu
es?

La palabra proviene del griego

ciberntico () piloto o timn usado por el
matemtico Norbert Wiener
para describir la tecnologa de
sistemas de control
RAE
mbito artificial creado por
medios informticos

Reconocido por el Pentgono como el quinto dominio

de la guerra junto a tierra, mar, aire, y espacio

La primera vez que se

utiliz el trmino
CIBERESPACIO fue en el
libro Neuromancer (1984)
de William Gibbson para
denominar a Matrix, el
entorno virtual de sus
novelas.

Ficcin o Realidad

4
4

Los Paradigmas estn cambiando

COTS

Cloud Computing

STUXNET

5
5

Cronologa de ciberataques

Primer gusano
Morris 1988,
hacks de la
NASA y
Pentagon

Primeros
ataques
telefnicos
1870

19
00

19
70

19
80

Arpanet se
convierte en
Internet

19
90

20
00

Stuxnet, Conficker,
Ghostnet, Night
Dragon, Aurora,
Anonymous, Antisec,
Shady Rat, APT, etc.

20
07

20
11

Primer DDoS
contra un pas,
Estonia
6

Aumento en sofisticacin e impacto

Stuxnet

NIVEL
DE
SOFISTICACIN

Conficker

APT Ghostnet,
Night Dragon, Titan
Rain, Shady Rat,
Aurora
Anti-

Pentagon
hackeado por
Tenenbaum
Crackeo
de Enigma

Primeros
ataques
telefnicos

1900 1930

Ataques
telefnicos
masivos en
EEUU

Hack de
DoD, NASA,
USAF por Gusanos CodeRed,
Datastream Nimda, Kornoukova,
Sadmind, slapper,
Kevin
Iloveyou,
Mitnick
Estonia
Mellissa,
DDoS
Blaster, etc
Gusano
Morris

19701980 1990

2000

sec

Anonymous

2010

2012
7

Evolucin de los atacantes y su motivacin

Profesionales,
equipos de
ciberguerra, mafias,
hacktivistas, con
motivos polticos o
estratgicos

RECURSOS

Experimentacin e
investigacin
de tecnologas
nuevas

1970

Hackers,
motivados
por curiosidad,
pero la mayora
benignos

1980

1990

Script kiddies,
intentando
causar daos
y hacerse
famosos pero
sin objetivos
claros

2000

Cibercriminales,
con motivos
comerciales,
phishing, malware,
bots

2005

2010
8

La Jungla del Ciberespacio

Lulzsecurity

Wikileaks

Anonymous

Operacin
Buckshot Yankee
Hacktivismo

Venganza

Entretenimiento

9
9

Advanced Persistent Threat

Operacin Aurora
Intrusiones confirmadas en las redes de varias
empresas americanas de software
Cdigo fuente de su software robado.
Operacin Night Dragon
Ataques profesionales contra empresas
de energa.
Ghostnet
Varias embajadas, consulados y ministerios de
asuntos exteriores infiltrados por el ejercito
chino durante aos.
Ataque contra el ministerio de hacienda
canadiense en marzo 2011.
Titan Rain
Intrusiones en las redes de las FFAA de los
EEUU, la NASA y empresas de defensa desde
2003.

Motivo espionaje con decenas de miles de

millones de en juego

11

Nuevo contexto y las ciberamenzas

Guerra asimtrica
Irrupcin de ciberactivistas y
ciberterroristas.
Nuevos tipos de amenazas:
Amenazas Persistentes Avanzadas (APT,
APA).
Subversive Multi-Vector Threats (SMT).
Advanced Evasion Techniques (AETs).

La identificacin de estas amenazas es

clave para poder protegerse de las
mismas, as como lo es el intento de
prediccin de futuras amenazas
todava desconocidas

12

El Conflicto asimtrico

13
13

Caracterizacin

Ciberguerra - la guerra asimtrica

Pequeos actores pueden tirar las IICC de un pas.
Toda nuestra vida depende de sistemas SCADA que son

altamente vulnerables: Tiendas, fabricas, autopistas, trenes, etc.

Los americanos han expresado su voluntad de que un ciberataque

pueda ser contestado con un ataque cintico o fsico.

Es difcil asignar culpabilidad.
Es difcil decidir un nivel de proporcionalidad para una respuesta.

Actores independientes del estado,

son patrocinados por los estados
Ataques lanzados por un cibercriminal,

patrocinado por el estado.

En el ataque a Georgia se coordinaron

Los gobiernos entienden que hay

una amenaza, pero no entienden
bien como combatirla
Ahora los problemas fundamentales

son logsticos y organizativos.

los ataques cibernticos con los fsicos.

14

NDICE

La Amenaza

La Respuesta
Situacin y Perspectiva a Futuro
Indra

Qu entendemos por Ciberdefensa?

Como concepto GENERALISTA,
es el conjunto de medidas
tcnicas, polticas y organizativas
enfocadas a proteger los sistemas
de informacin, comunicaciones y
control ante ciberataques de
cualquier ndole

Como concepto MILITAR,

se centra en las medidas tcnicas,
polticas y organizativas que protegen
los sistemas y redes militares de
ciberataques, e incluye las
capacidades de reaccin y ataque
propias de un conflicto armado
(utilizando el ciberespacio)

La proteccin puede extenderse a

sistemas de informacin de terceros
(civiles) que puedan resultar crticos para
la nacin o la misin.

Desde un punto de vista prctico, la

ciberdefensa se sustenta mayoritariamente
en tecnologa de ciberseguridad
ampliamente probada y desplegada en el
sector civil.

No obstante, y debido a la situacin

tecnolgica actual, surge la necesidad de
desarrollar nuevas tecnologas as como
reorientar las ya existentes.
16

Qu entendemos por Ciberdefensa?

La Ciberdefensa persigue diferentes objetivos
complementarios, que, juntos aportan una garanta
suficiente respecto al grado de prevencin,
resistencia y recuperacin de los sistema
de informacin ante un ciberataque:

Debe prevenir la ocurrencia de

ciberataques, eliminando la
oportunidad.

Debe proteger a los sistemas de

informacin en caso de ocurrencia de
un ciberataque, impidiendo que ste
sea satisfactorio.

Debe detectar la ejecucin en curso,

incluso en etapas tempranas.

Debe facilitar la reaccin rpida que

posibilite la recuperarse a un estado
estable previo al ciberataque, en
caso que ste haya sido satisfactorio,
y de manera que el impacto en el
negocio sea mnimo.

Adicionalmente, debe incorporar

la capacidad de disuadir a un
adversario potencial de la ejecucin de
ciberataques (prevencin), mediante la
implantacin de medidas que
impliquen:

Consecuencias penales.
Acciones militares de respuesta
sobre el ciberespacio.
17

CICLO DE MEJORA CONTINUA

Un esfuerzo de todos
Directrices

Define Norma y
Procedimientos
Mtricas

Implanta
soluciones
que opera

Supervisa la
Implantacin
Supervisa
la Operacin
18

El papel de la Tecnologa
En la seguridad la clave de gestionar las amenazas es tener una visibilidad del
entorno global del riesgo
Prcticas Seguridad Tradicionales Mecanismos Proteccin Actuales

AV/AM
Control de Acceso
Gestin de Vulnerabilidades

Nuevas Tecnologas
Avanzadas

Anlisis Malware
Anlisis Forense

DRA/DRM

IDS/IPS

DLP/IRM

SIEM

Otros

Intrusion detection/
prevention system

Security Information and

Event Management

Dynamic Risk
Assessment/Management

Data Leak Prevention

Info. Rights Management

CiberInteligencia, DataDiode,
Simulacin Avanzada
19
19

Overt
unknown
malware

CONFIGURATION

ASSESSMENT
Known
application
exploits

VULNERABILITY

YOUR DATA

ANTI VIRUS

FILTERING
Malicious
websites

EMAIL/WEB

INTRUSION

Unapproved
communication
channels

FIREWALLS

Known bad
code
behaviors

PREVENTION

Known
malware

MANAGEMENT

Proteccin Tradicional: Defensa en profundidad

Advanced
Persistent
Threats
Rootkits
ENDPOINT
Morphing
Malware
Zero-days
Insider Threats

2010 IT-Harvest

La mentalidad de fortaleza no funciona en el Ciberespacio. No podemos protegernos

detras de una Linea Maginot de cortafuegos.. Si permanecemos quietos durante un
minuto nuestro adversario nos adelantar.
William Lynn, U.S. Deputy Secretary of Defense. January 2010

20
20

Fases Ciberataque y contramedidas para la Ciberdefensa

Fases de un ataque APT

1.

2.

3.

4.

5.

6.

7.

Plannign &
Info
Gathering

Attack &
Compromise
(Breach)

Establish
Command &
Control

Authorization
& Credential
Theft

Manual
Exploitation &
Info
Gathering

Data
Ex-filtration

Maintain
Persistence

Training &
awareness

Traditional
defense &
prevention (vuln
mgmt, end-point
sand perimeter
security)

Prcticas Seguridad Tradicionales

Network layering
enhanced
monitoring & APT
detection
methods

Hardening, policy
enforcement,
training & endpoint security

Increased
network & OS
logging &
auditing with
advanced
monitoring
techniques

Mecanismos Proteccin Avanzados

Extended
monitoring at,
application, BD
levels, data
cleaning &
destruction.
Implement DLP

Advanced
anomaly and
behavioral
monitoring &
advanced APT
detection
methods

Nuevas Tecnologas Avanzadas

2011 Solutionary, Inc.

21

Cambio de paradigma

La seguridad como un proceso continuo totalmente

integrado con el resto de procesos de las

organizaciones.
Capacidad para analizar, comprender y reaccionar
Seguridad proactiva en tiempo real.
Seguridad ligada al contexto.
22

Estados Unidos toma la iniciativa

ESTADOS UNIDOS

Febrero 2003

Mayo 2009

Septiembre 2010

Febrero 2011
24

Europa se prepara
REINO UNIDO

Junio 2009
Estrategia de
Ciberseguridad

Primavera 2011

Estrategia de
Ciberdefensa. Sin
publicar.

Octubre 2010
Estrategia Nacional de
Seguridad

Junio 2011
Informe Parlamentario
sobre Ciberseguridad

ALEMANIA

Octubre 2005
Plan Nacional sobre
Proteccin Infraest.
Informacin

Febrero 2011
Estrategia de
Ciberseguridad

FRANCIA

Junio 2008

Libro blanco sobre

Defensa y Seguridad
Nacional

Diciembre 2005

Plan de

Implementacin de
proteccin de IICC

Febrero 2011
Defensa y Sguridad de los
sistemas de informacin
25

Iniciativas Supranacionales
LA OTAN
define un nuevo concepto estratgico
Los asesores de poltica de las naciones de la OTAN
se reunieron en Bruselas, el 25 de Enero 2011 para
intercambiar opiniones sobre como desarrollar la
poltica de Ciberdefensa de la Alianza. Discutieron
como la OTAN puede proporcionar valor aadido para
la defensa conjunta de la Alianza contra
ciberamenazas y como usar los activos y capacidades
de la OTAN en el campo de la Ciberdefensa

Durante la apertura, el Secretario General de la OTAN

remarc que los ciberataques estn creciendo tanto en
frecuencia como sofisticacin. Decidimos en la Cumbre
de Lisboa el pasado Noviembre 2010 que la OTAN
tendr que dedicar una mayor atencin al ciberespacio.
Simplemente no puede haber seguridad verdadera sin
ciberseguridad.
26
26

Iniciativas Supranacionales
UNIN
EUROPEA
En la Unin Europea
ha habido dos
iniciativas: ENISA y
euCERT.

Estrategia Europea de Ciberseguridad

(Publicada en Febrero de este ao)

"An Open, Safe and Secure Cyberspace" - represents the

EU's comprehensive vision on how best to prevent and
respond to cyber disruptions and attacks. This is to further
European values of freedom and democracy and ensure the
digital economy can safely grow. Specific actions are aimed at
enhancing cyber resilience of information systems, reducing
cybercrime and strengthening EU international cyber-security
policy and cyber defence.

The strategy articulates the EU's vision of cyber-security in

terms of five priorities:
Achieving cyber resilience
Drastically reducing cybercrime
Developing cyber defence policy and capabilities related to
the Common Security and Defence Policy (CSDP)
Developing the industrial and technological resources for
cyber-security
Establishing a coherent international cyberspace policy for the
European Union and promoting core EU values
27

Nuestro Pas no es una excepcin

ESPAA

ESPAA

RESPONSABILIDADES DEL
JEMAD EN EL MBITO DE LA
CIBERDEFENSA MILITAR:

Definir las implicaciones en el uso del

ciberespacio derivadas del Concepto
de Estrategia Militar
Noviembre 2010
Esquema Nacional
de Seguridad

28 de abril
Ley 8/2011, medidas para
la proteccin de las
infraestructuras crticas

Estudiar y evaluar la amenaza en el

ciberespacio desde el punto de vista
militar

Promulgar la doctrina conjunta al

respecto
Definir e impulsar el desarrollo de la
capacidad de ciberdefensa militar que
permita garantizar el uso del
ciberespacio en la conduccin de las
operaciones militares
CM 24 junio, 2011
Estrategia
Espaola
Seguridad

20 de mayo
RD 704/2011, aprobacin
Reglamento de proteccin
infraestructuras crticas

Asegurar la eficacia operativa de las

FAS en el mbito de la ciberdefensa
28

NDICE

La Amenaza
La Respuesta

Perspectiva de Futuro
Indra

El Futuro est por construir

In cyberspace, the balance of power is on the side of the attacker.

Attacking a network is much easier than defending a network

That may change eventfully- there might

someday be the cyberspace equivalent of
trench warfare, where the defender has the
natural advantage - but not anytime soon

Bruce Schneier
Schneier on Security
30

El Futuro est por construir

La media de los virus y ataques que hemos visto, no requieren ms

de unas decenas de lneas de cdigo. Por el contrario, el software
de seguridad que hace frente a estas amenazas y que se ha
desarrollado en los ltimos aos representa millones de lneas de
cdigo

31
31

Nuevo entorno y las ciberamenazas

Movilidad

Virtualizacin
Externalizacin y colaboracin
Cloud computing
Incremento consumo IT /
Redes Sociales
Industrializacin de hackers
Crimeware as a Service (CaaS):
HaaS, FaaS, DDoSaS,

Todas estas tendencias convergentes

hacen tambalearse las fronteras bien
definidas de los negocios. Las
infraestructuras de seguridad estticas ya
no son suficientes en un entorno altamente
dinmico, virtualizado y global, donde
pronto hablaremos de decenas de miles
de millones de dispositivos
interconectados y ya hablamos de
decenas de miles de millones de en
prdidas derivadas de los ciberdelitos

32

El Smartphone y el malware
Conforme ha crecido el uso de dispositivos
mviles inteligentes (smartphones), los
riesgos asociados a su uso tambin han
experimentado un crecimiento sin
precedentes, tanto el malware, como la
potencial prdida de datos

Aumento de riesgo
de prdida de
informacin
Aumento de riesgo
de malware para
mviles

Visin de Futuro para un Reto Actual

ORGANIZACIN

CONCIENCIACIN

Conciencia de
la Situacin

SOSTENIBILIDAD
PRESUPUESTARIA

ACTUALIZACIN
NORMATIVA Y
TECNOLGICA
35
35

Escalada de ciberataques

36

NDICE

La Amenaza
La Respuesta
Perspectiva a Futuro

Indra

Quines somos
Multinacional de Consultora y Tecnologa nmero 1 en
Espaa y de las principales de Europa y Latinoamrica
3.000 M ventas

42.000 profesionales

118 pases

Tecnologa propia
I+D+i: 7%-8% ventas
38

Organizacin abierta

Innovacin y sostenibilidad
42.000

Gasto en I+D+i 2011: 189 M

profesionales
83% titulados y de
alta cualificacin

europea de su
sector en
inversin en I+D
Instituciones del
conocimiento

1 compaa

200
universidades y
centros de
investigacin

174 alianzas con

2 compaa

Partners
Universidades
Profesionales

Proveedores

mundial de su
sector en los
Dow Jones
Sustainability
Indexes

Clientes

partners
Sociedad

Colaboracin con
fundaciones y
asociaciones

Centros de investigacin

39

Unidad de Ciberseguridad

En Indra entendemos

CIBERSEGURIDAD
como el conjunto de
tecnologas, procesos,
procedimientos y servicios
encaminados a proteger los
activos (fsicos, lgicos, o de
servicios) de una empresa u
organismo, que dependan en
alguna medida de un soporte
TIC

40

El Centro de Operaciones de
Ciberseguridad de Indra (i-CSOC)
se constituye como un centro de
referencia en Ciberseguridad a
nivel nacional e internacional

OBJETIVOS
Entorno fsico, y personal con las habilitaciones necesarias
para abordar proyectos clasificados
Servicios de seguridad gestionada: Monitorizacin de
seguridad, operacin de sistemas de seguridad, gestin de
vulnerabilidades y gestin de incidentes

Laboratorio avanzado para homologacin de productos, anlisis

de malware, anlisis forense y desarrollo de soluciones propias
Servicios de ciberinteligencia

Servicios de ciberseguridad en la nube.

Proyectos e iniciativas de I+D+i
Centro de formacin y fuente de conocimiento de referencia en
materia de ciberseguridad

Muchas gracias por vuestra atencin

42

www.indracompany.com
www.indra.es