Post on 02-Dec-2018
transcript
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 2 2
ÍNDICE
1 Conceptos. Evolución. Definiciones
2 CCN-CERT
3 Vulnerabilidades y código dañino
4 Agentes de la Amenaza
5 Ciberespionaje
6 Otras amenazas
7 Parte defensiva
8 Conclusiones
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 3
Conceptos. Evolución. Definiciones
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 4
Año
Concepto
Seguridad Amenaza Cambios Tecnológicos
1980-90 Compusec
Netsec
Transec Naturales
Telecomunicaciones
Sistemas Clasificados
1990-2004 Infosec
Info. Assurance Intencionadas
Redes corporativas
Sist. Control industrial
Infraestructuras Criticas
2005-2010 Ciberseguridad
Ciberdefensa
Ciberespionaje
Ciberterrorismo
Telefonía móvil
Redes sociales
Servicios en Cloud
2010-2015 Ciberresiliencia
Seg. Transparente
Defensa activa
Ciberguerra
APT
Hacktivismo
BYOD
Shadow IT
…//…
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 5
Definiciones. Agentes de la amenaza
5
CIBERSEGURIDAD
La habilidad de proteger y defender las redes o sistemas de los ciberataques.
Estos según su motivación pueden ser:
CIBERESPIONAJE
Ciberataques realizados para obtener secretos de estado, propiedad industrial,
propiedad intelectual, información comercial sensible o datos de carácter personal.
CIBERDELITO / CIBERCRIMEN
Actividad que emplea las redes y sistemas como medio, objetivo o lugar del delito.
HACKTIVISMO
Activismo digital antisocial. Sus practicantes persiguen el control de redes o sistemas
(sitios web) para promover su causa o defender su posicionamiento político o social.
CIBERTERRORISMO
Actividades dirigidas a causar pánico o catástrofes realizadas en las redes y sistemas
o utilizando éstas como medio.
CIBERCONFLICTO / CIBERGUERRA
CIBERATAQUE
Uso de redes y comunicaciones para acceder a información y servicios sin
autorización con el ánimo de robar, abusar o destruir.
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 6
Access: Usuarios Equipos
Power: Controladores de dominio
Data: Servidores Aplicaciones
Tomando el control
1. Objetivos en masa / definidos
2. Usuarios con altos privilegios son el principal objetivo
3. Buscan credenciales “de lo que sea”
4. Búsqueda de credenciales cacheadas, cuentas de acceso a dominio, correo electrónico, etc..
5. Si logran acceder a toda la red, la empresa está perdida
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 7
CCN-CERT
CENTRO CRIPTOLÓGICO
NACIONAL
COMPUTER EMERGENCY
RESPONSE TEAM
EQUIPO DE RESPUESTA ANTE
CIBERINCIDENTES
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 8 8
MARCO LEGAL • Ley 11/2002 reguladora del Centro Nacional de
Inteligencia, • Real Decreto 421/2004, 12 de Marzo, que regula y
define el ámbito y funciones del CCN.
Real Decreto 3/2010, 8 de Enero, que define el
Esquema Nacional de Seguridad para la Administración Electrónica.
Establece al CCN-CERT como CERT Gubernamental/Nacional
MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el
centro de alerta nacional que coopere y ayude a responder de
forma rápida y eficiente a las Administraciones Públicas y a las
empresas estratégicas, y afrontar de forma activa las nuevas
ciberamenazas.
COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados y
sobre sistemas de la Administración y de empresas de interés
estratégicos.
HISTORIA
• 2006 Constitución en el seno del CCN
• 2007 Reconocimiento internacional
• 2008 Sist. Alerta Temprana SAT SARA
• 2009 EGC (CERT Gubernamentales Europeos)
• 2010 ENS y SAT Internet
• 2011 Acuerdos con CCAA
• 2012 CARMEN Y Reglas • 2013 Relación con empresas/ CCAA
• 2014 LUCÍA / MARTA
• 2015 SAT INTERNET Ayto / Diputaciones
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 9
RED SARA [SAT- SARA]
• Servicio para la Intranet Administrativa
• Coordinado con MINHAP-SEAP
• 48/54 Organismos adscritos
SALIDAS DE INTERNET [SAT INET]
• Servicio por suscripción
• Basado en despliegue de sondas.
• 70 Organismos / 82 sondas
• Últimas incorporaciones: Junta Castilla y León y
Ciudad Autónoma de Melilla / 2 compañías
Sistemas de Alerta Temprana (SAT)
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 10 10
12 COMPAÑIAS ESTRATÉGICAS
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 11 11
Incidentes de Seguridad. Año 2014
12.916 en 2014
12916
7263
3998
1914
458
193
0 2000 4000 6000 8000 10000 12000 14000
2014
2013
2012
2011
2010
2009
Incidentes
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 12
POR PELIGROSIDAD– Estadísticas
172
900 749
85 8 196
1532 2067
213 20 423
1938
3831
1033
38 273
1071
10168
1272
132
0
2000
4000
6000
8000
10000
12000
bajo medio alto muy alto crítico
2011 2012 2013 2014
Recogida de
Información
1,23%
Fraude
0,43%
Intrusiones
13,95%
Disponibilidad
0,65%
Contenido
Abusivo
0,14%
Código
Dañino
82,04%
Seguridad de
la información
0,94%
Otros
0,58% 1.404 MUY ALTO Y CRITICO en 2014
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 13
VULNERABILIDADES
CÓDIGO DAÑINO en 2014
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 14
10389 I-EXPLORER
Win Mobile
SAFARI
iPHONE
CHROME
ANDROID
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 15
Vulnerabilidades
www.ccn-cert.cni.es
PRECIOS EN ALZA POR
VULNERABILIDAD DIA CERO EN
EL MERCADO NEGRO /GRIS
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 16
Código Dañino 2014
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 17
Nuestra arma…. EL ANTIVIRUS
17
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 18
Agentes de la Amenaza
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 19
Ciberamenazas. Agentes. Conclusiones 2014
2. Ciberdelito / cibercrimen
HACKERS y crimen organizado
3. Ciberactivismo
ANONYMOUS y otros grupos
1. Ciberespionaje / Robo patrimonio tecnológico, propiedad intelectual
China, Rusia, Irán, otros… Servicios de Inteligencia / Fuerzas Armadas / Otras empresas
5. Ciberterrorismo
Ataque a Infraestructuras críticas y otros servicios -
+
+
=
4.Uso de INTERNET por terroristas
Objetivo : Comunicaciones , obtención de información, propaganda, radicalización o financiación
+
+
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 20
INFORME DE AMENAZAS
30/04/2015
4. RESUMEN EJECUTIVO 4.1 Las realidades más significativas de la ciberseguridad en 2014 4.2 Los elementos clave de la ciberseguridad. 4.3 Amenazas, agentes de la amenaza y objetivos. 4.4 Intereses.
4.5 Herramientas de las amenazas. 4.6 Las vulnerabilidades 4.7 Medidas de seguridad. 4.8 Ciberincidentes. Análisis de las amenazas generales
• Riesgos en Crecimiento (Watering Hole, dispositivos móviles
(BYOD), Cloud Computing, Redes Sociales, ataques DNS, ramsonware.
• Vulnerabilidades / Exploits/ Código dañino/ Correo electrónico, Web, Bases de datos….
• CCN-CERT IA-09/15 (159 páginas)
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 21
INFORME DE CIBERESPIONAJE 4. EL CIBERESPIONAJE: DE AMENAZA A REALIDAD
4.1 Los orígenes de las amenazas
4.2 La metodología del ciberespionaje: las APT
4.3 El Nivel de Complejidad del código dañino
4.4 Sectores / Áreas geográficas más atacadas
4.6 Países orígenes de los ataques
5. CAMPAÑAS DE CIBERESPIONAJE
5.1 Campañas con origen en Rusia
5.2 Campañas con origen en China
5.3 Campañas origen en Países hispano-hablantes
5.4 Campañas con origen en otros Países
5.5 Resumen de campañas más significativas.
6. INCIDENCIA EN ESPAÑA: ALGUNOS CASOS
7. DEBILIDADES DE LOS SISTEMAS DE PROTECCIÓN
8. PROTECCIÓN AVANZADA
9. CONCLUSIONES: ¿QUÉ HACER?
ANEXO A.CIBERCRIMEN – CIBERDELITO
ANEXO B. INFORMES SOBRE APT EN FUENTES ABIERTAS
CCN-CERT IA-10/15 Campañas Ciberespionaje (50 páginas) (DL)
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 22
INFORME DE AMENAZAS EJECUTIVO
30/04/2015 22 www.ccn-cert.cni.es
MEDIDAS NECESARIAS:
1. Incremento de la capacidad de vigilancia.
2. Intercambio de información de
ciberamenazas.
3. Protección frente a ciberataques tipo
DDoS.
4. Implantación segura de IPv6.
5. Uso de medidas criptográficas.
6. Protección y vigilancia de servicios
esenciales para la organización.
7. Impulso de la I+D+i en ciberseguridad.
8. Sensibilización a todos los niveles.
9. Formación en ciberseguridad.
10.Adecuación de la legislación.
CCN-CERT IA-09/15 Ejecutivo (30 páginas)
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 23
1.Muy probable: Nuevos ataques originados por Estados. Los ataques como servicio. La fusión de la ciberdelincuencia y las APT. Estabilización de los ataques de ciberactivistas.
2. Probable: Incremento del número de exploits-kits para Android. El “secuestro” de organizaciones. Incremento de los ataques contra Cajeros Automáticos y procedimientos de pago. Nuevas amenazas a los dispositivos móviles. Revelación de nuevas vulnerabilidades en software habitual.
3. Posible: Ataques contra Infraestructuras Críticas. Ataques contra Linux y OS-X. Los ataques contra Internet Of Things. (CCN-CERT IA-09/15 Ejecutivo (30 páginas))
Tendencias 2015
30/04/2015 23 www.ccn-cert.cni.es
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 24
Código Dañino. Nivel complejidad
Fuente: Resilient Military Systems and the Advanced Cyber Threat. Enero 2013
Clasificación por capacidades
Nivel 1 Profesionales que emplean desarrollos de código dañino y mecanismos de infección de terceros (usan exploits conocidos).
Nivel 2 Profesionales de gran experiencia que desarrollan herramientas propias a partir
de vulnerabilidades conocidas.
Nivel 3 Profesionales que se focalizan en el empleo de código dañino desconocido. Usan Rootkits en modo usuario y kernel. Usan herramientas de minería de datos. Atacan personal clave en las organizaciones para robar datos personales / corporativos para su venta a otros criminales.
Nivel 4 Grupos Criminales / esponsorizados por Estados organizados, con capacidades técnicas y financiados para descubrir nuevas vulnerabilidades y desarrollar exploits.
Nivel 5 Grupos esponsorizados por Estados que crean vulnerabilidades mediante programas de influencia en productos y servicios comerciales durante su diseño, desarrollo o comercialización o con la habilidad de atacar la cadena
de suministro para explotar redes / sistemas de interés.
Nivel 6 Estados con la capacidad de ejecutar operaciones conjuntas (ciber, de inteligencia y militares) para conseguir sus objetivos políticos, económicos, militares… 109 euros
SNAKE
REGIN
EQUATION
GROUP
106 euros
OCTUBRE
ROJO
103 euros
GRUPOS
CHINOS
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 25
Ramsonware
Botnets
Otro Malware
Carbanak
AGENT BTZ
Octubre Rojo
RCS
EQUATION GROUP
SNAKE
REGIN
PELIGROSIDAD DE LAS AMENAZAS
APT
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 26
Botnets
Otro Malware Ramsonware
TorrentLocker (10)
@india (3)
CryptoLocker (53)
CryptoWall (41) CTB-Locker (6)
Reveton (3)
etc.
292 Incidentes
CSN, MEYSS, MINETUR, Junta Extremadura,
MECD, CNI, Asturias, Canarias, Aragón, La
Rioja, IMSERSO, GISS, MINECO, SENER,
MINHAP, INECO, NAVANTIA, AENA, RENFE,
GUARDIA CIVIL,MSSI, CASTILLA LA MANCHA,
DGT, MJUSTICIA, ADMON, JUSTICIA, MAEC,
MFOMENTO, MINISDEF, OEPM, Mijas, BNE,
ORGANISMOS LOCALES,DIVERSAS EMPRESAS
Ransomware en 2015
Nº de
incidentes
CryptoWall 41
TorrentLocker 39
Critroni 11
Urausy 2
FileCoder 1
TeslaCrypt 1
CryptoDefence 1
Abril 2015
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 27
Carbanak AGENT BTZ
Más de 900 IP,s en España
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 28
EQUATION GROUP
SNAKE
REGIN
Equation Group
Ataque más avanzado (y más antiguo) conocido (2001,
¿1996?).
0-days usados más tarde en Stuxnet.
Varias etapas, modular.
“Validación” de objetivo y Sistema Operativo.
Rotura del airgap.
Técnicas sofisticadas de ocultación (sólo en el registro).
Infección del firmware del HDD.
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 29 29
Informes sobre APT,s en fuentes abiertas
www.github.com//kbandia/APTnotes
https://apt.securelist.com
2003 1 informe
2006 1 informe
2007 2 informes
2008 4 informes
2009 3 informes
2010 9 informes
2011 11 informes
2012 17 informes
2013 39 informes
2014 103 informes
2015 8 informes
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 30
2014 / 2015
SNAKE / UROBUROS / TURLA
Energetic BEAR / Dragonfly
Octubre Rojo---WEBDAV
GRUPO A…. APT1, CommentCrew, WebC2, COMMENT PANDA, ShadyRat
GRUPO B… Smooth Criminal, Tabcteng, DPD, LuckyCat, Leounica
GRUPO C … CloseTheDoors, VIXEN PANDA,
GRUPO E… MSUpdater, 4hParade, PUTTER PANDA,
GRUPO T… APT12 ETUMBOT, Clever Girl, NUMBERED PANDA
The Mask
MACHETE
SIESTA
RCS
BABAR (ANIMAL FARM)
REGIN
EQUATION GROUP
DESERT FALCONS
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 31
CASOS DE EJEMPLO
CrowdStrike
Global Threat Intel Report 2014
22 Pandas
1 Bear
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 32
Servidor C2 Puerto usado Geolocalización
av.ddns.us 443 China
usa.got-game.org 443 China
yeahyeahyeahs.3322.org 443 China
za.myftp.info 53 China
CASO 1: EMPRESA ESTRATÉGICA (Junio 2013/ Enero / Octubre 2014)
Vector de infección: spear phishing
Malware utilizado: Poison Ivy, malware propio
Canal de exfiltración de información: Amazon C3
Servidor de Mando y Control: servidor web español hackeado
Uso de mimikatz y gsecdump para el robo de credenciales
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 33
CASO 2: ORGANISMO GUBERNAMENTAL (Abril 2013 / Nov 2014 / Ene
2015….)
Vector de ataque: Spear Phishing
Código dañino: malware específico
Canal de exfiltración: HTTP POST / DNS Dinámicos / ¿HTTPS?
Canal exfiltración: CORREO ELECTRÓNICO
Uso de cifrado asimétrico : PGP y GPG
Infraestructura: Varios saltos
Server C2: Servidores web comprometidos (al menos 15)
Otras herramientas: mimikatz y gsecdump para robo de credenciales
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 34
30/04/2015 34 www.ccn-cert.cni.es
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 36
SERVICIOS EN CLOUD / CLOUD COMPUTING
CCN-STIC 823
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 37
REDES SOCIALES
El 75% de los españoles pertenece a alguna
de las siguientes REDES SOCIALES
Ingeniería social
Suplantación de identidad
Phishing y Pharming
Privacidad
Distribución de código dañino
Social Spammer y spam
Grooming
Sexting
Reputación virtual
Falta de control de los contenidos
“Usted le otorga a Facebook el derecho irrevocable, perpetuo, no exclusivo, transferible y mundial (con la autorización de acordar una licencia secundaria) de utilizar, copiar, publicar, difundir, almacenar, ejecutar, transmitir, escanear, modificar, editar, traducir, adaptar, redistribuir cualquier contenido depositado en el portal”.
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 38
~ ¯
BYOD / TELEFONÍA MÓVIL
Vulnerables al conectarse a redes Wi-Fi
empresariales basadas en autentificación 802.1x/EAP.
CCN-STIC 450/53/54/55/57
CCN-STIC 827
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 39
Teléfonos móviles. Código dañino
- Código dañino
Llamadas entrantes y salientes
Mensajes SMS,
Ficheros descargados
Las coordenadas GPS
Mensajeria (Whatsapp…)
Lista de contactos
Ejecución remota
de código
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 40
Teléfonos móviles. Como de seguro este tu PIN
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 41
Equipo
X
KAZAA
Descarga P2P software desde
Internet e instala equipo corporativo
Australia
Software escanea e identifica
Otros usuarios P2P
P2P empieza a compartir
musica, peliculas, y juegos
Algunos ficheros contienen
virus y Troyanos
VIRUS
VIRUS
Actividad P2P afecta a la organización y al rendimiento del
Personal.
Se puede comprometer la información del equipo
Europe
Asia
South
America Africa
Ficheros compartidos sin querer
INTERNET
Programas Potencialmente peligrosos PUP´s
Ancho Banda de la red
Misión
organización
P2P Actividad
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 42
42
La amenaza interna ¿?
No todos los ataques con éxito
basados en ingeniería social son
debidos a la ingenuidad de los
empleados, la mayoría de los
casos se debe a la ignorancia de
buenas prácticas de seguridad y
a la falta de concienciación
por parte de los usuarios del
Sistema
Cuanto más sofisticadas son las tecnologías empleadas para
proteger la información, los ataques se van a centrar más en
explotar las debilidades de la persona.
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 43
43
Soportes de Información
Número de tarjeta de crédito
Copias en legibles de los documentos cifrados
Los registros temporales con datos de clientes
Claves de acceso a sitios seguros
En los discos duros de los
ordenadores hay enormes cantidades
de datos ocultos para los usuarios,
pero fácilmente accesibles. Entre
estos datos se encuentran archivos
que ingenuamente creemos que
hemos borrado, claves de acceso,
versiones descifradas de archivos
confidenciales y todo tipo de rastros
sobre la actividad del equipo.
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 44
44
Vías de ataque
1. Inyección de código SQL
2. Cross-Site Scripting (XSS)
3. Rotura de autenticación
4. Insecure Direct Object Reference
5. Cross Site Request Forgery (CSFR)
6. Errores de configuración
7. …//…
Ataques servicios Web
CONFEDERACIÓN DE EMPRESARIOS DE LA RIOJA
SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 46
TIEMPOS DE RESPUESTA EN UN APT
VERIZON rp_data-breach-investigations 2012
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 47
Debilidades de Nuestros Sistemas de Protección
Falta de concienciación y desconocimiento del riesgo
Sistemas con Vulnerabilidades, escasas configuraciones de
seguridad y Seguridad Reactiva
Poco personal de seguridad y escasa vigilancia
Mayor superficie de exposición (Redes sociales, Telefonía móvil y
Servicios en nube)
Afectados NO comparten información. NO comunican incidentes
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 49
RECOMENDACIONES PROTECCION AVANZADA 1. AUMENTAR LA CAPACIDAD DE VIGILANCIA. Equipo de seguridad.
Consultoría externa
2. Herramientas de gestión centralizada de logs - Monitorización y
Correlación. • Trafico de red / Usuarios remotos / Contraseñas Administración ….
3. Política de seguridad …. Restricción progresiva de permisos de usuarios.
Aproximación práctica a Servicios en CLOUD / BYOD….
4. Aplicar configuraciones de seguridad a los distintos componentes de la
red corporativa , movilidad y portátiles.
5. Empleo de productos confiables y certificados
6. INTERCAMBIO DE INFORMACIÓN CON CERT,s (empleo IOC,s)
7. Aceptación del RIESGO por la dirección
…SE DEBE TRABAJAR COMO SI SE
ESTUVIERA COMPROMETIDO
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 50
Gracias
E-Mails
ccn-cert@cni.es
info@ccn-cert.cni.es
ccn@cni.es
sondas@ccn-cert.cni.es
redsara@ccn-cert.cni.es
ines@ccn-cert.cni.es
organismo.certificacion@cni.es
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 51
BUENAS PRÁCTICAS
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 52 52
SISTEMAS DE TRABAJO con AUDITORIAS DE SEGURIDAD PERIODICAS
Navegación segura en INTERNET.
- Empleo de máquinas virtuales / Arranque desde CD
- Equipos solo dedicados a esta actividad
Reinstalación de SO.
Correo electrónico
- Empleo de cifrado (GnPG / PGP / TOKEN).
- Correo Web con personal externo
- No previsualizar el correo.
Herramientas de control de integridad / búsqueda de código dañino
Antivirus actualizado
HijackThis… www.trendmicro.com/ftp/products/hijackthis/HijackThis.exe
Spybot search & Destroy…. www. Safer-networking.org/es/mirrors/index.html
Multiantivirus
RECOMENDACIONES DE SEGURIDAD (1)
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 53
Portátiles
- Discos duros cifrados … PGP / Truecrypt
- Empleo de etiquetas antimanipulación
- NO Permisos administración
Contraseñas
Telefonía móvil:
Redes Sociales
Soportes de información.
- Formatear USB,s / Control de información
- Paso de antivirus
- Borrado seguro de soportes
BSD Adaman / BC Wipe / Eraser
RECOMENDACIONES DE SEGURIDAD (2)
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 54
Recomendaciones movilidad
NO modificar el Sistema Operativo del teléfono para conseguir acceso
root / administrador.
Desconectar la red de datos cuando no se necesite.
Actualizar el teléfono periódicamente.
Revisar la factura de teléfono en busca de anomalías en tarificación y
datos.
Utilizar un PIN robusto.
No confiar en software de terceros.
Bluetooth solo cuando se necesite
Empleo de antivirus en equipos móviles
Uso de equipos cifrados
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 55
Recomendaciones Redes sociales /movilidad
Seguir las indicaciones de las guías CCN-STIC:
CCN-STIC 450 Seguridad en dispositivos móviles
CCN-STIC 453 Seguridad en Android
CCN-STIC 454 Seguridad en iPad
CCN-STIC 455 Seguridad en iPhone
Seguir las recomendaciones de los Informe Técnicos CCN-CERT:
CCN-CERT IA-17/12 Análisis de WhatsApp(Android). Vulnerabilidades.
CCN-CERT IA-01/13 Análisis de WhatsApp (iPhone). Vulnerabilidades.
CCN-CERT IA-03/13 Riesgos de uso REDES SOCIALES
CCN-CERT IA-08/12 Dropbox. Riesgos de uso
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 56
BUENAS PRÁCTICAS EN EL USO DE REDES SOCIALES
Creación cuidadosa del perfil. Protección con la
configuración de privacidad
No basarse en la configuración por
defecto que proporciona la
plataforma.
Usar opciones orientadas a la privacidad (comprobar quién
puede ver nuestras fotos, quién puede ponerse en contacto con nosotros y
quién puede añadir comentarios).
Leer con atención y de principio a fin la política de
privacidad y las condiciones y términos de uso de la red social que escojamos. Las
políticas de privacidad cambian continuamente y pueden afectar a los datos
que tenemos publicados
Reflexión sobre todo lo que se publica
Pensar muy bien qué imágenes, vídeos e
información escogemos para publicar, teniendo en cuenta
que todo lo que se publica deja de tener una
connotación privada y pasa a formar parte de los
contenidos de la comunidad y de la Red.
No publicar nunca información que no
compartiríamos con un desconocido en la calle: DNI,
dirección, teléfono etc.
Dé por sentado que todo lo que pone en una red social
es permanente. Aunque elimine su cuenta, cualquier persona en Internet puede
fácilmente imprimir fotografías o texto, guardar
imágenes y vídeos de un equipo.
Escoger cuidadosamente a nuestros amigos
Tener cuidado con lo que publicamos sobre otras
personas ya que podemos estar incluyendo información que esa persona puede no
aprobar.
Sea selectivo a la hora de decidir a quién acepta como amigo en una red social (los
ladrones de identidades pueden crear un perfil falso para obtener información
suya). Verificar todos nuestros contactos
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 57
No permita que examinen su libreta de
direcciones
Para evitar revelar las direcciones de
correo de sus amigos, no permita que los servicios de
redes sociales examinen su libreta de direcciones de
correo.
El sitio puede usar la información para
enviar mensajes de correo a todas las
personas de su lista de contactos e,
incluso, a cualquiera que le haya enviado
un mensaje.
Prestar atención a los servicios basados en la
localización y a la información de nuestro
teléfono móvil
Desactivar los servicios basados en
la localización geográfica cuando
no los estemos usando. La
geolocalización puede ser utilizada
por delincuentes (no solo hackers) ya que aporta información sobre la ubicación
exacta del usuario o de las fotos que se
etiquetan. Facebook, Twitter, Google+ o Tuenti
cuentan con aplicaciones como
Google Maps.
Precaución con los enlaces
Evitar hacer clic en hipervínculos o
enlaces de procedencia dudosa para
prevenir el acceso a sitios que posean
amenazas informáticas.
Recuerde que este tipo de enlaces pueden estar
presentes en un correo electrónico,
una ventana de chat o un mensaje en una red social.
BUENAS PRÁCTICAS EN EL USO DE REDES SOCIALES
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 58
No permita que examinen su libreta de direcciones
Para evitar revelar las direcciones de correo de sus amigos, no permita que los servicios de redes sociales
examinen su libreta de direcciones de correo.
El sitio puede usar la información para enviar
mensajes de correo a todas las personas de su lista de
contactos e, incluso, a cualquiera que le haya
enviado un mensaje.
Prestar atención a los servicios basados en la localización y a la información de nuestro teléfono
móvil
Desactivar los servicios basados en la localización geográfica cuando no los
estemos usando. La geolocalización puede ser
utilizada por delincuentes (no solo hackers) ya que aporta
información sobre la ubicación exacta del usuario
o de las fotos que se etiquetan. Facebook, Twitter,
Google+ o Tuenti cuentan con aplicaciones como
Google Maps.
Precaución con los enlaces
Evitar hacer clic en hipervínculos o enlaces de procedencia dudosa para
prevenir el acceso a sitios que posean amenazas
informáticas. Recuerde que este tipo de enlaces pueden estar presentes en un correo electrónico, una ventana de
chat o un mensaje en una red social.
BUENAS PRÁCTICAS EN EL USO DE REDES SOCIALES
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 59
Escriba la dirección de su sitio de redes sociales
directamente en el explorador
Configurar la navegación por el protocolo HTTPS, permite que todos los
ataques relacionados a la interceptación de
información que viaja en texto claro (legible) a través de redes de computadoras,
sean controlados.
Con el protocolo HTTPS, todos los datos “no solo el usuario y la contraseña” viajarán cifrados y serán ilegibles para cualquier
atacante en la red.
Tenga cuidado de instalar elementos adicionales en
su sitio
Para descargar y usar aplicaciones de terceros de
forma segura, tome las mismas precauciones de seguridad que toma con
cualquier otro programa o archivo que descarga de
Internet.
Revisar la información publicada acerca de
usted mismo
Un método común utilizado por los atacantes para
obtener información financiera de otras cuentas
es haciendo clic en el vínculo “¿Olvidó su
contraseña? En la página de inicio de sesión. Para
entrar en su cuenta buscan las respuestas a sus
preguntas de seguridad como, por ejemplo, su cumpleaños, su ciudad
natal, clase del instituto…
4. BUENAS PRÁCTICAS EN EL USO DE REDES SOCIALES
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 60
Seguridad de las contraseñas:
Utilice contraseñas con al menos 8 caracteres, complejas que incluyan
números, símbolos y signos de puntuación.
No comparta la misma contraseña para todas las redes sociales ni para
el resto de servicios de Internet.
Utilice un gestor de contraseñas tipo Keepass para guardarlas y mantenerlas almacenadas y seguras.
Nunca dejarlas escritas en papel en lugares a los que puedan acceder otras personas.
SEGURIDAD DE LAS CONTRASEÑAS
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 61
GESTIÓN DE CONTRASEÑAS
Muy débiles
•1-3 caracteres.
•Solo minúsculas o solo mayúsculas.
•Palabras de diccionario, en cualquier idioma.
•123, abc, hola.
Débiles
•4-8 caracteres.
•Una variación mayúscula / minúscula.
•Un solo número.
•Sin caracteres especiales.
Buenas
•8-12 caracteres.
•Variación Mm.
•Pocos números.
•Un carácter especial.
•Fácil de recordar.
Fuertes
•12 -16 caracteres.
•No es evidente.
•Varios caracteres especiales, números y variaciones Mm, repeticiones.
Muy fuertes
•16+ caracteres.
•Difícil de recordar, nada evidente.
•L337 speak.
•Sin repeticiones.
•No adyacencias.
FEDERACIÓN EMPRESARIOS DE LA RIOJA SIN CLASIFICAR
www.ccn-cert.cni.es 30/04/2015 62
Recomendación Sugerencia Ejemplo
Empieza con una oración o dos.
(Unas 10 palabras) Piensa en algo significativo para tí.
Ejemplo sencillo de contraseña
fuerte. Piensa en oraciones que
recordarás. (10 palabras)
Convierte la oración en una fila de
letras. Usa la primera (o n-ésima) letra de cada
oración. esdcfpeoqr (10 caracteres)
Agrega complejidad. Convierte a mayúsculas solo las letras en
la primera mitad del alfabeto. EsDCFpEoqr (10 caracteres)
Agrega longitud con números. Agrega números que tengan significado
para tí entre las dos oraciones. EsDCF06pEoqr (12 caracteres)
Agrega longitud con puntuación. Agrega un signo de puntuación al principio
o al final. :EsDCF06pEoqr (13 caracteres)
Agrega longitud con símbolos. Coloca un símbolo al principio o al final. :EsDCF06pEoqr# (14 caracteres)
GENERAR UNA CONTRASEÑA FUERTE