Listado Unificado de Coordinación de Incidentes y
Amenazas
PUNTO DE PARTIDA…MARCO LEGAL: • Real Decreto 421/2004, 12 de Marzo, que regula y define el ámbito y funciones del
CCN. • Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para
la Administración Electrónica. Establece al CCN-CERT como el CERTGubernamental/Nacional.
MISIÓN: – Ser el centro de alerta y respuesta de incidentes de seguridad, ayudando a las
AAPP a responder de forma más rápida y eficiente ante las amenazas deseguridad que afecten a sus sistemas de información.
COMUNIDAD– Sector público (Ley 40/2015)
HISTORIA – 2006 Creación del CCN-CERT– 2007 Reconocimiento internacional (FIRST, TERENA,..)– 2009 Sist. Alerta Temprana SARA (SAT-SARA)– 2010 Sist. Alerta Temprana INTERNET (SAT-INET)
¡¡¿¿Y AHORA COMO GESTIONAMOS TODA ESTA INFORMACIÓN??!!
PROBLEMÁTICA…
Incorporación de nuevas fuentes de información Incremento del volumen de incidentes Dificultad de seguimiento de los ciclos de vida Procedimientos y herramientas desfasados Procedimientos manuales de generación de métricas Intercambio de información con los organismos Inexistencia de un lenguaje común de clasificación de incidentes Aparición del Esquema Nacional de Seguridad
SOLUCIÓN…
METODOLOGÍA BASADA EN LA GUIA CCN-STIC 817
DESARROLLO E IMPLANTACIÓN DE LA HERRAMIENTA LUCIA
OBJETIVOS…
Dotar al CCN-CERT y a los organismos de una herramienta de gestión deincidentes de seguridad escalable de fácil integración y federación.
Uso de tecnología ampliamente utilizada y estable basada en el sistema deincidencias Request Tracker (RT) y su extensión para equipos de respuesta aincidentes Request Tracker for Incident Response (RT-IR).
Personalizada para cumplir los requerimientos y procedimientos del CCN-CERTy del ENS acorde con la guía de gestión de incidentes CCN-STIC 817.
Ofrecer un lenguaje común de peligrosidad y clasificación de los incidentes.
Mantener la trazabilidad y seguimiento de los incidentes.
Automatizar tareas (Notificaciones, recordatorios, cierres automáticos).
Construir una base de datos de conocimiento.
Información sincronizada y compartida entre los diferentes organismosadscritos.
Contar con una plataforma única y distribuida para la gestión de incidentes deseguridad en todos los organismos adscritos (SAT-SARA/SAT-INET/SAT-ICS).
CARACTERÍSTICAS…
Sistema OpenSource basado en Centos 7 (sin coste de licencias).
Distribución en formato máquina virtual preconfigurada para la instancia localde organismos federados.
Virtualización: VmWare (Propietario) / KVM (OpenSource).
Securización a nivel de sistema operativo y aplicativo mediante el uso decertificados de autenticación de cliente para el navegador.
Canales de sincronización cifrados y autenticados.
Protocolos de comunicación: HTTPS/REST/SOAP.
Actualizaciones de seguridad y versiones distribuidas desde el CCN.
Desarrollos evolutivos basados en las necesidades de los organismos.
Amplia documentación disponible. CCN-STIC 845 A/B/C/D
Intercambio de información entre el CCN-CERT e instancias federadas:
• Sincronización completa de los incidentes del SAT
• Sincronización de metadatos de incidentes propios del organismo
ARQUITECTURA DE SINCRONIZACIÓN
Incidentes de Seguridad - Tráfico unidireccional(Sólo información de metadatos del ticket)
REST
Incidentes de Seguridad - Tráfico bidireccional(Información completa del ticket del SAT)
CCN-CERT
AdministradoresCCN-CERT
OperadoresCCN-CERT
HTTPS
Com
pon
ente
de
Sin
cro
niz
ació
n
Com
pon
ente
de
Men
saje
ría
Segu
ra
APL
ICA
CIÓ
N D
E TI
CKET
ING
PR
OPI
ETA
RIA
SOAP Wrapper
SONDASAT-INET/SAT-SARA
SOAP Wrapper
APL
ICA
CIÓ
N D
E TI
CKET
ING
LU
CIA
SONDASAT-INET/SAT-SARA
- - - - - O - - - - -
- - - - - O - - - - -
REST
REST
REST
BENEFICIOS DE INSTALACIÓN DE INSTANCIA PROPIA
FUNCIONALIDADES DISPONIBLESLUCIA CENTRAL SAT
(CCN-CERT)
LUCIA
(ORGANISMO FEDERADO)
Gestión de incidentes propios del organismo NO SIGestión de incidentes SAT-INET / SAT-SARA / SAT-ICS SI SIAlmacenamiento de la base de datos Compartido Organismo
Herramienta integrada de envío de Incidentes sufridos en el
organismo de peligrosidad Muy Alto y Crítico al CCN en
cumplimiento del ENS (En desarrollo).NO SI
Remisión automática al CCN de metadatos sobre incidentes
propios. NO SI
Granularidad de perfiles de usuarios NO SI
Explotación de datos para informes (p. ej. INES) NO(excepto SAT)
SI
LUCIA - ORGANISMOS CON INSTANCIAS INSTALADAS (12)
LUCIA - ORGANISMOS EN PROCESO DE INSTALACION (9)…
… Y ALGUNO MAS QUE TODAVÍA NO HA CONTACTADO ;-)
(ARGENTINA)(POLICIA FEDERAL MEXICO)
EN QUE PUNTO NOS ENCONTRAMOS…
Versión estable LUCIA Rev2.0 (Septiembre 2015)
Actualización LUCIA Rev2.1 (Diciembre 2015)
Entrada en producción en el CCN-CERT (1 enero 2016)
Actualización LUCIA Rev2.2 (Enero 2016)
Actualización LUCIA Rev2.3 (Abril 2016)
Actualización LUCIA Rev2.4 (Mayo 2016)
Versión LUCIA Rev2.0.1 (Mayo 2016)
Revisión de la versión estable con script de automatización de la instalación de unainstancia de organismo. Instalación rápida sin errores de configuración manual
Federación de instancias de organismos (Mayo 2016)
Actualización LUCIA Rev2.5 (Junio 2016)
Versión LUCIA Rev2.0.4 (Septiembre 2016)
Actualización LUCIA Rev2.6 (Noviembre 2016)
SEGUIMOS MEJORANDO Y EVOLUCIONANDO…
Versión LUCIA 3.0 con las funcionalidades y mejoras de RT 4.4 y RTIR 4.0
Nuevos módulos de notificación de incidentes desde los organismos
Posibilitar la federación de instancias que no sean LUCIA
Evolución a una arquitectura LUCIA multinivel para organismos centrales
Lo mas importante… DESARROLLOS PARA LA INCORPORACIÓN DEFUNCIONALIDADES EN BASE A LAS NECESIDADES DE LOS ORGANISMOS
SEGUIMOS MEJORANDO Y EVOLUCIONANDO…
LUCIA CENTRAL CCN-CERT(ACTUAL ARQUITECTURA PLANA)
MCCD
ANDALUCÍA
MAEC
DTIC
EJÉRCITO1
DIVISIÓN
EJÉRCITO2
SEVILLA
DOS HERMANAS
CÓRDOBA
EMBAJADA1
EMBAJADA2
SEGUIMOS MEJORANDO Y EVOLUCIONANDO…
LUCIA CENTRAL CCN-CERT (EVOLUCIÓN)
MCCD ANDALUCÍA MAEC DTIC
EJÉRCITO1
DIVISIÓN
EJÉRCITO2 SEVILLA
DOS HERMANAS
CÓRDOBA EMBAJADA1 EMBAJADA2
LUCIA MULTINIVEL