SEGURITECNIA Abril 2013 25 Ciberseguridad e Infraestructuras Críticas fesionales de la vertiente más física de la seguridad y los que tienen una re- lación menos directa con la Seguridad de la Información. Día 0: Detección El ejemplo escogido para este caso práctico fue una campaña de spam di- rigida a un operador crítico, al que su- puso graves consecuencias y un no- table esfuerzo devolver sus sistemas a la normalidad. La detección de una anomalía o de algún agente extraño marca el ‘día cero’ de este proceso. En este caso la vulnerabilidad se destapó a través de un archivo adjunto, concre- tamente un documento pdf que incor- poraba código malicioso. El Computer Emergency Response Team (CERT) de Inteco actúa rápida- mente y abre el archivo en un entorno controlado con el propósito de iden- tificar todas las acciones de este ma- lware . “Al ejecutarlo, vemos qué modi- ficaciones se producen en el sistema y qué comunicaciones realiza”, declaró Berciano. “Como parte de los procesos automáticos utilizamos una Sandbox con Jennings (herramienta analítica de código malicioso desarrollada por Inteco), que nos permitió comprobar qué proveedores de antivirus lograron detectarlo por firma”. A continuación viene la parte más compleja: el trabajo manual, que requiere algoritmos de ci- frado propietario. “Analizamos tráfico de red –continuó- para identificar do- minios o direcciones IP relacionadas con este ataque”. A partir de este instante, los profe- sionales del CERT generan patrones de desinfección, en colaboración con los proveedores de antivirus, con los que el centro mantiene una estrecha relación: “Ellos tienen motores de búsqueda muy Los grandes sucesos dependen de inci- dentes pequeños”, recordó Abad. Los servicios preventivos y de apoyo cubren alerta temprana, información sobre vulnerabilidades, malware e in- formes. Para fortalecer todo ello, CNPIC e In- teco tienen previsto hacer una ronda de contactos a partir de primeros de abril para formalizar acuerdos bilaterales, en los que se firme un memorándum de entendimiento entre las partes. En otra línea, los ponentes comen- taron que a partir del mes de julio es- tará en marcha el Sistema de Informa- ción Hermes que será el paraguas de Argos (para CNPIC, CNCA, FCSE…) y H3 (propietarios IC, gestores IC, minis- terios, FCSE…), plataformas de difu- sión limitada que están siendo certifica- das por el Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligen- cia (CNI). Para estar bien preparados ante un ataque a una infraestructura crítica, es necesario incrementar también la reali- zación de simulacros y ejercicios comu- nes, como los que se han ido haciendo hasta ahora y en los que ha partici- pado España: Cyber Europe 2010, Cy- ber Atlantics 2011, Cyber Europe 2012 o Jornadas PSCIC 2012. “El convenio ha sido un gran paso para seguir trabajando en estos entre- namientos”, aseguró Abad. Supuesto práctico Javier Berciano, coordinador de Ser- vicios Reactivos de Inteco-CERT, ex- puso ante el concurrido aforo, paso a paso, cómo se gestiona un incidente de seguridad en un centro de res- puesta (CERT, por sus siglas en inglés). La aproximación de Berciano resultó especialmente ilustrativa para los pro- por el CNPIC, con acceso por parte de ambas instituciones. La comunicación es a través de
[email protected] y, para otras consultas,
[email protected]. El papel del CNPIC y de Inteco ante un incidente grave a una infraestructura crítica será el de evaluar el impacto, se- gún Catálogo de Infraestructuras Estra- tégicas (IE), y en base a un acuerdo de Public Private Partnership (PPP) de con- fianza y confidencialidad, cubrir el ciclo de protección completo (evaluación, prevención, detección y respuesta). Para Miguel Ángel Abad, “los opera- dores de IC no son iguales, por lo que existen diferentes casuísticas con las que el modelo de gestión puede res- ponder: resolución interna, con enlace del CERT-IC con Fuerzas y Cuerpos de Seguridad del Estado (FCSE), otros CERT y colaboradores internacionales; reso- lución parcial, con apoyo de acciones más concretas como análisis de ma- lware ; y respuesta completa por parte del CERT-IC. Plataforma global Con el modelo que propone la Admi- nistración, se pretenden cubrir todos los aspectos. Respecto a la evaluación y preven- ción, CNPIC e Inteco tienen establecido un protocolo interno para valorar la prioridad del incidente, pero son cons- cientes de que todos y cada uno tienen su relevancia: “Como dijo Demóstenes: MODELO DE GESTIÓN DE INCIDENTES EN IC Y CASO PRÁCTICO Miguel Ángel Abad, jefe de Seguridad Lógica del Centro Nacional para la Protección de Infraestructuras Críticas Para estar bien preparados ante un ataque a una infraestructura crítica, es necesario incrementar la realización de simulacros y ejercicios comunes