El pasado 11 de marzo tuvo lugar una Jornada, organizada por el CCN-CERT, del Centro Criptológico Nacional, que reunió a decenas de representantes de Administraciones Públicas y de empresas con el objetivo de compartir experiencias en el manejo del Sistema de Alerta Temprana (SAT) y seguir detectando las principales amenazas y ataques que se ciernen sobre los sistemas informáticos de estas organizaciones. En esta Jornada participaron representantes de Entidades Locales y de la FEMP.
El encuentro se celebró justo en un momento en el que la intensidad y sofisticación de los ciberataques dirigidos contra las Administraciones y empresas se incrementa día a día. Durante el año pasado el CCN gestionó un total de 7.263 ciberincidentes, notificó más de 11.370 vulnerabilidades de hardware y software y realizó 50 informes de amenazas y código dañino.
El Sistema de Alerta Temprana, protagonista de la Jornada que tuvo lugar en la Casa de la Moneda de Madrid, está diseñado para que pueda ser utilizado por todas las Administraciones Públicas y aquellas empresas catalogadas como estratégicas, que inició su andadura en el año 2009. En estos cinco años, 55 organizaciones públicas y privadas se han incorporado al servicio y han disfrutado de las ventajas que se le ofrecen en la protección de sus sistemas y en la contención y eliminación de las ciberamenazas.
Con esta herramienta se gestionaron en 2013 un total de 6.350 incidentes de ciberseguridad, lo que representa un 89% más que el año anterior. En 2014 se pretende proseguir con su implantación, incluidos los Ayuntamientos, afinar su funcionamiento e incorporar nuevas fuentes.
Sistema SAT
El Sistema de Alerta Temprana (SAT) de Internet detecta en tiempo real de las amenazas e incidentes existentes en el tráfico que fluye entre la red interna del Organismo adscrito e Internet. Su misión es detectar patrones de distintos tipos de ataque y amenazas mediante el análisis del tráfico y sus flujos. En ningún momento se centra en el análisis del contenido del tráfico, que no sea relevante en la detección de una amenaza.
Para su puesta en marcha es necesaria la implantación de una sonda individual en la red pública del Organismo, que se encarga de recolectar la información de seguridad relevante que detecta y, después de un primer filtrado, enviar los eventos de seguridad hacia el sistema central que realiza una correlación entre los distintos elementos y entre los distintos dominios (organismos). Inmediatamente después, el Organismo adscrito recibe los correspondientes avisos y alertas sobre los incidentes detectados.
La sonda es un servidor de alto rendimiento que incorpora varias herramientas de detección y monitorización y que cuenta con dos interfaces de red diferenciados: uno de análisis, que sólo lee el tráfico sin modificarlo y que es cuidadoso con los datos que puedan ser “sensibles”; y otro interfaz de gestión, conectado a través de Internet de forma segura con el sistema central de monitorización/correlación, haciendo uso de la infraestructura del Organismo o de una conexión independiente.
Despliegue de la sonda
Para proceder al despliegue de la sonda, el CCN estudia junto al Organismo la arquitectura de red actual, y se elige la mejor forma de integración en la red para que cause el menor impacto. La conexión entre la sonda y el sistema central se realiza siempre de forma segura, a través del establecimiento de un túnel OpenVPN. El establecimiento de este túnel cifrado se inicia desde la sonda hacia el sistema central y no es necesaria ninguna infraestructura adicional.
La sonda se gestiona completamente desde el CCN-CERT, no siendo necesaria la realización de tareas de administración por parte del personal del Organismo, salvo aquellas tareas puntuales que no pudieran realizarse de forma remota.
De forma general, salvo que se pacte otra cosa, la sonda vigilará el tráfico de salida a Internet, pero sin entrar en el tráfico interno del Organismo. Con los datos recibidos se realiza una correlación avanzada de eventos en el sistema central, permitiendo la detección de ataques distribuidos hacia los distintos organismos adscritos al sistema.
La gestión, actualización y mantenimiento del sistema central también está a cargo del CCN-CERT, que lleva a cabo tareas de administración, maduración de las reglas de detección e inclusión de nuevas funcionalidades y herramientas. Periódicamente se realiza la integración de numerosas reglas de detección, propias y externas, completando y ampliando la inteligencia del servicio y su capacidad de detección.
Los usuarios pueden acceder en tiempo real a información relevante de los eventos recibidos, a través de la consola de explotación o a través de los informes restringidos, donde cada Organismo puede ver exclusivamente los eventos e informes relacionados con su red monitorizada.
Más información en www.ccn-cert.cni.es y en www.ccn.cni.es