CONCEPTO DE LAS OPERACIONES EN EL CIBERESPACIO Tcol. Javier López de Turiso y Sánchez Jefe del Estado Mayor del Mando Conjunto de Ciberdefensa 25 de mayo de 2016

La guerra es la continuación de la política por otros medios. Karl von Clausewitz La ciberguerra es la continuación de la guerra en otro medio. Anónimo

ÍNDICE ¿Por qué se hacen operaciones en el ciberespacio? El Estado – Nación. Instrumentos de poder. Niveles de decisión y mando. Objetivos. Operaciones militares. Entorno operacional. Área de operaciones de ciberdefensa (AOCD). Estructura. Terreno clave. Riesgos en el AOCD. Operaciones en el AOCD: Operaciones de red. Operaciones defensivas. Operaciones ofensivas. Operaciones de vigilancia y reconocimiento.

¿POR QUÉ LAS OPERACIONES EN EL CIBERESPACIO? EL ESTADO-NACIÓN GOBIERNO FUERZAS ARMADAS INSTITUCIONES ESTADO - NACIÓN INTERESES NACIONALES POBLACIÓN TERRITORIO

¿POR QUÉ LAS OPERACIONES EN EL CIBERESPACIO? INSTRUMENTOS DE PODER PODER: Capacidad de influir en el comportamiento de otros para alcanzar el resultado deseado. DIPLOMÁTICO MILITAR INFORMACIÓN ECONÓMICO PODER INSTRUMENTOS DE PODER: Herramientas de los estados para influir o presionar a otros para conseguir los intereses u objetivos nacionales.

¿POR QUÉ LAS OPERACIONES EN EL CIBERESPACIO? NIVELES DE DECISIÓN Y MANDO POLÍTICO DEBATE Voluntad del pueblo. Decisión de qué, cuándo, quién, dónde y cómo le interesa a la nación. Ministerio de Defensa (Ministro) ALINEAMIENTO ESTRATÉGICO Objetivos nacionales. Definición de los fines y objetivos nacionales. Fuerzas Armadas (JEMAD) PLANES OPERACIONAL Capacidad de la Fuerza. Empleo de herramientas y recursos para la consecución de los objetivos. Mando Operacional (CMOPS) Ofensiva: alterar, degradar, impedir, dañar, destruir. Defensiva: proteger, securizar, detectar, mitigar, recuperar. ARMAS TÁCTICO Habilidad de las unidades. Empleo de técnicas y procedimientos para la consecución de las tareas y misiones. Mandos Componentes (CMCCD, …)

¿POR QUÉ LAS OPERACIONES EN EL CIBERESPACIO? OPERACIONES MILITARES OBJETIVOS INTERESES NACIONALES OBJETIVOS NACIONALES OBJETIVOS MILITARES OPERACIONES MILITARES

¿POR QUÉ LAS OPERACIONES EN EL CIBERESPACIO? OPERACIONES MILITARES OPERACIÓN MILITAR: Conjunto de acciones militares encaminadas a alcanzar un objetivo militar en los niveles operacional y táctico (PDC-01). ENTORNOS OPERACIONALES: ENTORNO TERRESTRE ENTORNO NAVAL ENTORNO AÉREO ENTORNO ESPACIAL ENTORNO CIBERESPACIAL

¿POR QUÉ LAS OPERACIONES EN EL CIBERESPACIO? OPERACIONES MILITARES ENTORNOS OPERACIONALES: ENTORNO CIBERESPACIAL ENTORNO AÉREO ENTORNO TERRESTRE ENTORNO ESPACIAL ENTORNO NAVAL

¿POR QUÉ LAS OPERACIONES EN EL CIBERESPACIO? ENTORNO OPERACIONAL CIBERESPACIO: Dominio global y dinámico compuesto por las infraestructuras de tecnologías de la información, incluyendo internet, las redes y los sistemas de información y telecomunicaciones. (Estrategia de ciberseguridad nacional, 2013) Dominio global formado por los sistemas de información y telecomunicaciones y otros sistemas electrónicos, su interacción y la información que es almacenada, procesada o transmitida por estos sistemas. (NATO Cyber Defence Taxonomy and Definitions, 2014)

¿POR QUÉ LAS OPERACIONES EN EL CIBERESPACIO? ENTORNO OPERACIONAL NIVEL FÍSICO: Geográfico: ubicación geográfica tridimensional. Red física: servidores, terminales, electrónica de red, cableado, etc. DÓNDE NIVEL LÓGICO: Software: sistemas operativos, programas, protocolos de comunicaciones, servicios, etc. Normativa: procedimientos, políticas, estructura organizativa, etc. CÓMO, CUÁNDO NIVEL SOCIAL: Persona lógica: identidad digital, perfiles, avatares, etc. Persona física: individuo, organización, estado, etc. QUIÉN

¿POR QUÉ LAS OPERACIONES EN EL CIBERESPACIO? ENTORNO OPERACIONAL NIVEL FÍSICO: Geográfico: ubicación geográfica tridimensional. Red física: servidores, terminales, electrónica de red, cableado, etc. NIVEL LÓGICO: Software: sistemas operativos, programas, protocolos de comunicaciones, servicios, etc. Normativa: procedimientos, políticas, estructura organizativa, etc. NIVEL SOCIAL: Persona lógica: identidad digital, perfiles, avatares, etc. Persona física: individuo, organización, estado, etc. DÓNDE INFORMACIÓN CÓMO, CUÁNDO QUIÉN

¿POR QUÉ LAS OPERACIONES EN EL CIBERESPACIO? ENTORNO OPERACIONAL El ciberespacio es casi infinito. Necesario acotar el ámbito de actuación. RD 872/2014 y DEF 166/2015. Redes y sistemas de información del Ministerio de Defensa. Otras que se le encomienden y afecten a la Defensa Nacional. Área de Operaciones de Ciberdefensa (AOCD).

ÁREA DE OPERACIONES DE CIBERDEFENSA (AOCD) ESTRUCTURA NÚCLEO FIJO: redes y sistemas de información y telecomunicaciones del Ministerio de Defensa: En territorio nacional. En despliegues de las Fuerzas Armadas en operaciones en el exterior. Las que se le encomienden que afecten a la Defensa Nacional. ÁREAS VARIABLES: parte del ciberespacio de interés militar necesaria para: Garantizar el libre acceso, la libertad de acción y maniobra de las FAS. Responder a amenazas o agresiones que puedan afectar a la Defensa Nacional.

ÁREA DE OPERACIONES DE CIBERDEFENSA (AOCD) ESTRUCTURA El AOCD es dinámica. Depende del tipo de operación: AOCD Núcleo fijo Áreas variables* Operaciones de red √ Operaciones defensivas Operaciones ofensivas Operaciones de vigilancia y reconocimiento * En función de la operación.

ÁREA DE OPERACIONES DE CIBERDEFENSA (AOCD) TERRENO CLAVE La variabilidad del AOCD determina un concepto crítico en ciberdefensa: el TERRENO CLAVE (Cyber Key Terrain, C-KT). TERRENO CLAVE DEL CIBERESPACIO: Es cualquier área (física, lógica o social) cuya posesión, retención o disrupción proporciona a una de las partes combatientes una notoria ventaja táctica. Necesario conocer el C-KT: Propio: Lo que nosotros consideramos nuestro C-KT. Lo que el adversario considera nuestro C-KT. Adversario: Lo que nosotros consideramos su C-KT. Lo que el adversario considera su C-KT.

ÁREA DE OPERACIONES DE CIBERDEFENSA (AOCD) TERRENO CLAVE El AOCD es demasiado grande priorizar. El Comandante operacional debe determinar: Fines y objetivos de su misión. Tareas y funciones para alcanzarlos. Medios TIC necesarios para realizarlos. Criticidad, en función del impacto en la misión. Crear la CPDAL (Cyber Prioritized Assets List) Implantar defensas. Dedicar recursos.

ÁREA DE OPERACIONES DE CIBERDEFENSA (AOCD) RIESGOS EN EL AOCD RIESGO = P (amenaza) x impacto Consecuencias sobre la misión Determina criticidad del sistema Responsable misión Intel MCCD AMENAZA = actor + intenciones + capacidades + oportunidades Diplomacia, Ops. ofensivas (físicas) Disuasión (Ops. influencia) Ops. defensivas y ofensivas Ops. de red

OPERACIONES EN EL AOCD Operaciones de red. Operaciones defensivas. Operaciones ofensivas. Operaciones de vigilancia y reconocimiento.

OPERACIONES EN EL AOCD √ AMENAZA OPERACIONES DE RED OBJETO: que las redes/sistemas funcionen… de manera segura. Asegurar... ¿ante qué? RIESGOS Núcleo fijo Áreas variables* Operaciones de red √ Operaciones defensivas Operaciones ofensivas Operaciones de vigilancia y reconocimiento * En función de la operación. RED/SISTEMA Diseño Instalación Configuración Gestión Operación Optimización de recursos Mantenimiento Sostenimiento Respuesta a fallos RIESGO = P (amenaza) x impacto Actores Intenciones Capacidades Oportunidades AMENAZA AMENAZA = actor + intenciones + capacidades + oportunidades Diplomacia, Ops. ofensivas (físicas) Disuasión (Ops. influencia) Ops. defensivas y ofensivas Ops. de red Oportunidades Corrección de vulnerabilidades Vulnerabilidades DISPONIBILIDAD

OPERACIONES EN EL AOCD AMENAZA OPERACIONES DE RED OBJETO: que las redes/sistemas funcionen… de manera segura. Asegurar... ¿ante qué? RIESGOS RED/SISTEMA Diseño Instalación Configuración Gestión Operación Optimización de recursos Mantenimiento Sostenimiento Respuesta a fallos RIESGO = P (amenaza) x impacto AMENAZA Actores Intenciones Capacidades Oportunidades Corrección de vulnerabilidades Recuperación Restauración DISPONIBILIDAD

OPERACIONES EN EL AOCD MEDIDAS Y ACCIONES OPERACIONES DE RED MEDIDAS Y ACCIONES Realización de análisis de riesgos. Securización de redes y sistemas: instalación y configuración segura. Mantenimiento de la disponibilidad de los sistemas. Instalación y configuración de medios para garantizar la confidencialidad, integridad, autenticidad y trazabilidad. Mantenimiento preventivo, correctivo y evolutivo: corrección de vulnerabilidades, instalación de actualizaciones. Sistemas redundantes y balanceados. Dispersión de sistemas y servicios críticos. Segmentación de redes. Disponer de sistemas alternativos. Restauración y recuperación de sistemas: copias de seguridad. Etc…

OPERACIONES DEFENSIVAS OPERACIONES EN EL AOCD OPERACIONES DEFENSIVAS ¿QUÉ SON LAS OPERACIONES DEFENSIVAS? Conjunto de medidas y acciones encaminadas a detectar, identificar, interceptar, rechazar y neutralizar todo tipo de ataques o intentos de penetración en el AOCD. OBJETO: contrarrestar las capacidades de la amenaza. AMENAZA = actor + intenciones + capacidades + oportunidades Diplomacia, Ops. ofensivas (físicas) Disuasión (Ops. influencia) Ops. defensivas y ofensivas Ops. de red MEDIDAS DE DEFENSA INTERNA (MDI) Medidas y acciones dentro de la propia infraestructura encaminadas a detectar, identificar, interceptar, rechazar y neutralizar todo tipo de ataques o intentos de penetración en el AOCD. AOCD ACCIONES DE RESPUESTA (RA) Medidas y acciones en la infraestructura del adversario encaminadas a neutralizar todo tipo de ataques o intentos de penetración en el AOCD.

OPERACIONES DEFENSIVAS OPERACIONES EN EL AOCD OPERACIONES DEFENSIVAS ¿DÓNDE SE EJECUTAN LAS OPERACIONES DEFENSIVAS? Núcleo fijo Áreas variables* Operaciones de red √ Operaciones defensivas MDI AR Operaciones ofensivas Operaciones de vigilancia y reconocimiento * Infraestructura del atacante Comandante de la ciberdefensa: agilidad y rápida toma de decisiones. Redistribución recursos: temporales, materiales y personales. Ajustes de parámetros de detección, disminución de umbrales. Asignación de prioridades.

OPERACIONES DEFENSIVAS Indicadores de Compromiso (IoC) OPERACIONES EN EL AOCD OPERACIONES DEFENSIVAS ¿CUÁNDO SE EJECUTAN LAS OPERACIONES DEFENSIVAS? Reconocimiento Creación ciberarma Acceso sistema Explotación Instalación Mando y control Acciones en objetivo Indicadores de Compromiso (IoC) MDI AR Cadena de ataque Disparador: materialización de la amenaza ATAQUE Ataque Medidas de defensa interna Acciones de respuesta Ops. de defensa Ops. de vigilancia Impacto en la misión Ops. de red Tiempo de afección Consecuencias al sistema Recuperación del sistema

OPERACIONES DEFENSIVAS OPERACIONES EN EL AOCD OPERACIONES DEFENSIVAS MEDIDAS DE DEFENSA INTERNA (MDI) AOCD Actúan sobre el núcleo fijo del AOCD. Dentro de la infraestructura propia. Son permanentes. Disminuyen el riesgo (afecta a las capacidades de la amenaza y colateralmente a sus intenciones y oportunidades). MEDIDAS Y ACCIONES Gestión de incidentes. Monitorización. Correlación. Detección. Detención. Diversión. Decepción. Dilación. Degradación. Generación de IoC. Soluciones a vulnerabilidades sobrevenidas. Etc…

OPERACIONES DEFENSIVAS OPERACIONES EN EL AOCD OPERACIONES DEFENSIVAS ACCIONES DE RESPUESTA (AR) Actúan sobre las áreas variables del AOCD. Fuera de la infraestructura propia. Son puntuales, ocasionales o temporales. Se ejecutan como una operación ofensiva. Disminuyen el riesgo (afecta a las capacidades de la amenaza y colateralmente a sus intenciones). MEDIDAS Y ACCIONES Infiltración. Captura. Perturbación. Denegación de uso. Degradación. Alteración. Interrupción. Etc…

OPERACIONES OFENSIVAS OPERACIONES EN EL AOCD OPERACIONES OFENSIVAS ¿QUÉ SON LAS OPERACIONES OFENSIVAS? Acciones contra potenciales adversarios y agentes hostiles que afectan a la integridad y disponibilidad de sus sistemas de información y telecomunicaciones y/o a la información que manejan. OBJETO: Respuesta oportuna, legítima y proporcionada a las amenazas o agresiones en el ciberespacio que puedan afectar a la Defensa Nacional. Acciones de fuerza militar en el ciberespacio de carácter estratégico, operacional o táctico: Acciones aisladas específicas. Como Mando Componente. Apoyo de las operaciones de otros Mandos Componentes. Vectores de ataque para la realización de operaciones de Influencia.

OPERACIONES OFENSIVAS OPERACIONES EN EL AOCD OPERACIONES OFENSIVAS MEDIDAS Y ACCIONES Infiltración. Captura. Perturbación. Denegación de uso. Degradación. Alteración. Interrupción. Manipulación de la información. Defacement. Destrucción. Etc…

OPERACIONES DE VIGILANCIA Y RECONOCIMIENTO OPERACIONES EN EL AOCD OPERACIONES DE VIGILANCIA Y RECONOCIMIENTO ¿QUÉ SON LAS OPERACIONES DE VIGILANCIA Y RECONOCIMIENTO? Conjunto de acciones orientadas a la obtención, análisis y aprovechamiento de información sobre las capacidades cibernéticas adversarias. Afectan a la confidencialidad. OBJETO: Proporcionar al Comandante de la Ciberdefensa el conocimiento de la situación externa sobre las capacidades, estado, intenciones, acciones y situación de los medios de ciberdefensa del adversario. Proporcionar a los equipos de operaciones defensivas la información necesaria sobre las amenazas en el ciberespacio y en la AOCD, para la generación de Indicadores de Compromiso (IoC), tácticas, técnicas y procedimientos de Defensa. Proporcionar a los equipos de operaciones ofensivas la información necesaria sobre el adversario.

OPERACIONES DE VIGILANCIA Y RECONOCIMIENTO OPERACIONES EN EL AOCD OPERACIONES DE VIGILANCIA Y RECONOCIMIENTO MEDIDAS Y ACCIONES Levantamiento del OBC adversario. Análisis de la amenaza: Intenciones. Capacidades. C-KT. Tácticas, técnicas y procedimientos. Extracción de información. Colocación de señuelos. Análisis de vulnerabilidades. Tests de penetración. Ingeniería social. Etc…

CONCLUSIONES Las operaciones militares se hacen para alcanzar los objetivos nacionales. El ciberespacio es el nuevo entorno operativo donde se hacen operaciones militares. En España, este entorno operativo está definido por el AOCD. El AOCD es dinámica, en función de las operaciones que se ejecuten. Las operaciones que se hacen en la AOCD son: Operaciones de red. Operaciones defensivas. Operaciones ofensivas. Operaciones de vigilancia y reconocimiento.

CONCEPTO DE LAS OPERACIONES EN EL CIBERESPACIO Tcol. Javier López de Turiso y Sánchez Jefe del Estado Mayor del Mando Conjunto de Ciberdefensa 25 de mayo de 2016