Ciberdefensa en Redes Desplegables Trident Juncture 15 Tcol Juan Andrés Montón
NRDC-SP 2001-2002 Núcleo de Constitución - 300 NS 700 MS Necesidad Interconexión Pasarela DCM CCN Acreditación Embrión FMN 2005 -> VPN -> NS 2007 ->Pakistán 2011- > Virtualización ->Afganistán 2013 -> Creación Célula CD CDWG -> G3OPS CIS -> Célula de CD -> COS
CD Cell and CDWG Composition G6 CD Technical Cell (CDTC) CD WG (Operations) Chief CD Cell SO Cyber Defence Security Operations Center (SOC): Officer Chief Analysis Incident Analyst 2 Watchkeepers DCOS OPS / ACOS G3 / G35 CD Cell members (-SOC) G6 rep G3 Ops rep G2 rep STRATCOM rep INFO OPS rep G9 STAB Rep Host Nation LNO IO/GOs LNO Other JTF HQ reps as required.
Trident Juncture 15 xxx x Buenas tardes. Primero me gustaría plantear el problema al cual nos enfrentamos en el NRDC-SP, para poder entender la solución adoptada para la afrontarlo. Esto es, proporcionar protección a la redes desplegables sobre las cuales tenemos autoridad y responsabilidad ( Red nacional de Misión y Dirty Internet). Mi unidad, es un Cuartel General de Cuerpo de Ejercito, perteneciente a la estructura de mando de la OTAN. Este cuartel General, cuando despliega, dispone de unidad subordinadas, en concreto brigadas, 4 o mas , pertenecientes a diferentes nacionalidades. Así pues, es responsabilidad de la unidad superior, en este caso el HQ, proporcionar el enlace y los medios para garantizar el enlace, así como proporcionar la protección adecuada en materia de ciberseguridad. Como pueden observar en el mapa, en una situación real como el ejercicio Trident Juncture 15, las unidades se encuentran desplegadas en diferentes ubicaciones y enlazadas por medio satélite, lo que implica anchos de banda reducidos. De este modo, la solución aportada debe garantizar un funcionamiento adecuado en este escenario tan demandante.
Networks NATO Classified National Cyber Defence INTERNET Unclassified El ámbito de protección de la ciberdefensa debe abarcar las diferentes redes disponibles en OTAN: unas clasificadas, otras sin clasificar, internet y redes de misión nacionales conectadas a OTAN. Las redes OTAN, disponen de un órgano NCIRC, que es responsable de su seguridad, mediante el despliegue de diferentes sensores sobre sus nodos. El SOC (Centro de Seguridad de Operaciones ) del NRDC-SP, es el órgano técnico que proporciona determinados servicios de protección sobre aquellas redes de responsabilidad nacional en las cuales NCIRC no tiene autoridad , ni sensores desplegados para su protección, en concreto la red de misión nacional desplegable y el internet sucio proporcionado a estos HQ.
National Responsability NATIONAL NETWORKS (MISSION NETWORK) !!! Alarm !!! SIEM Alienvault SOC Events Correlation IEG !!! Alarm !!! NATO NETWORKS Como comente anteriormente, OTAN dispone de un órgano central , NCIRC, responsable de la ciberseguridad de las redes OTAN estáticas y desplegables, mediante el despliegue de sensores sobre esos nodos. De esta manera dispone de un SIEM, donde se correlacionan los eventos, integrado en un órgano de entidad CERT con todos los servicios correspondientes. La conexión de la red OTAN con la red de misión nacional se realiza a través de un IEG (Interconexión Exchange Gateway), donde comienza la responsabilidad y autoridad nacional. De esta manera, se hace necesario disponer de un órgano similar ,aunque de dimensiones inferiores, que se haga cargo de su protección, el SOC. SIEM Events Correlation
Organizational Structure NCIRC Coordination Center NOS /NHQC3S Tier 1 Inform – Advise - Report Policy Strategic direction National Level Liasion NRDC SOC NRDC-SP CD Tier 3 Technical Center NITC / NCSA Tier 2 NOC,s NRDC Subordinate Units Tier 4 Complete CERT Services Centralized Event Manager-IDS Incident Management Forensic and Malware Analysis Vulnerability Analysis Security Configuration Settings Awareness, training and exercises Core Services Event Management -IDS Implementation Security Configuration Awareness, training Local INFOSEC& Administrators CCN -CERT CCN MCCD Esta slide , muestra la pirámide de la estructura OTAN , con sus responsabilidades y servicios proporcionados. Esta dividida en cuatro capas, pues nosotros hemos añadido una a las tres originales de OTAN. La primera de ellas, representada por el NCIRC Coordinacion Center, es un órgano mas político que técnico, encargado principalmente de definir las políticas de ciberdefensa, la estrategia y la relación y enlace con los diferentes países. La segunda capa, es ya puramente técnica, esta representada por los diferentes CERT,s de los cuales esperamos su apoyo y soporte. A nivel OTAN, NCIRC Técnica Center y a nivel nacional, el MCCD y el CCN-CERT. Como CERTS, disponen de todos los servicios que lo conforman ( Análisis de forense y de malware, análisis de vulnerabilidades, equipos de respuesta rápida, ejercicios, training …). Estos órganos serán para nuestro SOC, su órgano superior, y esperamos de ellos el apoyo en todos aquellos servicios, que por las limitaciones técnicas y de personal, nuestro SOC no puede alcanzar. (Equipos de respuesta rápida RRT, Forense, malware..) En el tercer nivel se sitúa nuestro SOC, dotado exclusivamente de lo que denominamos los core services ( gestión de eventos, gestión incidentes, implementación política seguridad, concienciación, respuesta limitada…) Por ultimo, en el cuarto nivel, se encuentran los administradores de seguridad de las unidades subordinadas, personal no técnico en ciberdefensa, que se limita a la implementación de las políticas de seguridad proporcionadas y concienciación de seguridad de la información.
Servicios SOC Reactivos Proactivos Valor Añadido Alerta y avisos Gestión de Incidentes Análisis de Incidentes Gestión Vulnerabilidades Análisis/Respuesta ante Vulnerabilidades Coordinación de la respuesta a vulnerabilidades Boletines y Anuncios Seguimiento tecnológico Auditorias y evaluaciones de Seguridad. Configuración y mantenimiento de la Seguridad Desarrollo de herramientas de Seguridad Detección de Intrusiones Difusión Análisis/Respuesta de Artefactos Análisis de Riesgos Planes de Continuidad y recuperación tras desastre. Consultoría de Seguridad Concienciación Formación en Seguridad Evaluación/Certificación de productos Aquí podemos ver los servicios de nuestro SOC. Las limitaciones técnicas y de personal nos hacen no ser ambiciosos y limitarnos exclusivamente a los servicios básicos: Gestión de incidentes, configuración y mantenimiento de las políticas de seguridad y Concienciación. Para otros servicios, confiamos ser apoyados por nuestros órganos superiores de la slide anterior, NCIRC en OTAN; y MCCD y CCN en el la parte nacional. Por ejemplo, ante un caso de análisis de malware, nos centraríamos en la recolección de evidencias y paso a nuestro órgano superior al cual solicitaríamos apoyo. O la intervención de un RRT (Rapid Reaction Team), en el caso de un incidente mayor. SOC
Deployable SOC Deployable -> Remote Process Virtualization KVM (free) SIEM AlienVault - any device IDP Juniper Security policy Implementation Mirror Update – Isolated Clara STIC,s hosts and VMs Malware Antivirus Carmen (APT) Integrated Tools: Penetration Test Honey Pot Graphic monitoring network Centralized mail alarm SIEM, Malware,DLP,IDP Deployable -> Remote Process Centralized Management Affordable (software free) Scalable Tested : satellite links Aquí podemos ver las principales características del SOC desplegable. La plataforma sobre la que corre el único servidor esta virtualizada con el software libre KVM con el fin de abaratar gastos. La virtualizacion se hace necesaria , al permitir integrar de manera modularizada diferentes herramientas sobre las distintas maquinas virtuales. El elemento principal es el SIEM basado en Alienvault, que permite integrar no solo el trafico promiscuo procedente de la red, sino también cualquier dispositivo físico susceptible de remitir los logs. Integra, a su vez, un IDP Juniper, que en su caso podría integrarse como sensor remoto para remitir eventos a NCIRC. Dispone de una maquina virtual que realiza las funciones de mirror aislado y mantiene actualizada las diferentes hosts , como las maquinas virtuales A su vez la herramienta del CCN Clara nos permite la comprobación de las aplicación correcta de las políticas de seguridad Integra el otras herramientas sobre maquinas virtuales como recepción alarmas antivirus, test de penetración, honey pots y herramientas de monitorización grafica Dada la limitación de personal técnico, así como el tener que atender a diferentes nodos desplegados en las unidades subordinadas, con múltiples pantallas que monitorizar, hace imprescindible el disponer de una central de alarmas vía correo que centralice en un único correo la recepción de las alarmas procedentes de los diferentes sistemas. Esta central recibirá mensajes procedentes de los nodos desplegados :de los SIEM,s , Antivirus, DLP, IDP .. Todas estas características configuran una plataforma modular y desplegable, basada en la realización de los procesos de correlación de manera remota, enviando exclusivamente las alarmas a la central y mimando el ancho de banda. Su gestión centralizada , le permite el manejo con de poco personal técnico especialista , no presente en unidades tácticas subordinadas. Es un sistema barato , pues esta basado en software libre y los servidores no requieren excesivos requerimientos técnicos. Por ultimo, ha sido probado con éxito en el ultimo ejercicio TRJE15 sobre enlaces satélite, siendo de gran ayuda no solo en la protección de las redes, sino también mostrándose eficaz en el apoyo a los centros de coordinación de las redes con su apoyo en la detección y corrección de errores de diseño y configuración de las redes.
Deployable Cyberbox Juniper IDP Core Switch LAN Port Mirror Linux KVM Promiscuous Traffic Core Switch LAN SIEM – OSSIM - AlienVault NTOPNG – Monitor Traffic LAN Nepenthes – HoneyPot Ntop Router Cisco Kali – Penetration Test Davix – Graphical monitoring Mirror -Update Mail Virtual Manager – Remote Management WifiSlax – WIFI monitor Linux KVM Promiscuous Traffic Virtual Manager ESP, ITA, CAN, UK BDE Juniper IDP Aquí podemos ver el host virtualizado sobre el que corren las diferentes maquinas virtuales. Lo primero, es hacer llegar a la plataforma el trafico y logs procedentes de la red a analizar. Para ello, se realiza un port mirror en el core switch (switch central de la red), de tal manera que redirigimos todo el trafico a analizar a un puerto que lo conectamos al host. Una vez en el host, este trafico promiscuo lo podemos redirigir a cada una de las maquinas virtuales que corren sobre el host. Sobre el host virtualizado en Linux KVM corren las diferentes herramientas sobre maquinas virtuales, de tal manera que modularíamos y flexibilizamos la plataforma Entre ellas cabe destacar las VM que darán las funcionalidades a la plataforma y ya mencionadas anteriormente del SIEM , HoneyPot, Penetration Test, mail server, mirror update , Monitorización de Red. Una de las maquinas virtuales será el Virtual manager que nos permitirá gestionar de manera secura los nodos remotos. A su vez, el trafico promiscuo procedente del core switch también es redirigido al IDP Juniper para su análisis.
Remote Cyberbox SOC LCC Deployable Cyber box Virtual Manager ESP BDE Remote Sensor ITA BDE GBR BDE CAN BDE No events through WAN Only Display Remote Management Esta slide representa el despliegue de las cibercajas. Todas las cajas son iguales, con la misma configuración y por lo tanto intercambiables. El esquema consiste en una caja central , situada en el puesto de mando principal ( único lugar donde existe personal especializado de ciberdefensa y que se constituye como SOC). Sobre esta caja esta instalado el virtual manager que permita la gestión remota de los sensores remotos . Como ya se indico anteriormente, las cajas remotas , disponen de las mismas funcionalidades que la principal, de esta manera la correlación de eventos se realiza en el host remoto. El ancho de banda de la WAN se utiliza exclusivamente para enviar las alarmas y las pantallas que permitan la gestión remota a través del virtual manager Cada caja esta constituida por un Servidor, un iSCSI, un switch para efectuar el port mirror, en su caso y un SAI. SOC
Secure Remote Management Port Mirror Promiscuous Traffic Core Switch LAN SIEM – OSSIM - AlienVault NTOPNG – Monitor Traffic LAN Nepenthes – HoneyPot Ntop Router Cisco Kali – Penetration Test Davix – Graphical monitoring Mirror -Update Mail Virtual Manager WifiSlax – WIFI monitor Linux KVM LCC HQ ESP BDE ITA BDE CAN BDE UK BDE SSH Certificate Como seguridad adicional a la ya existente de enlaces criptados sobre satélite, la conectividad entre el virtual manager y los diferentes hosts se realiza utilizando ssh con certificados. Como comente, al explicar en la pirámide de 4 niveles OTAN, las cajas con los sensores remotos son manejadas por el 4 nivel, el cual no disponen de personal especializado en ciberdefensa, exclusivamente de los administradores de seguridad de la red. Estos administradores, realizan el encendido de las cajas y la conexión inicial con el port mirror del switch central, aplicando una sencilla checklist. El resto de la gestión se realiza remotamente desde el SOC. SOC
Access Hosts and VM,s Remote applications Management Virtual Manager Alienvault -OSSIM Juniper Monitoring network tools Remote applications Management SIEM – OSSIM - AlienVault NTOPNG – Monitor Traffic LAN Nepenthes – HoneyPot Ntop Router Cisco Kali – Penetration Test Davix – Graphical monitoring Mirror -Update Mail WifiSlax – WIFI monitor Promiscuous Traffic Remote Sensor & Host Management Desde el SOC, caja principal se puede acceder no solamente al manejo de los diferentes hosts , sino a las maquinas virtuales que corren sobre ellos.
Central Mail Alarm Reception CAN BDE ITA BDE ESP BDE GBR BDE LCC MAIN Remote Sensors Central Alarm Dadas las restricciones de personal especializado , los múltiples nodos desplegados y las distintas pantallas a monitorizar, se hace necesario disponer de una central de alarmas vía email, que permita una gestión cómoda del sistema. Cada sensor remoto dispara las alarmas vía un cliente de correo hacia una cuenta única de correo situado en el SOC. . Las diferentes herramientas integradas enviaran correos procedentes de los nodos desplegados SIEM,s , Antivirus, DLP, IDP .. El administrador especializado en ciberdefensa del SOC, recibirá la alarma y la analizara entrando a través del virtual manager en el origen especifico, iniciando en su caso el ciclo de vida del incidente.
Central Monitoring Esta slide representa las múltiples pantallas que el administrador tendría que monitorizar continuamente en los diferentes nodos. Se hace necesaria una única pantalla de gestión de alarmas. El análisis y seguimiento de estas pantallas de monitorización se realiza conforme a un Schedule diario o como consecuencia de la investigación posterior que se realizara tras la recepción de una alarma.
Central Mail Alarm Reception En esta slide podemos ver las alarmas procedentes de los diferentes SIEM,s de los nodos desplegados
Malware and DLP Incident En esta slide podemos ver las alarmas procedentes de los diferentes nodos desplegados en este caso un USB conectado indebidamente y una alarma de un malware detectado en un dispositivo
Training Training National External Training CCD COE NATO CIS School Cyber Defence Monitoring & Security Events Botnet Mitigation Training Forensic Training Attack & Defence Malware and Exploit Essential Course Cyber Defence Awareness Course CCD COE COMPUSEC Course Practitioners Course INFOSEC Officer Course NATO CIS School Cyber Incident Handling & Disaster Recovery Course Network Vulnerability Assessment Course Network Security Course Network Traffic Analysis Course NATO Security Course NATO defence against Terrorism Course NATO School ECD FAS COE Exercise (Locked Shield) NATO Exercise Exercises International Conference on Cyber Conflict (CYCON) NATO cyber defence conferences National Cyber Defence Conference Workshop Seminars STIC ( Cortafuegos y deteccion de intrusos) Busqueda de Evidencias Seguridad en redes inalambricas Seguridad en aplicaciones web Seguridad en dispositivos moviles STIC (Infraestructura de red, Base de datos y windows CCN Cyber defence Road Map Cyber Guardian Program SANS Ad-hoc Security Courses Grupo S2 Allien Vault Valencia University Civilian company Training National External Training
Actualmente Desplegados dos sensores Ex Cobalt Flash Rumania Viajando dos sensores a Polonia Ex Brilliant Jump -> Gestion Remota Valencia