SIG-PIC. Sistema Integrado de Gestión de Protección de Infraestructuras Críticas.
Casos prácticos de intrusión en infraestructuras críticas
33
Casos prácticos de intrusión en infraestructuras críticas ¿Está segura tu organización? www.ccn-cert.cni.es 1
Transcript of Casos prácticos de intrusión en infraestructuras críticas
Casos prácticos de intrusión en
infraestructuras críticas¿Está segura tu organización?
www.ccn-cert.cni.es 1
OSCAR ATIENZA
• Responsable Técnico de Ciberseguridad en Nunsys
• Ingeniero Técnico de Telecomunicaciones especialidad Telemática (EPSA – UPV)
• Licenciado en Sistemas de Telecomunicación (UEM)
www.nunsys.com www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
1. Introducción: Infraestructuras críticas y Organizaciones en el punto
de mira.
2. Hacking Ético: Test de Intrusión (Tipos y Fases)
3. Caso de Éxito: Test de Intrusión Sector Hídrico (Aguas)
www.nunsys.com
Índice
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
Motivación del Atacante
(CiberCrimal):
Atentar contra la salud publica
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
1.Infraestructuras críticas y Organizaciones en el punto
de mira.
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
Motivación del Atacante (CiberDelincuente):
ECONÓMICO
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
1.Infraestructuras críticas y Organizaciones en el punto
de mira.
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
Motivación del Atacante (Hacktivistas):
POLÍTICA
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
1.Infraestructuras críticas y Organizaciones en el punto
de mira.
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
Motivación del Atacante (Naciones,
Gobiernos):
CIBERSABOTAJE, POLÍTICA, ESPIONAJE,
etc..
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
1.Infraestructuras críticas y Organizaciones en el punto
de mira.
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
¿Como podemos ayudar a las Organizaciones?
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
2. Hacking Ético: Test de Intrusión
•
Simular un ataque real a los sistemas de información de una organización para determinar el nivel de seguridad.
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
2. Hacking Ético: Test de Intrusión
•
•
•
•
Caja Negra(Black-box)
Caja Gris(Gray-box)
Caja Blanca(White-box)
TEST
EXTERNO
TEST
INTERNO
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
2. Hacking Ético: Test de Intrusión
•
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
16www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
17
•
•
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
Requisitos del Cliente
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
18www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 1: Reconocimiento
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
19www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 1: Reconocimiento
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
20www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 2: Scanning
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
21www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
22
•
•
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
23
•
•
•
•
•
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
24
•
•
•
•
•
•
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
25
•
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
26
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
27
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
28
• ¡¡¡Obtenemos Respuesta!!!
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
29
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting ) ¡¡¡FUNCIONA!!!
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
30www.nunsys.com www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.nunsys.com www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.nunsys.com www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
Gracias!!
www.nunsys.com
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
