SIG-PIC. Sistema Integrado de Gestión de Protección de Infraestructuras Críticas.
Casos prácticos de intrusión en infraestructuras críticas
Transcript of Casos prácticos de intrusión en infraestructuras críticas
Casos prácticos de intrusión en
infraestructuras críticas¿Está segura tu organización?
www.ccn-cert.cni.es 1
OSCAR ATIENZA
• Responsable Técnico de Ciberseguridad en Nunsys
• Ingeniero Técnico de Telecomunicaciones especialidad Telemática (EPSA – UPV)
• Licenciado en Sistemas de Telecomunicación (UEM)
www.nunsys.com www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
1. Introducción: Infraestructuras críticas y Organizaciones en el punto
de mira.
2. Hacking Ético: Test de Intrusión (Tipos y Fases)
3. Caso de Éxito: Test de Intrusión Sector Hídrico (Aguas)
www.nunsys.com
Índice
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
Motivación del Atacante
(CiberCrimal):
Atentar contra la salud publica
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
1.Infraestructuras críticas y Organizaciones en el punto
de mira.
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
Motivación del Atacante (CiberDelincuente):
ECONÓMICO
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
1.Infraestructuras críticas y Organizaciones en el punto
de mira.
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
Motivación del Atacante (Hacktivistas):
POLÍTICA
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
1.Infraestructuras críticas y Organizaciones en el punto
de mira.
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
Motivación del Atacante (Naciones,
Gobiernos):
CIBERSABOTAJE, POLÍTICA, ESPIONAJE,
etc..
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
1.Infraestructuras críticas y Organizaciones en el punto
de mira.
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
¿Como podemos ayudar a las Organizaciones?
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
2. Hacking Ético: Test de Intrusión
•
Simular un ataque real a los sistemas de información de una organización para determinar el nivel de seguridad.
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
2. Hacking Ético: Test de Intrusión
•
•
•
•
Caja Negra(Black-box)
Caja Gris(Gray-box)
Caja Blanca(White-box)
TEST
EXTERNO
TEST
INTERNO
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
www.nunsys.com
2. Hacking Ético: Test de Intrusión
•
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
16www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
17
•
•
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
Requisitos del Cliente
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
18www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 1: Reconocimiento
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
19www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 1: Reconocimiento
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
20www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 2: Scanning
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
21www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
22
•
•
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
23
•
•
•
•
•
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
24
•
•
•
•
•
•
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
25
•
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
26
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
27
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
28
• ¡¡¡Obtenemos Respuesta!!!
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
29
•
www.nunsys.com
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting ) ¡¡¡FUNCIONA!!!
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
30www.nunsys.com www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.nunsys.com www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
3. Caso de Éxito: Test de Intrusión Sector Hídrico
(aguas)
FASE 3: Obtener Acceso (Exploting )
www.nunsys.com www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT
Gracias!!
www.nunsys.com
www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT