Listado Unificado de Coordinación de Incidentes y

Amenazas

PUNTO DE PARTIDA…MARCO LEGAL: • Real Decreto 421/2004, 12 de Marzo, que regula y define el ámbito y funciones del

CCN. • Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para

la Administración Electrónica. Establece al CCN-CERT como el CERTGubernamental/Nacional.

MISIÓN: – Ser el centro de alerta y respuesta de incidentes de seguridad, ayudando a las

AAPP a responder de forma más rápida y eficiente ante las amenazas deseguridad que afecten a sus sistemas de información.

COMUNIDAD– Sector público (Ley 40/2015)

HISTORIA – 2006 Creación del CCN-CERT– 2007 Reconocimiento internacional (FIRST, TERENA,..)– 2009 Sist. Alerta Temprana SARA (SAT-SARA)– 2010 Sist. Alerta Temprana INTERNET (SAT-INET)

¡¡¿¿Y AHORA COMO GESTIONAMOS TODA ESTA INFORMACIÓN??!!

PROBLEMÁTICA…

Incorporación de nuevas fuentes de información Incremento del volumen de incidentes Dificultad de seguimiento de los ciclos de vida Procedimientos y herramientas desfasados Procedimientos manuales de generación de métricas Intercambio de información con los organismos Inexistencia de un lenguaje común de clasificación de incidentes Aparición del Esquema Nacional de Seguridad

SOLUCIÓN…

METODOLOGÍA BASADA EN LA GUIA CCN-STIC 817

DESARROLLO E IMPLANTACIÓN DE LA HERRAMIENTA LUCIA

OBJETIVOS…

Dotar al CCN-CERT y a los organismos de una herramienta de gestión deincidentes de seguridad escalable de fácil integración y federación.

Uso de tecnología ampliamente utilizada y estable basada en el sistema deincidencias Request Tracker (RT) y su extensión para equipos de respuesta aincidentes Request Tracker for Incident Response (RT-IR).

Personalizada para cumplir los requerimientos y procedimientos del CCN-CERTy del ENS acorde con la guía de gestión de incidentes CCN-STIC 817.

Ofrecer un lenguaje común de peligrosidad y clasificación de los incidentes.

Mantener la trazabilidad y seguimiento de los incidentes.

Automatizar tareas (Notificaciones, recordatorios, cierres automáticos).

Construir una base de datos de conocimiento.

Información sincronizada y compartida entre los diferentes organismosadscritos.

Contar con una plataforma única y distribuida para la gestión de incidentes deseguridad en todos los organismos adscritos (SAT-SARA/SAT-INET/SAT-ICS).

CARACTERÍSTICAS…

Sistema OpenSource basado en Centos 7 (sin coste de licencias).

Distribución en formato máquina virtual preconfigurada para la instancia localde organismos federados.

Virtualización: VmWare (Propietario) / KVM (OpenSource).

Securización a nivel de sistema operativo y aplicativo mediante el uso decertificados de autenticación de cliente para el navegador.

Canales de sincronización cifrados y autenticados.

Protocolos de comunicación: HTTPS/REST/SOAP.

Actualizaciones de seguridad y versiones distribuidas desde el CCN.

Desarrollos evolutivos basados en las necesidades de los organismos.

Amplia documentación disponible. CCN-STIC 845 A/B/C/D

Intercambio de información entre el CCN-CERT e instancias federadas:

• Sincronización completa de los incidentes del SAT

• Sincronización de metadatos de incidentes propios del organismo

ARQUITECTURA DE SINCRONIZACIÓN

Incidentes de Seguridad - Tráfico unidireccional(Sólo información de metadatos del ticket)

REST

Incidentes de Seguridad - Tráfico bidireccional(Información completa del ticket del SAT)

CCN-CERT

AdministradoresCCN-CERT

OperadoresCCN-CERT

HTTPS

Com

pon

ente

de

Sin

cro

niz

ació

n

Com

pon

ente

de

Men

saje

ría

Segu

ra

APL

ICA

CIÓ

N D

E TI

CKET

ING

PR

OPI

ETA

RIA

SOAP Wrapper

SONDASAT-INET/SAT-SARA

SOAP Wrapper

APL

ICA

CIÓ

N D

E TI

CKET

ING

LU

CIA

SONDASAT-INET/SAT-SARA

- - - - - O - - - - -

- - - - - O - - - - -

REST

REST

REST

BENEFICIOS DE INSTALACIÓN DE INSTANCIA PROPIA

FUNCIONALIDADES DISPONIBLESLUCIA CENTRAL SAT

(CCN-CERT)

LUCIA

(ORGANISMO FEDERADO)

Gestión de incidentes propios del organismo NO SIGestión de incidentes SAT-INET / SAT-SARA / SAT-ICS SI SIAlmacenamiento de la base de datos Compartido Organismo

Herramienta integrada de envío de Incidentes sufridos en el

organismo de peligrosidad Muy Alto y Crítico al CCN en

cumplimiento del ENS (En desarrollo).NO SI

Remisión automática al CCN de metadatos sobre incidentes

propios. NO SI

Granularidad de perfiles de usuarios NO SI

Explotación de datos para informes (p. ej. INES) NO(excepto SAT)

SI

LUCIA - ORGANISMOS CON INSTANCIAS FEDERADAS (20)

LUCIA - ORGANISMOS CON INSTANCIAS INSTALADAS (12)

LUCIA - ORGANISMOS EN PROCESO DE INSTALACION (9)…

… Y ALGUNO MAS QUE TODAVÍA NO HA CONTACTADO ;-)

(ARGENTINA)(POLICIA FEDERAL MEXICO)

EN QUE PUNTO NOS ENCONTRAMOS…

Versión estable LUCIA Rev2.0 (Septiembre 2015)

Actualización LUCIA Rev2.1 (Diciembre 2015)

Entrada en producción en el CCN-CERT (1 enero 2016)

Actualización LUCIA Rev2.2 (Enero 2016)

Actualización LUCIA Rev2.3 (Abril 2016)

Actualización LUCIA Rev2.4 (Mayo 2016)

Versión LUCIA Rev2.0.1 (Mayo 2016)

Revisión de la versión estable con script de automatización de la instalación de unainstancia de organismo. Instalación rápida sin errores de configuración manual

Federación de instancias de organismos (Mayo 2016)

Actualización LUCIA Rev2.5 (Junio 2016)

Versión LUCIA Rev2.0.4 (Septiembre 2016)

Actualización LUCIA Rev2.6 (Noviembre 2016)

SEGUIMOS MEJORANDO Y EVOLUCIONANDO…

Versión LUCIA 3.0 con las funcionalidades y mejoras de RT 4.4 y RTIR 4.0

Nuevos módulos de notificación de incidentes desde los organismos

Posibilitar la federación de instancias que no sean LUCIA

Evolución a una arquitectura LUCIA multinivel para organismos centrales

Lo mas importante… DESARROLLOS PARA LA INCORPORACIÓN DEFUNCIONALIDADES EN BASE A LAS NECESIDADES DE LOS ORGANISMOS

SEGUIMOS MEJORANDO Y EVOLUCIONANDO…

LUCIA CENTRAL CCN-CERT(ACTUAL ARQUITECTURA PLANA)

MCCD

ANDALUCÍA

MAEC

DTIC

EJÉRCITO1

DIVISIÓN

EJÉRCITO2

SEVILLA

DOS HERMANAS

CÓRDOBA

EMBAJADA1

EMBAJADA2

SEGUIMOS MEJORANDO Y EVOLUCIONANDO…

LUCIA CENTRAL CCN-CERT (EVOLUCIÓN)

MCCD ANDALUCÍA MAEC DTIC

EJÉRCITO1

DIVISIÓN

EJÉRCITO2 SEVILLA

DOS HERMANAS

CÓRDOBA EMBAJADA1 EMBAJADA2

LUCIA MULTINIVEL

¿PREGUNTAS?

Información y soporte:lucia@ccn-cert.cni.es