Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

ÚLTIMA HORA


barra-separadora

AMPARO

Implantación de seguridad y conformidad del ENS

ANA

Automatización y normalización de auditorías

CARMEN

Defensa de ataques avanzados/APT

CCNDroid

Seguridad para Android

CLARA

Auditoría de Cumplimiento ENS/STIC en Sistemas Windows

CLAUDIA

Herramienta para la detección de amenazas complejas en el puesto de usuario

microCLAUDIA

Centro de vacunación

EMMA

Visibilidad y control sobre la red

GLORIA

Gestor de logs para responder ante incidentes y amenazas

INES

Informe de Estado de Seguridad en el ENS

LORETO

Almacenamiento en la nube

LUCIA

Gestión de Ciberincidentes

MARIA

Sistema Multiantivirus

MARTA

Análisis avanzados de ficheros

MÓNICA

Gestión de eventos e información de seguridad

PILAR

Análisis y Gestión de Riesgos


REYES

Intercambio de Información de Ciberamenazas

ROCIO

Inspección de Operación. Auditoría de configuraciones de dispositivos de red

VANESA

Grabaciones y emisiones online

CURSOS CCN-STIC

III Curso STIC Análisis de Memoria

Fase síncrona: del 25 al 29 de enero

 

I Curso Detección Temprana

Fase síncrona: del 22 al 25 de febrero

 

ver +

SERIES CCN-STIC

Índice de Guías (diciembre 2020)

Última guía serie 800 (ENS)


CCN-STIC-887 Perfil de cumplimiento específico para AWS Servicio de Cloud Corporativo

Última guía

 

CCN-STIC-201 Estructura de Seguridad
 
ver +

INFORMES

Informes de Código Dañino (ID)

CCN-CERT ID-28/20 Avaddon

Informes de Amenazas (IA)

CCN-CERT IA-14/20 Marco Normativo y Salvaguardas. Edición 2020

Informes de Buenas Prácticas (BP)

CCN-CERT BP/20 Buenas Prácticas en la Gestión de Cibercrisis
ver +
ver +

AVISOS Y ALERTAS

Alerta:

CCN-CERT AL 11/20 Campaña de ciberataques a la plataforma Orion de SolarWinds

Aviso:

CCN-CERT AV 05/21 Vulnerabilidades en ORACLE

VULNERABILIDADES

ver +

Vulnerabilidad:
CCN-CERT-2101-32268

Announcing Free Site Cleaning & Site Security ...


Soporte de vulnerabilidades

EMPRESAS

Catálogo de Servicios

Sistema de Alerta Temprana, SAT de Internet 

Detección en tiempo real de amenazas e incidentes existentes en el tráfico que fluye entre la red interna a Internet

Detección de patrones de distintos tipos de ataque y amenazas mediante el análisis de tráfico y sus flujos.

Guías SCADA

Los sistemas SCADA o sistemas de Supervisión, Control y Adquisición de Datos, comprenden todas aquellas soluciones de aplicación que recogen medidas y datos operativos de equipos de control locales y remotos. Los datos se...

ver +

Seguridad al día

Disponible el Informe Anual "La Sociedad en Red. Transformación digital en España"

Nueva Estrategia de Ciberseguridad de la UE y nuevas normas para aumentar la resiliencia de las entidades críticas físicas y digitales

ver +
blue-balls

  • Este documento, en el que se recogen las novedades del departamento, se encuentra disponible en la parte pública del portal del CCN.
  • El Departamento de Productos y Tecnologías del Centro Criptológico Nacional, CCN-PYTEC ha publicado un nuevo boletín con las últimas novedades que incluyen información sobre Comunicaciones Tácticas Seguras, Productos STIC, Criptografía e Interoperabilidad.
  • Se ha publicado junto al informe un suplemento con 15 recomendaciones de Seguridad para VPN IPSec.

El departamento de Productos y Tecnologías de Seguridad TIC del Centro Criptológico Nacional (CCN-PYTEC) ha publicado un nuevo boletín mensual, en el cual queda recogida su actividad. El documento, CCN-PYTEC nº19 - 10/2019, se encuentra disponible en la parte pública del portal del CCN y contiene información sobre los siguientes apartados:

  • Comunicaciones Tácticas Seguras
    • Segunda prueba de concepto de LTE seguro desplegable Productos STIC
      Productos STIC
    • La gama Samsung Galaxy S10 obtiene la cualificación de seguridad para sistemas sujetos al ENS
    • MobileIron Core, Herramienta de Gestión de dispositivos cualificada por el CCN
    • IBM Qradar, cualificado en la familia “Sistemas de gestión de eventos de seguridad” para ENS categoría alta
    • PSTdiode, cualificado y aprobado en la familia “Diodos de datos”
    • Cisco Firepower Threat Defense (FTD), cualificado para ENS categoría alta
    • Cortafuegos de Nueva Generación de Fortinet, cualificados para ENS categoría alta
    • authUSB, incluido en el BOA Programme de la Agencia de comunicación e información de la OTAN
    • Actualizada la guía sobre taxonomía de referencia para el Catálogo de Productos de Seguridad TIC
  • Criptografía
    • CCN-PYTEC participa como ponente en la jornada de tecnologías cuánticas organizada por la APTIE
    • CCN-PYTEC participa en la sesión abierta del proyecto “Comunicación segura en la era cuántica” financiado por el programa de la OTAN “Ciencia por la Paz y la Seguridad”
  • Interoperabilidad
    • El CCN participa en el grupo de redacción de la NKMIS

Además, en esta ocasión se ha publicado junto al informe un suplemento con 15 recomendaciones de Seguridad para VPN IPSec.

Acceso al Boletín Informativo

Acceso a la píldora “Recomendaciones de Seguridad para VPN IPSec”

CCN-CERT (17/10/2019)

 

  • Concluido el plazo del CFP al que se han presentado más de 160 propuestas.
  • La decimotercera edición se presenta con numerosas novedades, entre las que destaca el espacio para talleres, CCN-CERT Labs, la organización de siete módulos en paralelo; y un fuerte respaldo de la industria, tanto en nivel de patrocinadores (hasta el momento han confirmado 48 empresas del sector), como de instituciones y entidades colaboradoras.
  • El Mando Conjunto de Ciberdefensa, el Centro de Ciberseguridad Industrial (CCI), C1b3rwall y RootedCon colaborarán activamente en esta nueva edición que espera la asistencia de 2.800 profesionales, lo que ratificará a las Jornadas como el principal evento de ciberseguridad celebrado en España.

El CCN-CERT, del Centro Criptológico Nacional (CCN), organiza por decimotercer año consecutivo sus Jornadas de ciberseguridad, bajo el lema “Comunidad y Confianza, bases de nuestra Ciberseguridad”. El evento, que este año ha ampliado el espacio con dos salas más, y ya son siete, del Kinépolis (Ciudad de la Imagen), espera congregar los días 11 y 12 de diciembre, en Madrid, a más de 2.800 expertos en ciberseguridad.

En esta edición, en la que se han recibido más de 170 propuestas de ponencias, se abordarán las siguientes temáticas: “Amenazas, ataques y retos tecnológicos” (Módulo 1); ENS y Cumplimiento Normativo (Módulo 2); “Prevención en ciberseguridad y Soluciones Tecnológicas” (Módulo 3); Atenea, sala de retos (Módulo 4, en colaboración con RootedCon); “Operaciones Militares en el Ciberespacio” (Módulo 5, en colaboración con el Mando Conjunto de Ciberdefensa); Redes Operacionales y Control Industrial (Módulo 6, en colaboración con CCI) y Desinformación/Ciberdelincuencia (Módulo 7 en colaboración con C1b3rwall).

CCN-CERT Labs

Este año, como novedad, tendrá lugar un día antes, el 10 de diciembre, una jornada de talleres en el Eurostars iHotel (muy cercano a Kinépolis). El CCN-CERT Labs contará con 16 talleres y una capacidad máxima de 30 personas cada uno.

El equipo de expertos del CCN-CERT valorará todas las ponencias recibidas, tanto para las Jornadas como para los talleres, para poder confeccionar un programa lo más novedoso e interesante posible. Las notificaciones de la aceptación o no de la ponencia se realizarán el 8 de noviembre.

Respaldo del sector

Del mismo modo, y cuando todavía quedan 15 días para el cierre del patrocinio (el 31 de octubre); 48 empresas representativas de las distintas áreas de la ciberseguridad han confirmado su colaboración con este encuentro. Como principales colaboradores se encuentran: S2Grupo (VIP), Entelgy Innotec Security (Diamante y Especial); Ingenia, Cytomic, ESET y Microsoft (Estratégicos).

En la categoría Platinum: Aruba, Check Point, Fortinet, Grupo ICA (también especial); IBM, Opencloud Factory, Proofpoint; RSA, Samsung y Sophos.

Como patrocinador de los talleres CCN-CERT Labs, se encuentra CSA y en la categoría Gold: Akamai, Autek, Cybereason, Forcepoint, Kaspersky, McAfee, Micro Focus, Netskope, One Identity, Radware, S21sec, Sidertia, Telefonica, Tenable y Thycotic.

Por último, dentro de la categoría Silver, el CCN agradece la participación, de momento, de las empresas: Anadat, Axians, GMV, iHackLabs, Oesia, One eSecurity, Realsec, Revista SIC, Sia, SonicWall y Tarlogic.

CCN-CERT (16/10/2019)

XIII Jornadas STIC CCN-CERT

 

  • La solución está pensada para agilizar la visualización de activos en una red, su autenticación y segregación, así como la automatización de auditorías de seguridad de la infraestructura.
  • Su desarrollo nace de la necesidad de integrar ROCIO en soluciones de control de acceso para el despliegue en sistemas aislados.
  • La solución ha sido desarrollada por el Centro Criptológico Nacional con la colaboración de Open Cloud Factory.

El Centro Criptológico Nacional (CCN), en colaboración con la empresa Open Cloud Factory, han lanzado EMMA, una nueva solución desarrollada para el control de acceso a la infraestructura de red. Con ella, el CCN pretende facilitar a las organizaciones una visibilidad completa de la capa de acceso a la red (routers, switches, puntos de acceso, controladores, etc.), un punto crucial para verificar quién o qué está conectado en una red. Todo en un momento como el actual, en el que los modelos de seguridad requieren de una verificación de identidad estricta para cada persona y dispositivo (estén dentro o fuera del perímetro) y en el que es más difícil controlar todos los activos (distintos lugares físicos, data-centers o proveedores).

Una vez se dispone de la visibilidad y control de la electrónica de red se debe realizar un bastionado de la misma.

Además, si no se tienen sistemas automatizados de gestión de los dispositivos de la red, el bastionado y control continuo de su seguridad puede ser una tarea difícil de acometer.

La solución EMMA permite, entre otros aspectos, los siguientes:

  • Establecer controles de acceso a todos los dispositivos en función de su contexto y la lógica del negocio (autenticando por identidad/entidad, 2FA, etc.).
  • Aplicar segmentación dinámicamente para reducir la superficie de ataque, aislar dispositivos críticos y responder ante ataques de manera centralizada.
  • Conseguir unas líneas base de seguridad, tanto en los dispositivos de la red como los endpoints.
  • Integración con ROCIO para contrastar las configuraciones de los dispositivos de red, de manera centralizada, con el Esquema Nacional de Seguridad.
  • Establecer un proceso para monitorizar cualquier desviación.
  • Crear dashboards de manera dinámica con todos los datos del CMDB.
  • Dar visibilidad, contexto y control de todos los dispositivos en entornos IT/OT.

Instalación de EMMA

La instalación de EMMA requiere de dos (2) máquinas virtuales (Core y Analytics) y opcionalmente una tercera (Sensor). Próximamente, el CCN publicará la guía CCN-STIC correspondiente en la que se podrán los requisitos de instalación. Del mismo modo, se programará una sesión en la plataforma de formación online del CCN-CERT, VANESA.

EMMA es una más de las soluciones propias de auditoría del Centro Criptológico Nacional que, junto ROCIO (cumplimiento de seguridad en routers y switches), ANA (Automatización y Normalización de Auditorias), PILAR (análisis de riesgos), CLARA (cumplimiento con el ENS/STIC de Sistemas Windows) e INÉS (Informe de estado de seguridad en el ENS), que buscan facilitar a todos los responsables de seguridad el análisis de sus equipos y sistemas.

Para solicitar más información, se puede contactar a través de la cuenta emma@ccn-cert.cni.es, indicando nombre, teléfono y organismo.

CCN-CERT (14/10/2019)

Solución EMMA

  • Este documento puede consultarse en la parte privada del portal del CCN-CERT.
  • El informe ‘CCN-CERT ID-22/19’ recoge el análisis de la familia de troyanos identificada como Rarog. Este código dañino, escrito en Microsoft Visual C++ y activo desde abril de 2018, se ha visto involucrado en ataques de minado de criptomonedas.
  • Entre los apartados más destacados que incluye este documento se encuentra el referente a las características del código dañino, procedimiento de infección, características técnicas, ofuscación, persistencia en el sistema, conexiones de red, archivos relacionados, detección, desinfección e información del atacante. Asimismo, se incluyen las reglas de detección Snort, IOC y YARA.

El Informe de Código Dañino CCN-CERT ID-22/19 “Rarog" ya se puede consultar en la parte privada del portal del CERT del Centro Criptológico Nacional (CCN-CERT). Este documento recoge el análisis de la familia de troyanos identificada como Rarog. Este código dañino, escrito en Microsoft Visual C++ y activo desde abril de 2018, se ha visto involucrado en ataques de minado de criptomonedas.

Algunas de las principales características que presenta ‘Rarog’ son que recolecta información del sistema, que cifra el dominio del C&C en su interior, que mantiene conexiones con un panel de control y que puede llevar a cabo descargas de otros códigos dañinos o módulos.

En cuanto al procedimiento de infección del sistema, este se produce al ejecutar el fichero que contiene el código dañino. Una vez que comienza su ejecución, es capaz de realizar las siguientes acciones en el dispositivo de la víctima:

  • Carga cadenas de texto relacionadas con un módulo de log de Rarog.
  • Inicia la recolección de información acerca del sistema.
  • Busca el proceso “explorer.exe” entre los procesos.
  • Ejecuta una rutina generación de nombres aleatorios
  • Crea un directorio en ProgramData donde copia el código dañino.
  • Realiza la extracción de la hora y fecha y aglutina la información en un array.
  • Una rutina de descifrado genera el nombre del dominio del C&C.
  • Se identifica un User-Agent.
  • Crea una tarea programada con ShellExecuteA.
  • Crea una tarea programada con CreateProcessW.
  • Realiza peticiones a Internet.
  • Trata de borrarse a sí mismo.

Para la desinfección del equipo de forma automática se aconseja la utilización de herramientas antivirus actualizadas. Una vez localizadas las aplicaciones dañinas, se elige la opción de desinfección. Si se opta por una desinfección manual, habría que revisar si el código dañino ha generado persistencia, mediante la revisión de la tarea programada recogida en el apartado de persistencia en el informe. Tras identificar el proceso dañino, sería posible finalizarlo desde el administrador de tareas y eliminando o deshabilitando la ejecución desde la herramienta de Task Scheduler de Windows. En última instancia, se aconseja el formateo y la reinstalación completa, siguiendo lo indicado en las guías CCN-STIC correspondientes.

Además de las características, el procedimiento de infección y desinfección, así como la persistencia, el documento también incluye otros apartados de interés, tales como la ofuscación, conexiones de red, archivos relacionados, información del atacante y tres reglas de detección para comprobar si el sistema se encuentra infectado por el troyano: mediante regla Snort, indicador de compromiso (IOC) y utilizando sobre la memoria de un equipo la firma YARA.

CCN-CERT (11/10/2019)

Informe de Código Dañino CCN-CERT ID-22/19 “Rarog"

 

Volver
logo-gobierno logo-cni ccn-logo
certauth-logo first-logo tfcsirt-logo egc-logo egc-logo Foro Nacional de Ciberseguridad CSIRTes
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID

Telegram

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración