Servicios de Ciberseguridad CSUC

Agenda
 Pasado y presente de las herramientas y servicios de ciberseguridad
 Evolución de las herramientas y servicios

Pasado y presente de las
herramientas y servicios de
ciberseguridad

Pasado y presente de las herramientas y servicios de ciberseguridad (I)
Creación del Equipo de
Respuesta a Incidentes de
l’Anella Científica (ERIAC)
2003

ERIAC / CSUC-CSIRT
 Coordina y gestiona la resolución de incidentes
de seguridad en l'Anella Científica.
 Contacto para reportar, identificar, analizar
impacto de incidencias y amenazas.
 Propone soluciones y estrategias de mitigación.
 Difunde notificaciones críticas ante amenazas vía
listas de distribución.
 Apoyo técnico en tecnologías de la seguridad
informática.
 Organiza jornadas por la gestión de cibercrisis.

Pasado y presente de las herramientas y servicios de ciberseguridad (I)
Creación del Equipo de
Respuesta a Incidentes de
l’Anella Científica (ERIAC)
Implantación del
SMARTxAC
Implantación de la
herramienta de
gestión de incidentes
de seguridad
2003
2004
2012
2014
2015
Acreditación en el servicio
Trusted Introducer (TI)
Creación del grupo de trabajo
en el ámbito de ciberseguridad
con las universidades.

Pasado y presente de las herramientas y servicios de ciberseguridad (II)
Implantación del servicio
de mitigación de ataques
DDoS
Implantación de servicio Data
Leak Prevention (DLP)
2017
2019

Data Leak Protection (I)
 Analiza posibles fugas de
información a partir de diferentes
fuentes como pastebin, github,
codepad, ideone, twitter, etc.
 Los términos que se pueden
definir pueden ser de cualquier
clase: palabras, teléfonos, IPs,
tarjetas de crédito, DNI entre
otros.
 Si se detecta alguna publicación
de los términos definidos se
avisa vía RTIR a la institución
afectada.

Pasado y presente de las herramientas y servicios de ciberseguridad (II)
Implantación del servicio
de mitigación de ataques
DDoS
Convenio marco de
colaboración entre el
CSUC y el CESICAT (ACC)
Implantación de servicio
Data Leak Prevention (DLP)
2017
2019
2020

Convenio marco de colaboración entre el CSUC y el CESICAT (ACC)
 Compartición de información y gobierno de la
ciberseguridad.
 Acceso en el Portal de Seguridad y herramientas de
gobernanza de la ciberseguridad.
 Colaboración operativa y gestión de incidentes.
 Acciones de formación y concienciación en materia
de ciberseguridad.
 A través del portal EACAT, las universidades pueden
ver toda la información asociada de las entidades que
tenga asignadas.
 Escaneos sobre servicios predeterminados
trimestralmente.

Pasado y presente de las herramientas y servicios de ciberseguridad (II)
Implantación del servicio
de mitigación de ataques
DDoS
Convenio marco de
colaboración entre el
CSUC y el CESICAT (ACC)
Implantación de servicio
Data Leak Prevention (DLP)
2017
2019
2020
2021
Diferentes incidentes críticos en
el ámbito universitario y centros
de investigación

Actuaciones
 Despliegue de un Servicio consorciado de monitorización y gestión de alertas e incidentes de seguridad 24x7
• Se está colaborando con el ACC para establecer la mejor hoja de ruta del despliegue del servicio en el ámbito universitario y de
investigación.
 Evolucionar la plataforma de mitigación de ataques de DDoS a 50-100 Gbps
 Elaboración de un protocolo de comunicación de incidentes a las diferentes agencias (ACC, APDCAT, INCIBE,
CNN, Mossos) y posibles empresas de servicios de ciberseguridad a través de CSUC
 Backups offline: sistema avanzado de backup con acceso seguro e inalterable y agilidad de restauración

Pasado y presente de las herramientas y servicios de ciberseguridad (II)
Implantación del servicio
de mitigación de ataques
DDoS
Convenio marco de
colaboración entre el
CSUC y el CESICAT (ACC)
Implantación de servicio
Data Leak Prevention (DLP)
2017
2019
2020
2021
2021
Diferentes incidentes críticos en
el ámbito universitario y centros
de investigación
Implantación del servicio de
detección de tráfico malicioso
(NIDS)

NIDS (I)
 Muestreo con netflow en todas las interfaces:
RedIRIS, Orange, CATNIX, Cogent
Comunications, conexión de las instituciones y
entre los nodos troncales.
 Si se detecta alguna conexión cabe alguna de
las IPs presentes en los IOC se avisa vía RTIR a
la institución afectada.
 Las IOC se van actualizando diariamente.
 IOC de SINMALOS y REYES.
 IOC público del CSUC con detecciones
(próximamente).

Agenda
 Pasado y presente de las herramientas y servicios de ciberseguridad
 Evolución de las herramientas y servicios

Evolución de las herramientas y servicios
(SMARTxAC, DDoS, informes...)

SMARTxAC
Sistema de Monitorización de TRÁfico
para la Anella Científica

Evolución del servicio SMARTxAC con FlowMon (I)
SMARTxAC (desarrollado por UPC y Talaia Networks) aún funciona.
Estamos ajustando a nuestro entorno FlowMon. No es trivial.

Evolución del servicio SMARTxAC con FlowMon (II)
 Granularidad para hacer informes (total, por aplicación y
tipo, por protocolo, por AS, por puerto, por dirección...).
 Funcionamiento complejo:
• Imposibilidad de clonar configuraciones y heredar permisos.
• Nomenclatura no muy descriptiva (Tenant, Role, User, Channel,
Panel, Profile, Chapter, Widget, Dashboard...).
• Poca documentación.
 Automatizando configuraciones importando ficheros
XML para poder clonar.
 Será SMARTxAC “Next Generation”, con menos
funcionalidades que el actual.
 Puesta en marcha antes 2023.
Ejemplo de canales

Mitigación DDoS

Informe de tendencias de ciberseguridad de la ACC
 Sofisticación de los ataques de DDoS que aumenta su efectividad:
• Se alterna la IP objetivo del ataque
• Distintos vectores simultáneos para dificultar la detección
• Ataques a puertos válidos de servicio de las máquinas atacadas
 Ciberataques a instituciones gubernamentales se incrementan en un 377% respecto a T3-2021
(DDoS, ransomware, robo información).
 DDoS:
• Perjuicio económico o reputacional
• Eco social
• Distracciones
 87% de los ataques en septiembre han provocado afectación (74% en todo 2022).
 Aumento del 289% de las campañas de phishing respecto a 2019 entero.
https://ciberseguretat.gencat.cat/ca/detalls/noticia/Resum-de-tendencies-de-ciberseguretat-de-setembre-de-2022

Mitigación de DDoS (I)
 Solución basada en Arbor del integrador Satec.
 TMS-2800 (mitigación):
• Recibe el tráfico atacado para aplicar reglas de
mitigación
• Retorna el tráfico “limpio”
• Mitiga 10 Gbps  Evolución a 50-100 Gbps
 SP-7000 (monitorización y visualización):
• Portal de la solución
• Monitoriza tanto el router como el TMS
• Recibe full-routing del troncal y anuncia rutas
atacadas hacia el TMS
 Sistema basado en SNMP, Netflow y BGP.
 Trabajando en su evolución.
 Se complementa con:
• Flowspec
• Blackholing en CATNIX
• Colaboración con RedIRIS – EGIDA.

Mitigación de DDoS (II)
 Detección:
• Profiled router detection: sigue el perfil automáticamente.
• Host detection: se deben definir los parámetros de detección por host.
• Threshold detection: se basa en umbrales estáticos.
 Mitigación:
• Deben definirse las plantillas (templates) de mitigación a mano y/o vía learning mitigation (para algunos parámetros).
• Necesaria comunicación directa con la institución en caso de mitigación.
 Informes automáticos por objeto y periodo:
• Tráfico por aplicación.
• Alertas generadas.
• Mitigaciones hechas.

 Tres servicios basados en sus funcionalidades y horarios de atención:
Modalidades de uso del servicio de mitigación de ataques DDoS
BÁSICO ESTÁNDARD AVANZADO
Más información en https://www.csuc.cat/es/noticia/funcionalidades-y-modalidades-de-uso-de-la-plataforma-de-mitigacion-de-ataques-de-ddos

¿Por dónde entra el tráfico “regular” a la Anella Científica*?
 ~ 65 % de RedIRIS ~ 27% del CATNIX
 ... pero si descontamos algunos proyectos que van por la
conexión del tráfico regular, los porcentajes se
aproximarían más a un ~50%-50%
 En caso de ataque DDoS, el ataque viene de todas partes.
 La Anella Científica está conectada a:
• 100 Gbps a RedIRIS (+100 backup)
• 2x10 Gbps al CATNIX (+2x10 backup)
• Hasta 2x100 Gbps con otras entidades de la Anella Científica
(~500 Gbps de capacidad agregada) (+2x100 backup)
• 10 Gbps a Orange (+ 1 Cogent backup) (instituciones no-
RedIRIS)
RedIRIS,
100
Anella
Científica,
500
CATNIX,
20
Orange, 5
Capacidad máxima
RedIRIS,
65
CATNIX,
27
Orange, 8 Cogent, 0
Uso aproximado**
** Sin tener en cuenta en tráfico intra-anella
* No se tiene en cuenta el tráfico ni las conexiones dedicadas a proyectos

Ejemplo
• Ataque muy distribuido. Una
parte venia de RedIRIS.
• Otra parte venía de CATNIX.
RedIRIS
CATNIX

Ejemplo 1: ataque a servidor DNS
paquetes/s
bits/s
flujos/s

Ejemplo 2: ataque a servidor de DNS
bits/s
paquetes/s
flujos/s

Ejemplo 3: ataque a dos servidores DNS
flujos/s
flujos/s (sólo DNS)
bits/s (sólo DNS)

Informes de estadísticas e
incidencias

Informes de estadístiques e incidencias
 El primer día de cada mes se envía un
informe-resumen de estadísticas e
incidencias con información de Cacti
(SNMP), SMARTxAC (Netflow) y
ServiceDesk (incidencias).
 Si no lo recibís o queréis recibirlo en
otras direcciones podéis contactar con
nosotros vía ServiceDesk
(https://servicedesk.csuc.cat/servicedesk/
customer/portal/13) o correo electrónico
(ac-noc@suport.csuc.cat).

¡Gracias!
ivan.fustero@csuc.cat
mariaisabel.gandia@csuc.cat