En los días entre el 24 y el 28 de abril se celebró en el Centro de Excelencia de Defensa Cibernética Cooperativa de la OTAN, en Tallin, el ejercicio Locked Shields, el ejercicio de defensa cibernética más grande y avanzado del mundo.
El ejercicio pretende ejercer expertos en seguridad cibernética para proteger los sistemas nacionales de TI.
Los grupos participantes tenían la tarea de proteger y mantener los sistemas y servicios de una nación hipotética (estos equipos de personas de todo el mundo se llaman Equipo azul). El ejercicio somete a los equipos a una serie de pruebas que van desde la gestión de incidentes cibernéticos hasta consideraciones legales, legales o estratégicas más amplias. Todo debe ser lo más realista posible, por lo que las técnicas de defensa y ataque de nuevos conceptos se utilizan ampliamente y se utilizan todas las tecnologías emergentes disponibles.
Específicamente, con la prueba de este año, intentamos mantener el funcionamiento de las redes y los servicios de una base aérea militar de una nación ficticia sujeta a ataques complejos en el sistema eléctrico, los UAV (vehículos aéreos no tripulados), a los sistemas de comando y control, a las infraestructuras críticas de TI, etc. Creo que está claro que el tamaño de este ejercicio y el tipo de desafíos a los que están sujetos Equipo azul plantea desafíos que abarcan todo el espacio cibernético, independientemente de la definición adoptada1.
Más que 2500 se pueden realizar diferentes tipos de ataques para probar las capacidades del Equipo azul. Para este desafío a las partes en conflicto, de hecho, también existen las Equipo rojo que tienen un papel antitético para Equipo azul, o ataque y destruya (o robe datos, modifíquelos, hágalos inútiles y destruya las capacidades de Comando y Control), la red y los servicios.
Además de los aspectos tácticos de la operación, que tienen como objetivo obtener ventajas prácticas en el campo, una operación de defensa cibernética (o ataque cibernético) puede tener aspectos estratégicos, por ejemplo, actuar sobre la moral de una nación entera o poner una industria en riesgo. mundo del software El ejercicio Locked Shields, por primera vez, también tuvo en cuenta los aspectos estratégicos de las operaciones realizadas en el espacio cibernético.
El ejercicio no está abierto a todos, pero la participación es por invitación. En la edición actual participaron. Equipo de las naciones de 25 para un total de participantes de 800. La ubicación del ejercicio fue Tallin, en Estonia, pero los Equipos Azules también podrían participar desde su propio país, a través de un acceso seguro a la red.
La actividad se desarrolló en dos etapas. Primero, los días 18 y 19 de abril, todos tuvieron la oportunidad de explorar la red de ejercicios. Durante esta fase, los Blue Teams pudieron construir los mapas necesarios para la defensa.
La segunda fase, la activa, involucró a los contendientes, entre ellos la Equipo azul Italiano.
Después de esta pequeña introducción que tiene como objetivo dar a todos un conocimiento mínimo de la actividad, ahora veamos con más detalle lo que sucedió, a través de la voz de algunos participantes en el Equipo azul Italiano del Departamento de informática de la Universidad Sapienza de Roma.
Profesor Mancini, ¿cómo se compuso la selección nacional? ¿Habéis jugado todos como el equipo azul?
Sí. El equipo estaba formado por componentes de defensa, universidad e industria, todos trabajamos como equipo azul pero con tareas específicas, como legal, forense, respuesta rápida, información pública, emisión de boletos, etc.
Hasta donde se puede decir, el ejercicio debe haber sido muy desafiante. ¿Qué tipo de documentación se ha puesto a disposición? ¿Has reconstruido los esquemas de red?
Por supuesto, teníamos acceso a la plataforma compartida utilizada para el tutorial donde teníamos una breve descripción de los sistemas. Tuvimos acceso efectivo solo con la familiarización del 18 al 19 de abril para tocar algunas configuraciones.
Teníamos el esquema de la red, no muy detallado y con solo los sistemas que deberíamos haber conocido. El esquema completo, con cualquier Rouge AP o máquinas sin marcar, no se conocía.
¿Cuáles eran los objetivos del equipo azul?
Nuestro objetivo, como Equipo Azul, era monitorear la red y gestionar cualquier incidente, desde un punto de vista técnico, legal y comunicativo.
¿Quién jugó la parte del equipo rojo?
El Equipo Rojo está compuesto por miembros de las propias naciones ubicadas en Tallin, además de miembros del CCDCOE y empresas. Representa a un grupo técnico que conoce toda la infraestructura de antemano y las vulnerabilidades relacionadas, y ataca sistemáticamente a los distintos equipos para evaluar la capacidad de respuesta y monitoreo.
Profesor Mancini, de acuerdo con su experiencia, ¿cómo puede este ejercicio ser considerado realista? En el mundo real, el ciberespacio está sujeto a cambios continuos en sus componentes y los posibles atacantes tienen tiempo por su cuenta (APT se considera el mayor riesgo), en este ejercicio no hay tiempo para estudiar los hábitos de los usuarios y explorar formas de ataque. Esto limita fuertemente la posibilidad de atacar un subconjunto de lo real. Que piensas ¿Cómo debe organizarse e implementarse un ejercicio para que sea lo más realista posible?
El ejercicio así compuesto es sin duda una forma de entrenamiento en escenarios reales, se parte de la suposición de que los sistemas están comprometidos, por lo que sin duda una mentalidad que debería utilizarse con más frecuencia. La gestión de una infraestructura compleja como la de Locked Shields es sin duda un estímulo para los técnicos, y debe ser utilizada por el sistema para experimentar con soluciones innovadoras o probar nuevos productos, ya sean Proprietary o Open Source.
Uno de los aspectos más desafiantes del ejercicio se debe sin duda a las limitaciones, por ejemplo, no puede monitorear todo al máximo, pero tiene que tomar decisiones y la consiguiente clasificación de los eventos para entender qué tratar con más detalle o no, todo al mismo tiempo que garantiza la Experiencia de usuario, que debe seguir funcionando sin ningún tipo de problema. Nos enfrentamos a acciones de usuarios que trajeron riesgos de seguridad y, por lo tanto, necesitamos mitigar estas acciones sin afectar las operaciones del usuario.
Profesor, le agradecemos estas primeras respuestas, con la esperanza de que pueda profundizar en algunos aspectos de este ejercicio y, más en general, en este "ciberespacio" que estamos empezando a conocer día tras día.
Nota:
1 No hay una definición compartida de ciberespacio. Podríamos adoptar el italiano previsto en el reciente DPCM de 17 February 2017 publicado en la GU de 13 April 2017. Art. 2.h define el espacio cibernético como: "el conjunto de infraestructuras de TI interconectadas, incluyendo hardware, software, datos y usuarios, así como las relaciones lógicas, sin embargo establecidas, entre ellas". Otras definiciones oficiales se pueden encontrar en el enlace: https://ccdcoe.org/cyber-definitions.html.
fuentes:
https://ccdcoe.org/locked-shields-2017.html;
https://ccdcoe.org/cyber-definitions.html
http://www.difesa.it/SMD_/Eventi/Pagine/Locked-Shields-2017-termina-eser...
