Descripción general
La Condición de Operaciones de información (INFOCON) es un sistema de nivel de amenaza en los Estados Unidos similar al de DEFCON o FPCON. INFOCON es un sistema de defensa basado principalmente en el estado de los sistemas de información y es un método utilizado por los militares para defenderse contra un ataque a la red informática.
La estructura del Sistema
El nivel de INFOCON es decidido en última instancia por el Comandante del Comando Estratégico de los Estados Unidos (CDRUSSTRATCOM). El sistema se extiende a todos los sistemas de Información del Departamento de Defensa en la Red de Enrutamiento de Protocolo de Internet No clasificado (NIPRNET) y la Red de Enrutamiento de Protocolo de Internet Secreto (SIPRNET).
Una directiva «Solo para uso oficial» de 2006 describe el sistema INFOCON como:
. . . incluyendo responsabilidades, procesos y procedimientos, se aplica a los sistemas de Red de Enrutamiento de Protocolo de Internet No clasificado (NIPRNET) y Red de Enrutador de Protocolo de Internet Secreto (SIPRNET) bajo el ámbito del Estado Mayor Conjunto y todas las actividades del Departamento de Defensa dentro de los comandos unificados, los servicios militares y las Agencias del Departamento de Defensa, así como al COI NetOps no perteneciente al Departamento de Defensa (NetOps CONOPS, Concepto Conjunto de Operaciones para NetOps de Red de Información Global). Es ejecutado por comandantes unificados y de servicio, comandantes de bases/puntos de venta /campamentos/estaciones/buques y directores de agencias con autoridad sobre sistemas y redes de información (operativos y/o de apoyo) (en lo sucesivo denominados colectivamente «comandantes»).1
La misma directiva describe el sistema como » un marco dentro del cual el Comandante USSTRATCOM (CDRUSSTRATCOM), los comandantes regionales, los jefes de servicio, los comandantes de bases/puestos/campamentos/estaciones/buques o los directores de agencias pueden aumentar la disponibilidad mensurable de sus redes para que coincidan con las prioridades operativas.»2
Niveles de amenaza de INFOCON
Hay cinco niveles de INFOCON, que recientemente cambiaron para correlacionarse más estrechamente con los niveles de DEFCON. Lo son:
- INFOCON 5 se caracteriza por NetOps rutinarios, disponibilidad normal de sistemas de información y redes que pueden mantenerse indefinidamente. Las redes de información están en pleno funcionamiento en condiciones de referencia conocidas, con políticas normalizadas de garantía de la información establecidas y aplicadas. Durante INFOCON 5, los administradores del sistema y de la red crearán y mantendrán una base de referencia instantánea de cada servidor y estación de trabajo en una buena configuración conocida y desarrollarán procesos para actualizar esa base de referencia para los cambios autorizados.
- INFOCON 4 aumenta la preparación de NetOps, en preparación para operaciones o ejercicios, con un impacto limitado para el usuario final. Los administradores de sistemas y redes establecerán un ritmo operacional para validar la buena imagen conocida de una red de información en relación con el estado actual e identificar cambios no autorizados. Además, se revisan los perfiles de usuario y las cuentas y se verifican las cuentas inactivas. Al aumentar la frecuencia de este proceso de validación, el estado de una red de información se confirma como inalterado (es decir, bueno) o se determina que está en peligro. Este nivel de preparación puede o no caracterizarse por un aumento de la vigilancia de inteligencia y medidas de seguridad reforzadas (bloqueo de puertos, aumento de los escaneos) de los sistemas y redes de información. El impacto para los usuarios finales es insignificante.
- INFOCON 3 aumenta aún más la preparación de NetOps al aumentar la frecuencia de validación de la red de información y su configuración correspondiente. El impacto para los usuarios finales es menor.
- INFOCON 2 es una condición de preparación que requiere un aumento adicional de la frecuencia de validación de la red de información y su configuración correspondiente. El impacto en los administradores del sistema aumentará en comparación con INFOCON 3 y requerirá un aumento de la planificación previa, la capacitación del personal y el ejercicio y posicionamiento previo de los servicios de reconstrucción del sistema. El uso de equipos de» repuesto en caliente » puede reducir sustancialmente el tiempo de inactividad al permitir la reconstrucción en paralelo. El impacto para los usuarios finales podría ser significativo durante períodos cortos, que se pueden mitigar mediante la capacitación y la programación.
- INFOCON 1 es la condición de preparación más alta y aborda técnicas de intrusión que no se pueden identificar o derrotar en niveles de preparación más bajos (por ejemplo, kit raíz del núcleo). Debe implementarse solo en aquellos casos limitados en los que las medidas de INFOCON 2 indiquen repetidamente actividades anómalas que no pueden explicarse excepto por la presencia de estas técnicas de intrusión. Hasta que se disponga de métodos de detección más convenientes, el método más eficaz para garantizar que el sistema no se vea comprometido de esta manera es recargar el software del sistema operativo en servidores de infraestructura clave (por ejemplo, controladores de dominio, servidores de Intercambio, etc.).) desde una línea de base precisa.
La reconstrucción debe ampliarse a otros servidores según lo permitan los recursos y los niveles de detección de intrusos. Una vez que las comparaciones de la línea de base ya no indiquen actividades anómalas, el INFOCON 1 debe eliminarse. El impacto en los administradores del sistema será significativo y requerirá un aumento de la planificación previa, la capacitación del personal y el ejercicio y posicionamiento previo de los servicios de reconstrucción del sistema. El uso de equipos de» repuesto en caliente » puede reducir sustancialmente el tiempo de inactividad al permitir la reconstrucción en paralelo. El impacto para los usuarios finales podría ser significativo durante períodos cortos, que se pueden mitigar mediante la capacitación y la programación.3