Creando Equipos de Investigación en Seguridad Cibernética CERT´s y CSIRT´s
Recientemente me han solicitado escribir acerca de la metodología para la creación de equipos de investigación y operación cibernética en Seguridad Cibernética CERT´s y CSIRT´s que se ha diseñado desde 2019.
Algunas personas en el campo del aprendizaje de la #Ciberseguridad todavía piensan que es una tarea fácil, sin embargo, para poder crear procesos que acompañen la transformación en seguridad cibernética de las organizaciones, es primordial abordarlo desde varios puntos de vista.
El objetivo de este artículo en su primera parte me permitirá mostrar algunas herramientas teóricas que nos faciliten entender y conocer acerca de las necesidades de la industria, y de esta manera comprender los radios de acción y desarrollo de un Equipo de Investigación Cibernética…
Antecedentes:
Los hechos por medio del tiempo han sido evidentemente complejos en materia de Ciberseguridad; algunos de ellos los señala (Ortiz Ruiz, 2019) en los origenes del Cibercrimen, sin embargo es importante elevar estas connotaciones y divisiones a través de los avances tecnológicos de la humanidad; si bien es cierto el Cibercrimen hace parte de un título grande y contextualizado en todo, estas afectaciones a la ciberseguridad y Seguridad Digital tuvieron nacimiento mucho más antes de lo que imaginamos; por ende la importancia siempre de los sectores de la Economía en brindar unos aspectos centrales y estandarizados para poder focalizar los puntos de acción e instrumentalizar todos los enfoques que la industria requiere en esta materia.
De la misma manera como lo cita (Rohmeyer & Bayuk , 2019) es sus páginas iniciales, indica que debemos conocer nuestro adversario en cada una de sus facetas de la economía; por ello es importante enfocar los esfuerzos en desarrollar tecnología que posea esos estándares que la industria merece a partir de las amenazas que pueden afectar el mundo y sus consumidores. Es a partir de ese dialogo en que las ciberamenazas cobran un gran valor a partir del impacto que pueden causar; y sobre estas lo significativo que se considera, la creación de equipos de investigación cibernética en ciberseguridad y añadir componentes esenciales para su desarrollo.
Una de las características esenciales de estos equipos interdisciplinarios en Ciberseguridad, deben enfocarse en las acciones de “Core Bussiness” y de la idea del negocio, aspectos esenciales como su orientación en materia teórica y práctica, pueden desarrollar aún más su eficiencia o efectividad en el momento de permitir afianzar su infraestructura, el enfoque del recurso técnico, humano y especializado que este le merece. A partir de esto, también es importante mencionar sus capacidades de enrolamiento estratégico con el conocimiento de su adversario (Preprint: Simulación Ataques adversariales), razén que involucra mucho más la sinergia de la parte técnica, con la jurídica, legal y tecnológica.
NIST involucra estos aspectos, en su documento (NIST & SP 800 61) aduce y detalla varios aspectos de base técnica para poder orientar la infraestructura tecnológica, y de cómo se implementarian sus atributos en materia de infraestructura, (ver Imagen).
Génesis de la creación de Equipos de Investigación en Seguridad Cibernética
En este sentido hay varios aspectos a tener en cuenta para la creación y desarrollo escalado de un Equipo de Investigación Cibernética, y es en primer hacer una distinción de los Equipos de Respuesta a Incidentes Informáticos, llamados CSIRT ́s por sus siglas en ingles Computer Incident Response Teams, esta características enfocada trata de los equipos para la respuesta a incidentes, enfocados en sus atributos esenciales, como lo documenta el Foro de Equipos de Respuesta a Incidentes, por sus siglas en inglés FIRST (Forum Incident Response Teams (FIRST, s.f.)), el cual desde 1989 se viene desarrollando como una organización cerrada para compartir información de intereses propios de los equipos de respuesta incidentes a nivel global. Asimismo, a partir de los años 90`s ha venido creciendo esta comunidad, en la cual se comparte información sobre incidentes de seguridad relacionados con la seguridad informática y la Ciberseguridad en todos los sectores.
Con la explotación del internet y los problemas de seguridad en las redes de comunicación, en el año 1988; y por causa de un incidente denominado “Internet Worm”, el concepto CSIRT (Computer Incident Repsonse Team) proviene de una historia relacionado con un evento histórico que transformó el pensamiento de la seguridad en cuanto a la creación de los equipos de seguridad, por cuanto, solamente se tenían pensados para fortalecer la seguridad en las redes (RFC 2196, 1997) y estaba destinado para administradores locales de redes e infraestructuras asociadas a las políticas de seguridad de aquellas infraestructuras; en ese mismo sentido, el primer coordinador o CERT/CC (Computer Emergency Response Team), el cual se crea en 1997 con la finalidad de coordinar a los diferentes sectores de la industria y la economía para la creación de una analogía, denominada CSIRT.
Los CSIRT`s bajo esta denominación, son aquellos que permiten dinamizar una línea base estándar de gestión, los diferentes aspectos de esas emergencias y buenas prácticas permiten prevenir situaciones que afecten los tres pilares de la seguridad en la información en determinado sector o “core business” asociado a un riesgo cibernético determinado o definido; el cual ayuda no solo llevar a buena optimización su labor, sino permite, evolucionarse y escalarse, según sus focos de atención y preocupación en la industria.
El libro de mano “Handbook for Computer Security Incident Response Teams (CSIRT`s) en su segunda edición (Moira J. , Don , & Klaus, 2003) menciona la importancia de los Equipos de Respuesta a Incidentes para las diferentes necesidades de la industria tecnológica. En ese sentido muchas de las capacidades de un equipo de seguridad cibernética, las cuales poseen atributos esenciales, como: procedimientos, activos, estratégicos y operacionales, estén enfocados en esos mecanismos de estructura; así como lo relaciona en primera medida las características de responder ante un incidente o incidente handling, lo cual permite, establecer unas bases focalizadas hacia el personal que debe ser parte del equipo en este aspecto técnico.
Es en este sentido que es primordial desarrollar la operación enfocada en crear, operar y desplegar actividades de gestión de incidentes; y a partir de ello se poseen varias líneas base para poder enfocar las acciones que permitan este tipo de objetivos:
La línea base a destacar para este inicio de creación de un CSIRT está enfocada en la participación de un modelo de ciberseguridad ya aplicado ante una dinámica del negocio en particular, así mismo en el desarrollo de esta misma aplicabilidad puede ser visualizando dentro de las ubicaciones en la grilla de partida para crear un Equipo de Respuesta a Incidentes, teniendo en cuenta el marco de trabajo NIST (Cybersecurity, 2018) creado y modificado para orientar a la industria tecnológica en este tipo de mecanismos.
De tal manera que NIST responde a estas particularidades, dentro del cual se puede afianzar la importancia de crear equipos de seguridad cibernética basados en esta metodología, y de esta manera enfocar las tareas que poseen muchos de los equipos interdisciplinares en la gestión y tratamiento de incidentes.
Línea base para interoperabilizar esta metodología
NIST mediante su modelo CSF (Cybersecurity Security Framework) define la orientación de tres aspectos esenciales: el “Core bussiness”, los tiers de riesgo y el perfil del marco de trabajo, distribuido en la siguiente gráfica:
En ese mismo sentido permite orientar las necesidades en tres aspectos fundamentales, las categorias de los lineamientos de control, objetivos de control y actividades, clasificadas mediante las necesidades de la organización o los componentes diagramados y categorizados, poseen un valor fundamental para garantizar la triada de la seguridad en la Información.
La Norma ISO 27037 (ISO, 2014), indica las buenas prácticas para la gestión de la evidencia digital de un incidente informático o de ciberseguridad; y recoge los aspectos fundamentales de una tarea que cubren los CSIRT ́s y equipos de investigación Cibernética, por ende, es importante que a partir lo que se indica (Sultan & Majeed , 2014) sobre cada una de estas categorías:
- Cubrimiento del marco de trabajo (Cybersecurity, 2018) CSF (Cybersecurity Framework) el cual promueve las diferentes líneas base.
- El marco de trabajo ISF (Information Security Framework) (Framework & Security, 2020)
- Marco de trabajo ISO 27001 (2013)
- COBIT 5 (2013)
En ese orden de ideas, existen 5 marcos de trabajo que poseen la categoria esencial para estructurar un equipo de investigación en seguridad cibernética; en este caso se selecciona el marco de trabajo NIST que cubre comparativamente una estructura más abierta y adecuada para la formación de estos equipos de seguridad cibernética. Actualmente la Universidad Carnegie Mellon por medio de su paper “Coordinated Cybersecurity Incident Handling” (Osorno, Millar, & Rager, 2020), en el que se menciona de qué manera poder formalizar un equipo de respuesta a incidentes cibernéticos dirigidos a la Ciberseguridad; en este mismo se relaciona y enmarca un proceso mediante el cual conlleva entender cuales son los ciclos de información involucrados en la creación de estos tipos de equipos de seguridad. Cada uno de estos ciclos permite aislar o focalizar las acciones dirigidas a procesos alternos, como lo es, la “Respuesta y Gestión a Incidentes de Seguridad”, los cuales permiten que por medio de los ciclos o fases se cumplan su preparación, detección y análisis, contingencia, erradicación y recuperación y actividad post-incidente.
Para ello, también se vincula una actividad que tiene como finalidad entender el ciclo de gestión del incidente, las taxonomias, el flujo de información sistematizada, y la generación de marcas de tiempo a los ciclos de respuesta dirigida a los “Stakeholders” o partes interesadas de esa información. Estos incidentes de seguridad cibernética tienen un propósito encargado de poder desplegar este tipo de acciones, y las mismas están distribuidas en la conformación del equipo de respuesta a incidentes cibernéticos.
Por ende, las mejores practicas estan asociadas a las categorias previamente establecidas y relacionadas mencionadas con un estandar inicial para poder comprender el enfoque de inicio de este equipo de respuesta; de tal manera que los roles asignados a cada uno de los perfiles puedan aportar al flujo de la información del equipo de seguridad cibernética. Del mismo modo, esta estandarización como lo define (Cybersecurity, 2018) posee diferentes características que se ajusten a los tipos de entradas de información que garanticen su tratamiento y efectividad en las tareas.
En este orden de ideas es importante apoyarse del documento especial SP (800–61), el cual se trata de la vinculación de todas las buenas practicas enfocadas en la creación de equipos y comunidades de colaboración en ciberseguridad llamados (ISACS) Information Sharing and Analysis Centers. Mediante esta metodologia, se vinculan a otras terceras partes que permiten orientar el ciclo de comunicación, a saber:
- Los proveedores de servicio de internet
- Administradores de IP 1 de los atacantes
- Proveedores de software
- Otros equipos de respuesta a Incidentes
- Partes externas afectadas
De otro modo, para poder explicar cada una de estas categorias, dependen del alcance del equipo o grupo de personas que van a organizarse para poder estructurar ese CSIRT o CERT, para lo cual es importante definir su objetivo principal y aquellos elementos dentro del cual debe enfocarse su estructuración, de la siguiente manera:
Conclusión preliminar
Los objetivos que se persiguen en la Operación y Dirección Estratégica de un CERT o CSIRT, están enfocados en la naturaleza de las partes interesadas; por ende, la importancia de construir y evolucionar un concepto que se viene desarrollando desde el entendimiento del CERT/CC a poder transformar e innovar el concepto a la creación de Equipos de Investigación en Seguridad Cibernética; por ello, la relevancia de conocer las diferentes herramientas y facilitadores para el aprovechamiento de esta metodología.
