El Desafío Global de Ciberseguridad permite elevar la madurez la Investigación Cibernética para CERT´s y CSIRT´s — II parte
Recientemente en la revista ENTER.CO , se comentó acerca sobre las decisiones que plantearon en la reunión de G7 sobre las problemáticas generadas actualmente con las oleadas de #Ransomware a nivel mundial. Esto sin duda es un elemento muy importante en las agendas mundiales y económicas de las naciones, por tanto involucra cierta preocupación orientada a los mercados estratégicos y a las industrias de diferentes sectores.
En Colombia actualmente nos encontramos ante diferentes panoramas que pueden afectar el sector de la industria y las pequeñas, medianas y grandes empresas; en virtud a lo anterior, ENTER.CO hace alusión en su artículo que involucra el desafío global frente a este flagelo.
En el pasado artículo citaba la importancia de contar con Equipos de Respuesta a Incidentes Cibernéticos, como la salida propuesta ante este factor; sin embargo se habla más adelante del siguiente paso en cuanto a los Equipos de Respuesta a Emergencias o Incidentes (CERT´s y CSIRT´s), en donde particularmente es primordial revisarlo desde otra óptica, debido a las necesidades actuales de la #Ciberseguridad o #Seguridad Cibernética.
Transformando Equipos de Respuesta en Centros de Pensamiento en Investigación Cibernética
Cuando nos remontamos a la definición puntual de un CERT o CSIRT, muchos aspectos quedan cortos ante las necesidades puntuales de investigación de (RAAS) por dar un ejemplo. Y de manera más estricta cuando se poseen otros elementos que complementan las acciones proactivas y prospectivas ante el #Cibercrimen.
En esta misma línea se ha realizado un enfoque de los principales elementos que se deben aterrizar, y en segundo lugar poder trasladar ese conocimiento teórico de los riesgos cibernéticos, y de las herramientas y metodologías para poder atacar los diferentes fenómenos asociados. Este mismo panorama permite que la línea de transformación disruptiva frente a los CSIRT´s Convencionales y Equipos de Respuesta a Emergencias Cibernéticas deba dar el siguiente paso ante los retos actuales de ciberseguridad.
Buenas prácticas para la evolución de un Equipo de Respuesta a Incidentes
En la concepción real de los Centros de Investigación Cibernética, deben estar orientados hacia los las principales metodologías que facilitan y orientan la industria en materia de estándares aplicados a todos los sectores, incluido el financiero, energético o empresarial; por ende es importante elaborar una aproximación técnica que permita determinar aquellos escenarios en los que los Jefes o gerentes de seguridad en la información o informática se relacionan con la implementación de políticas para proteger los activos críticos y no críticos de una organización (Tomado de la Metodología “RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA ELABORACIÓN E IMPLEMENTACIÓN DE ESTÁNDARES BASADOS EN NIST”).
Es así que, la orientación ante el siguiente nivel de un Equipo de Investigación Cibernética debe tener en cuenta este tipo de estándares para crear el ”Foundation” o la base simétrica de un centro de investigación. El componente de la dinámica de la gestión de los incidentes y el ciclo respectivamente:
Este ciclo relacionado en la imágen se puede observar como el ciclo se transversaliza frente a los riesgos cibernéticos, en donde se introduce el planing and tools, Risk and IoC Sharing, policies, recomendations and regulations; enfocado en siete líneas no necesariamente dentro de un CERT y CSIRT, pero sí dentro del Centro de Investigación Cibernética.
Composición de un análisis TRIAGE enfocado en un Centro de Investigación Cibernética
Es importante tener en cuenta La importancia por parte del equipo de conocer cuál es su estructura de actuación, la podemos claramente revisar frente a la guía de atención y gestión de incidentes de NIST.
Dentro del ciclo de la gestión de un incidente se define el primer rol específico para la primera línea de atención, en este caso los “Analistas TRIAGE (Clasificación de urgencias) ”, en este sentido se persigue determinar en la etapa de respuesta ante la gestión comunicada (o) por parte de los clientes, organizaciones, academia, industria o economía. Sobre ese incidente, se le atribuye una priorización del mismo y posteriormente la identificación de la etapa o escalamiento debido determinado por sus roles, así:
Los especialistas №2, son aquellos a los que le son escalados los incidentes para la investigación avanzada sobre posibles herramientas para su investigación por medio de los procesos de apoyo interno que posee el equipo de seguridad cibernética, a partir de ello, poder enfocar esfuerzos hacia la evidencia documentada por los analistas TRIAGE, revisando su clasificación del incidente y los aspectos a destacar sobre este.
Esta actividad se determina a partir de la casuística y la taxonomía del incidente, que para efectos prácticos tiene que ver con determinar si el incidente tiene efectos de pivote, de lateralidad o de propagación frente a un activo crítico posterior o determinado en el momento de la gestión. Estos tres aspectos subrayados están asociados a la taxonomía del incidente para lo cual es necesaria una capacidad que poder orientar lo señalado en el paper: “CIBERSEGURIDAD: METODOLOGÍA APROXIMADA PARA REALIZAR INVESTIGACIÓN EN INTELIGENCIA CIBERNÉTICA” (Ortiz Ruiz, 2020), a partir del conocimiento de la estructura del incidente y su aplicabilidad, si fue ocasionado en la capa de red/enlace, transporte, sesión, presentación o aplicación.
Sin embargo, para poder enfocar esta estructura de actividades y roles de los integrantes del equipo técnico en ciberseguridad, es importante definir los aspectos a determinar sobre la importancia la relevancia de la información relacionada en el incidente; así lo documenta (Gartner, 2018), en donde define la importancia de 10 aspectos de relevancia en materia de respuesta y detección, y en razón a este, el criterio de poder definir posturas de análisis para la protección de los sistemas vinculados. Estos aspectos se enmarcan en el supuesto de que el especialista que hace parte del CSIRT, defina para el análisis de criticidad vs impacto. Para medir estas consecuencias que pueden afectar la operación, y posteriormente generar el impacto negativo hacia la recuperación del negocio, también se puede citar la publicación especial de (NIST, Contigency Planning Guide;, 2010), el cual permite establecer el “Cyber Incident Response Plan”, el cual permite visibilizar por parte del especialista del CERT o CSIRT cuales son las estrategias tácticas y operativas para poder recomendar acciones de mitigación, erradicación, contención y recuperabilidad de los activos críticos afectados.
En cuanto al investigador №3 referido en la gráfica de los roles, la persona debe tener un alto conocimiento en actividades especiales a desarrollar, a partir de estas capacidades específicas se pretende elaborar una tarea post- incidente que guarde los mínimos requeridos para poder afianzar lo que el especialista №2 ha suministrado (incident notification) a la parte interesada. Dado este conocimiento previo, el investigador dentro de esta capacidad especial, podrá ejecutar análisis sobre malware especializado en el campo forense, determinar circunstancias que faciliten orientar una investigación cibernética aplicada en OSINT, darkweb, estándares, regulaciones o mediante una temática especializada como “threat hunting” traducido al español como cacería de amenazas. Esta figura puede ser flexible a las necesidades de la organización, de tal manera que permita viabilizar una escalabilidad y crecer dentro de la respuesta y gestión a incidentes, también un enfoque de inteligencia de amenazas cibernética, inteligencia cibernética aplicada o investigación digital al cibercrimen. Estos escenarios pueden nacer del alcance del CSIRT, siempre y cuando se adopte un eje transversal que facilite la interacción entre sus componentes. Uno de estos enfoques es NIST y su marco de trabajo, el cual, a partir de distintos aspectos se desarrollan con base de cinco fases fundamentales de ciberseguridad a saber:
• Identificar • Detectar • Proteger • Responder • Y recuperar
Estas cinco categorías permiten equilibrar el marco de orientación a la distribución antes planteada, y facilita el Inter relacionamiento entre cada uno de estos atributos desarrollados por los roles, permitiendo con esto, que otras normativas establezcan su interacción rápida y efectiva por ejemplo la ISO 27035 como buenas prácticas para la gestión de incidentes, como se menciona en este artículo. Además, como se menciona en el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon (Software & Carnegie , 2020) para poder integrar un CSIRT en la capa de concienciación y tomar conciencia en materia de ciberseguridad se requieren unas herramientas, desde la construcción de un programa de colaboración para compartir información y que identifique el contexto o situational awareness; después de ello, cumplir lo con los siguientes requerimientos:
• Gap Analysis of Current Services — Análisis de los servicios actuales: que brinda un CSIRT enfocado en poder entender y reconocer el entorno en el cual participen los proveedores de las herramientas que se requieren para poder soportar la información que se genera por parte del CSIRT o CERT, asimismo enfocar los esfuerzos en que ese grupo de personas o partes interesadas observen ese resultado como propio para su misma naturaleza.
• Stablish a Resource Library Portal with Knowledge Management Document Searching Capability — Establecer un portal de biblioteca de recursos con la búsqueda de documentos de gestión del conocimiento: esta capacidad está orientada a poder establecer un repositorio de información que efectivice la obtención de datos y resúmenes de los reportes relacionados (alertas, informes o inteligencia de amenazas).
Customizable Feeds and Alerts Related to Your Region, Infrastructure, and Internal Environment– Fuentes y alertas personalizables y relacionadas con su región, infraestructura de carácter interno: esto permite que se identifique los datos de interés sobre sistemas operativos afectados, vulnerabilidades, filtrado de información relevante en gráficas y particulares a la información que se requiera en este sentido.
• Ability to Integrate Organizational Information and Correlate with Provided Feeds — Capacidad para integrar la información de la organización y correlacionarla con las fuentes proporcionadas: de la misma manera que debe permitir que se tomen datos privados y no se comparta con nadie, esto garantizará la confidencialidad de la información y que ejerza sus funciones únicas de CSIRT.
Ability to Automate Actions for the CSIRTs Internal Environment — Capacidad para automatizar acciones para el entorno interno de los CSIRT: permitirá de igual manera estructurar el servicio y facilitará que se puedan agregar IP, dominios o sitios a las listas negras, agregar firmas para la detección en 2 IDS, o análisis de malware, obtener reportes y establecer nomenclaturas asociadas a las necesidades de las partes interesadas.
• Secure Information Sharing Between Vetted CSIRTs — Capacidad para compartir información entre CSIRT´s: esencialmente está compuesta por Aunque la información pública puede ser muy útil para los CSIRT para información general sobre tendencias e indicadores, a menudo debe haber una discusión más detallada de la actividad real, análisis, causa raíz y remediación de lo que es posible en un entorno público. Debe haber una manera de tener discusiones seguras e intercambio de información, a través de canales protegidos y solo para CSIRT investigados. También sería útil tener alguna identificación de los demás. que tienen experiencia en diversas técnicas y herramientas de análisis, detección o mitigación a las que un CSIRT podría acceder por ayuda o consejo.
Ability to Get Feed of Known Fixes — Capacidad para obtener información sobre soluciones: conocidas: está vinculada con una biblioteca de recursos que facilitarán la obtención de información para dar solución a necesidades.
Real-World News — Noticias que involucran Seguridad Cibernética: esta información estaría específicamente relacionada con las actividades de infraestructura crítica en curso, donde se reúnen organizaciones internacionales, donde los tomadores de decisiones se reúnen para conferencias, cumbres, actividades deportivas o culturales, e información similar que se puede utilizar para proporcionar contexto a las actividades de redes y sistemas que se están presentando.
• Continuous Information Collection, Correlation, and Analysis — Información de continua recolección, correlación y análisis: tiene la capacidad de medir el impacto de las amenazas, su propio entorno, las fuentes de confianza de su detección, las estrategias para su mitigación y la evolución de análisis frente estos aspectos.
Assistance in Performing Impact Analysis — Asistencia en el mejoramiento del análisis de impacto: define aspectos que involucre la definición de actores de la amenaza, procurar entender donde ocurren los ataques a la infraestructura, generar conciencia situacional para comprender en donde ocurren estas vulnerabilidades, o la causa raíz para generar defensas, y realizar inversiones en ciberseguridad.
• Include Information on Emerging Trends — Incluir información de amenazas Emergentes: establece una biblioteca o repositorio de tecnologías, para probar acciones para mitigar y compartir información recolectada establecer simuaciones frente a escenarios para la predicición y análisis de amenazas que permitan medir su impacto frente a un Common Vulnerability Scoring System (CVSS), que puede ser desarrollado para ayudar a medir y entender el impacto de estas amenazas dentro de la entidad u organización. Esto permitirá evaluar los records temporales priorizados y las actualizaciones que requieren estos CVSS.
• Include Visualization of Trends and Other Situational Awareness Information — Incluir visualización de tendencias y otra información de conciencia situacional: esta capacidad permitirá entender rápidamente la actividad maliciosa, su curso y su impacto para reducir el tiempo de respuesta como lo argumenta (Marc, Grégory) sobre los tipos de procesos cognitivos para analizar la información presentada. Por lo tanto, estos procesos (percepciones, comprensiones, proyecciones, resoluciones) y contextos (gestión, seguridad, operaciones) son las que se deben ajustar para la toma de decisiones.
• Include Different Levels of Information — Inlcuir diferentes niveles de información: estos niveles de información que se comparten deben ser insumo para la generación de tendencia para el aprovechamiento de esta información. Algunos indicadores para la generación de análisis y poder aprovechar efectivamente esta data asociada, que permita personalizar los intereses de análisis.
Estos 14 aspectos de interacción y de madurez de un CERT o CSIRT, corresponden al primer paso para poder convertirse realmente en un Centro de Investigación Cibernética, de tal manera que el enfoque de sus necesidades puntuales ante la estrategia real depende de las necesidades operativas y de investigación cibernética apropiadas ante escenarios de riesgo cibernético, inteligencia cibernética de amenazas, enfoque proactivo y prospectivo; entre otras características adicionales que se complementarán en la tercera entrega de esta metodología.
Propuesta convertida en mejores prácticas para un CERT o CSIRT
Como conclusión preliminar, se puede indicar que el desafío global que poseen estos centros de pensamiento e investigación deben estar orientados ante los requerimientos globales de atención en ciberseguridad, quienes han reconocido que estos niveles de madurez son necesarios, y que la profundidad muchas veces queda corta ante los nuevos escenarios de guerras cibernéticas o conflictos de cibernéticos en la nueva era.
De tal modo que, que se deben aterrizar y adaptar los recursos de ciberseguridad ante los posibles impactos colaterales que la dinámica de los nuevos actores proponen, por ende, poder ganar integración en seguridad cibernética promete ser la línea de acción más adecuada bajo un futuro que seguramente exigirá menos “reacción” y más “proactividad”.
