Por Vincent J., consultor de ciberseguridad de Squad
Introducción
La ciberseguridad es un campo muy amplio en el que trabajan numerosos profesionales especializados. A pesar de sus competencias, su dedicación y la disponibilidad de recursos cada vez más importantes, es imposible garantizar al 100 % que una organización esté totalmente protegida contra las ciberamenazas.
Cuando una empresa desea evaluar su nivel de seguridad, suele recurrir a pruebas de intrusión; estas pruebas las lleva a cabo el «equipo rojo», es decir, un equipo de atacantes que simula ataques reales contra el sistema de información de dicha empresa con el objetivo de detectar y explotar el mayor número posible de vulnerabilidades, que posteriormente se corregirán.
Por otro lado, hay otro equipo encargado de la defensa diaria del sistema de información de la empresa: el «equipo azul». ¿Quiénes son? ¿Qué hacen? ¿Cómo se organizan para hacer frente a unos atacantes cada vez más sofisticados?
El «equipo azul» tiene principalmente dos líneas de trabajo: la detección y la respuesta a incidentes de seguridad. Se acepta comúnmente que la detección corre a cargo del SOC, mientras que la respuesta la coordina el CSIRT, en su caso en colaboración con uno o varios CERT.
Función y funcionamiento del SOC
Existen dos canales principales que permiten detectar un incidente de seguridad: el canal humano y el canal técnico. La detección a través del canal humano se produce cuando un usuario comunica por iniciativa propia lo que ha observado sobre un suceso sospechoso. El canal técnico genera alertas mediante un análisis automatizado de los distintos registros de eventos recopilados en el sistema de información (servidores, cortafuegos, proxy, antivirus, etc.).
En general, cada dispositivo del sistema de información envía sus registros a un colector, que a su vez los transmite a la herramienta principal del SOC: el SIEM (Security Incident and Event Manager). La función del SIEM es centralizar, agregar y correlacionar los distintos registros para generar alertas basadas en reglas de detección previamente definidas.
A continuación, el equipo encargado del SOC analiza y amplía la información de estas alertas. Se descartan los falsos positivos y los incidentes confirmados se transmiten al CSIRT, que se encargará de dar la respuesta adecuada.
En función de los medios financieros y los recursos humanos disponibles, una empresa puede optar por un SOC interno o externalizado, es decir, gestionado por un proveedor de servicios. En el caso de un SOC externalizado, la empresa deberá asegurarse de la confianza que puede depositar en su proveedor. De hecho, será necesario facilitarle todos los registros del sistema de información y, por lo tanto, entregar información potencialmente sensible. La ANSSI mantiene una lista actualizada de proveedores cualificados en detección y respuesta a incidentes de seguridad (PDIS/PRIS).
El CSIRT, la última línea de defensa
Tan pronto como se recibe una alerta de seguridad del SOC, el CSIRT se encarga de llevar a cabo las investigaciones relacionadas con el incidente de seguridad. El objetivo es doble: identificar el origen del incidente mediante un análisis de la causa raíz (RCA) y aplicar las correcciones necesarias para restablecer las condiciones de seguridad.
Sus investigaciones abarcan desde el análisis de los encabezados de los correos electrónicos hasta el análisis forense, pasando por el análisis de registros. También es habitual que recurran a la OSINT (Open-Source Intelligence, inteligencia de fuentes abiertas) o a la inteligencia sobre amenazas cibernéticas para identificar con precisión el origen de los ataques.
Puede ocurrir, por ejemplo, que el SOC detecte conexiones desde un puesto de trabajo hacia un servidor C&C. En ese caso, el CSIRT llevará a cabo un análisis forense del puesto en cuestión para identificar un malware que no haya sido detectado por el antivirus. La extracción y la ingeniería inversa del malware demostrarán que es, efectivamente, el origen de las conexiones detectadas. El análisis permitirá también determinar cómo llegó este al equipo, cómo se instaló y cuáles son sus medios de persistencia. Toda esta información resulta útil en el marco de la corrección para devolver un ordenador en buen estado a su usuario, sin pérdida de datos.
Los miembros del CSIRT suelen tener un perfil técnico con conocimientos en redes, sistemas y, por supuesto, en seguridad. Dado que cada miembro del equipo tiene su propia especialidad, la eficacia general depende de la colaboración de todos.
Por otra parte, es muy frecuente que las medidas correctivas deban ser llevadas a cabo por otros equipos de la empresa (redes, sistemas, puestos de trabajo, etc.). Por lo tanto, es fundamental que el CSIRT sea conocido y visible para todos, a fin de facilitar el intercambio de información.
El uso de una herramienta de gestión de incidencias es imprescindible para llevar un registro de las incidencias que se producen en el ámbito de actuación, de las medidas adoptadas y para poder redactar informes de experiencia que puedan presentarse a la dirección.
El CSIRT suele estar dirigido por un responsable que rinde cuentas directamente al director de seguridad de la información. Este responsable tiene una visión global de los incidentes que se producen en el perímetro, conoce con detalle los incidentes graves y sus informes se basan en indicadores clave de rendimiento (KPI) y otras estadísticas relacionadas con la incidencia de incidentes.
El CSIRT también participa en las actividades de prevención de riesgos y amenazas mediante la vigilancia y el análisis de vulnerabilidades.
CERT y CSIRT: ¿en qué se diferencian?
El 2 de noviembre de 1988, Internet fue testigo de la aparición del primer gusano informático: Morris. Para hacer frente a este incidente sin precedentes, la DARPA (Agencia de Proyectos de Investigación Avanzada de Defensa, EE. UU.) creó el primer CSIRT: el CERT/CC (Equipo de Respuesta a Emergencias Informáticas / Centro de Coordinación). Hoy en día, el CERT/CC pertenece al SEI (Software Engineering Institute) de la Universidad Carnegie Mellon en Pittsburgh (Pensilvania, EE. UU.). «CERT» es una marca registrada en Estados Unidos por dicha universidad.
Cuando un CSIRT obtiene la autorización del SEI para utilizar la marca CERT, pasa a ser un CERT y se integra en la comunidad mundial de CERT. Cabe señalar que cada CERT es independiente del SEI. Por lo tanto, no hay ninguna diferencia fundamental entre ambas denominaciones en lo que respecta a sus actividades.
En Francia, el CERT-FR depende de la ANSSI y presta sus servicios a las administraciones francesas. El CERT-IST es una asociación francesa que ofrece sus servicios a empresas de los sectores industrial, de servicios y terciario.
