En nuestra quinta TechXperience, Manuel Montealegre, Head of Cybersecurity, protagonizó la ponencia sobre el Framework NIST y expuso el marco de actuación que se debe seguir en materia de ciberseguridad y profundizó en los aspectos más relevantes a tener en cuenta al llevarlo a cabo.
¿Quién es Manuel Montealegre?
Soy Manuel Montealegre, tengo 49 años. Mientras trabajaba de joven estudié Ingeniería Informática. En uno de mis trabajos, durante mi estancia en Inglaterra, tuve la posibilidad de estudiar un máster en gestión de IT a principios del año 2000.
Tengo más de 25 años de experiencia en el ámbito de las IT, vinculados a la ciberseguridad en los últimos ocho o nueve años. Mi perfil se ha desarrollado en empresas relacionadas con la gestión de proyectos TIC, con servicios y proyectos… Y de ahí, cada vez más, orientado a la preventa y al desarrollo de negocio en empresas ‘pure player’ de ciberseguridad.
Framework NIST: Identificar, Proteger, Detectar, Responder, Recuperar
El Framework NIST es un estándar norteamericano basado en el framework 800 donde se engloban las distintas fases que tiene la ciberseguridad, servicios y equipos, para cubrir todo el ciclo. Algo complicado de tener al completo, puesto que lo normal es contar con las cuatro primeras fases.
1. Identificar: servicios de advisory. CID y CITAD
En la parte de identificación debemos identificar cuáles son nuestros activos y realizar un análisis de riesgos para conocer el nivel de ciberseguridad que tenemos. Así como las estrategias, planes y políticas que vamos a seguir.
Pero ¿cómo llevamos a cabo esta identificación? Mediante las normas ISO 27001, ISO 22301, el Esquema Nacional de Seguridad, el Reglamento General de Protección de Datos a nivel europeo y, derivado de todo ello, a través de la figura del delegado de Protección de Datos.
En este ámbito, debemos tener en cuenta la educación y la concienciación. El eslabón más débil suele ser el usuario y a través de él se producen la mayoría de los ataques. Por ello, si se quiere tener un sistema de seguridad de la información maduro, los usuarios deben tener una conciencia clara del papel que juegan. Ser conscientes de que asumen un rol fundamental en materia de ciberseguridad.
2. Proteger: Infraestructura de seguridad
En la actualidad, dentro del Framework NIST, el perímetro es cada vez más permeable y más difuso. Lo más importante es entender que debemos tener políticas muy importantes que mantengan esta seguridad. ¿Cómo?
Primero, debemos tener en cuenta qué ocurre cuando una persona está fuera. Usar una VPN para acceso remoto y proteger la red de manera potente con ‘firewalls’ e IPS/IDS. Garantizar la seguridad en el ‘end point’ con sistemas antispam o antivirus que nos protejan ante cualquier malware mediante un hash o una firma en una base de datos de un antivirus.
Otros aspectos en materia de protección son:
- La identidad es la capacidad para conectarnos desde cualquier parte teniendo claro cuáles son las credenciales para autenticar esa conexión y dar permisos de acceso a la información.
- Seguridad de las aplicaciones: Los next generation firewall de capa 7, los WAF… que hacen esa parte de seguridad en las aplicaciones.
- Seguridad de los datos: El concepto DLP, para precisamente hacer esa protección, esa prevención de la fuga de la información que al final produce brechas y los delegados de protección de datos son los que lo sufren.
- Infraestructura industrial: No solo en la parte de IT sino en la parte de OT y de IoT, es muy importante.
- Zero Trust: Importantísimo. Confianza cero. Necesitamos dar una política de permisos restrictivos. La autorización de los permisos debe ir evolucionando para actualizar progresivamente los accesos a la información.
- Cloud: En esta parte, los gestores más importantes de tramitación de servicios en la nube son Azure, Google y AWS que cuentan con todo tipo de herramientas e infraestructuras IaaS, Saas que también complican el perímetro, y hay que protegerlo. Ya no están solo en On-premise como antiguamente, sino que ahora también están en la nube y eso nos supone más inconvenientes para los CISOS.
- Implantación segura y configuración (hardening): No podemos dejar todo abierto. Debemos tener una implementación de configuración correcta y adecuada a las políticas de seguridad de la compañía.
3. Detección y respuesta
Proteger es importante dentro de el esquema de un Framework NIST, pero saber detectar una amenaza lo es aún más. Hay una serie de servicios como los servicios de SOC, los servicios del Centro de Operaciones de Seguridad en modelo ‘as a service’, o como en el propio SOC de cliente, o SOC Customer, que, a través de una herramienta SIEM (correladores de logs) nos van a dar información de todas las fuentes que estemos recopilando, de manera que podamos ver cuál es la posible fuente de amenaza y cómo se está produciendo esa amenaza.
¿Qué nos facilita la parte de inteligencia de amenazas (el threat intelligence para la detección)? Nos puede suponer la inserción de IOC’s o IOA’s, que son indicadores de compromiso y de ataque que obtenemos a través de fuentes (Feeds de Inteligencia) para poder meter una serie de reglas, de IP’s, de dominios maliciosos, etc. de forma que, si lo metemos en nuestro SIEM, cuando salte una de estas reglas, seamos capaces de detectar qué está ocurriendo.
- Gestión de la vulnerabilidad (escaneo): Se realiza un escaneo de vulnerabilidades y se informa al cliente en una auditoria en qué estado nos encontramos y cuál es el nivel de priorización. Para mitigar y dar respuesta.
- DFIR: es la respuesta a incidentes críticos. La amenaza se confirma, hay un ataque y se pierde información.
- Threat Hunting: La parte que ayuda a la gente del SOC a estar en evolución continua de casos de uso referentes a las debilidades que podemos tener en nuestras reglas de detección para mejorarlas en función de hipótesis que planteamos de nuevos ataques.
- Deception: Un servicio para tender una trampa a los atacantes con el objetivo de proteger nuestros datos y desviarle a otra información que pueda, incluso, estar contaminada.
- EDRaaS: Servicio avanzado del tradicional antivirus. Hay un equipo dedicado a dar respuesta a base de inteligencia y que cuenta con la capacidad para hacer contención hasta que se consiga dar respuesta.
- Compliance: informar a las instituciones referidas cuando haya una brecha de seguridad.
4. Probar, adaptar y prevenir
En este punto es donde entran en acción los hackers, los blue team, los red team y el purple team. Este apartado ayuda a las empresas a proteger su información más crítica previniendo de posibles ataques mediante informes que realizan los equipos de pentesting. Por otro lado, la gestión de vulnerabilidades se usa para encontrar debilidades, explotarlas y ver sus consecuencias; conocer cuál es nuestra capacidad de resiliencia, y terminar con un informe de mitigación.
