Hace unos días,
estaba encantado de ver que el Instituto Nacional de Estándares y Tecnología
(NIST por sus siglas en inglés) lanzó su Framework Preliminar de Ciber
Seguridad para reducir los ciber riesgos a infraestructuras críticas. La
primera vez que lo leí tuve una sensación bastante positiva: cubren bastante
material y piensan que va a ayudar a las organizaciones a entender el panorama completo de disposición de
seguridad. Su acercamiento nivelado, es firme y lo he visto funcionar con mucho
éxito en otras industrias e-discovery, por ejemplo, tiene el Modelo de Madurez
EDRM y el desarrollo de software tiene el CMMI. Estoy muy complacido de ver que
se preste tanta atención a PII y la privacidad.
Dicho esto, de
todas formas, vi unos cuantos problemas estructurales en mi segunda revisión.
El Framework tiene mucho ruido acerca de políticas de seguridad y
procedimientos y no tanto un “llamado a la acción” en colaboración con el
compartir la inteligencia de amenazas como me gustaría. Carece de una mención
forense proactiva o investigación proactiva. Contiene una riqueza de detalles
sobre reglas y procesos para asegurar la seguridad de la información, pero muy
poco en el camino hacia el significado de, o requerimientos para,
organizaciones que trabajan en conjunto para pelear por una buena causa. Tiene
un gran agujero en su intento de categorizar detección de amenazas y respuesta.
La Detección es el Punto de
Tracción
Los
nombres de Framework nombran cinco funciones para implementación: Identificar,
Proteger, Detectar, Responder y Recuperar. De estos cinco, “Detectar” es sobre
lo que deberíamos tener mayor importancia.
Identificar: Saber qué necesita ser protegido, es un sueño válido, pero los equipos
de IS han intentado fallidamente durante décadas, no es nada nuevo. Ponerlo
dentro de este framework no va a cambiar nada.
Proteger: Políticas que abarcan, procedimientos y acceso a controles, ayudan,
pero el blk de las amenazas con las que lidiamos en nuestros tiempos están
creadas para sobrepasar estos controles.
Recuperar: Manejar las relaciones públicas y el daño a la reputación, es quizás la
parte menos importante de todo el proceso.
Toda
esta importancia en protocolos de seguridad, permisos y reputación valen la
pena, pero al final del día, detección es el punto de tracción. A pesar de
nuestra, siempre en incremento, competencia con el control de acceso y
políticas de seguridad, continuamos viendo intrusiones. Los intrusos van a
encontrar la forma de sobrepasar nuestros protocolos, procedimientos y
controles de acceso. Si no puedes detectar un ataque, no puedes responder ni
recuperarte.
¿Qué hay acerca de la
Desviación del Punto de Partida?
Detección
es donde tomamos importancia en hacer movidas audaces y representa nuestra
oportunidad más grande para colaboración. Estoy extasiado de ver que la primera
categoría en la función de “Detectar” es “Anomalías y Eventos”. Hemos estado
hablando de “eventos” y “manejo de eventos” por años, pero todos sabemos que
las palabras más temidas son “Huh, es gracioso”.
Algo
extraño o raro, resumiendo; una anomalía, es generalmente la primera clave de
un potencial incidente de seguridad. La mayoría del tiempo… la dejamos pasar.
Necesitamos
enfocarnos en detectar la anomalía y ver el comportamiento que es diferente por
lo que es, lo que me lleva al huevo más grande en el Framework Preliminar. La
primera sub categoría (DE.AE-1) en Detección llama a la creación de una línea
base de comportamiento normal, pero no hay una mención explícita para detectar
desviaciones de la línea base. Estas desviaciones son los primeros indicadores
de malversación, por esto deben ser considerados con la misma gravedad que
otros eventos dentro del contexto de conocimiento de seguridad. Desviaciones
del comportamiento normal generalmente son la única indicación de una Amenaza
Persistente Avanzada, un ataque que más que seguramente consiste en un malware
personalizado que evitará todos los sistemas de detección basados en la firma.
También
me gustaría ver una mención explícita de algo que yo llamaré forense proactivo,
una práctica que veo a los equipos de seguridad a lo largo de la nación
haciendo, pero que al mismo tiempo atrae un poco de discusión. Los grupos de
seguridad bien informados con frecuencia van a auditar varios componentes de
red, incluso sin causa, buscando detectar incidentes antes de que éstos
crezcan. No veo ninguna mención de eso aquí.
Paranoia vs. Colaboración
Tengo
un problema más con el Framework en su totalidad: la falta de lenguaje
colaborativo. ID.RA-2 habla sobre recibir amenazas de recursos que comparten
información, pero que no contribuyen nada. PR.AT-3 cita que los terceros
necesitan entender sus responsabilidades, pero no los incluye en ninguna
conversación sobre cómo esas responsabilidades son designadas. DE.CM-6 habla
sobre monitorear proveedores de servicio externos. RS.CO-5 usa el término
“voluntario” para describir coordinación con accionistas externos en el caso de
un incidente. Finalmente RC.CO-1 y RC.CO-2 discuten la reparación de reputación
y relaciones públicas, no hay premisas claras
sobre amenazas o cómo prevenir a otras organizaciones de sufrir un ataque
similar.
Esto
no es colaborativo, es paranoico. Entiendo que todos estamos participando en un
panorama mundial y en profundidad, que necesitan estar implementando
verificaciones personales, pero aquí necesita haber más acerca de colaboración
con nuestros compañeros en la industria de la seguridad. Entiendo la necesidad
de proteger la reputación de una organización y entiendo que el entorno
desafiante que está bien metido en nuestro diario vivir empresarial. Pero los
chicos buenos deben trabajar juntos o el panorama de la amenaza se volverá aún
más desalentadora, y los chicos malos tendrán más éxito.
Pensamientos Finales
Entonces,
¿estoy contento?
En
una palabra, sí. Creo que el Framework Preliminar es un buen, incluso genial,
comienzo. Sus autores claramente reconocen que necesita ser un estándar vivo y
creciente, ofreciendo áreas para mejorías potenciales. Pero es sólo un
comienzo.
Necesitamos
tener más conversaciones sobre colaborar y detectar amenazas antes de que
siembren el caos y menos sobre reparar reputación luego de que el daño está
hecho. Ése es el camino hacia un bien mayor y el camino que espero ver en este
Framework en el futuro.
Traducido del texto original de "NIST Cybersecurity Framework Needs More Focus on Collaboration and Finding Anomalies" por Jason
Frederickson, el Director Senior, Enterprise Application Development en
Guidance Software
RELACIONADOS
Guerra de Fronteras: Respuestas de Incidentes vs. Investigación Forense
La Infraestructura de la Ciberseguridad: Identificación, Colaboración y Defensa Proactiva
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
La Infraestructura de la Ciberseguridad: Identificación, Colaboración y Defensa Proactiva
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
No hay comentarios :
Publicar un comentario