[20/09/2022] Las conversaciones del equipo de ciberseguridad en estos días pueden sentirse como un arcoíris, con menciones de equipos rojos, azules e incluso morados. Si bien cada equipo tiene su perspectiva y tareas únicas, al equipo azul se le confía posiblemente la misión más crítica de todas: proteger a las organizaciones de las amenazas y vulnerabilidades de ciberseguridad.
Para hacer esto, el equipo azul debe conocer las necesidades de la misión/negocio de la organización, las amenazas relevantes, la huella digital y las vulnerabilidades asociadas. A partir de ahí, el equipo puede reforzar la postura de seguridad de las organizaciones mediante la implementación de controles y mitigaciones de seguridad para abordar las amenazas y vulnerabilidades más apremiantes.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Como afirma mi colega Maril Vernon, ingeniera senior de seguridad y líder del equipo morado de Aquia, Inc., con respecto al rol del equipo azul:
"Los equipos azules están formados por mucho más que analistas de SOC y operaciones de TI. Son todos, desde el oficial de seguridad de la información de negocios [BISO] hasta el equipo de inteligencia de amenazas cibernéticas [CTI] y los profesionales del plan de continuidad del negocio y riesgo de negocio [BCP]. Al final del día, incluso su equipo rojo está trabajando para el lado azul”.
"Todos estamos allí en el esfuerzo de probar y mejorar la seguridad de manera proactiva. En los ejercicios del equipo morado, la parte más crucial e importante de lo que hacemos es identificar e incorporar a los miembros adecuados de los diversos equipos azules y realmente impartirles esa pieza educativa de objetivos, mentalidad y destreza contradictorios. La conclusión es que los equipos azules forman la primera, segunda y tercera línea de defensa en diferentes niveles y no queremos arriesgar las capacidades de ninguno de ellos. El medio de un incidente no es el lugar para identificar y remediar procesos y brechas de control. Nunca queremos presentarnos a una pelea justa con un adversario y la madurez adecuada del equipo azul es la forma en que nos damos esa ventaja”.
Lo que sigue son seis mejores prácticas que los equipos azules pueden adoptar para llevar a cabo su enfoque y misión críticos.
1. Utilice un marco de trabajo para ciberseguridad
Si bien algunos pueden poner los ojos en blanco ante la mención de un marco de trabajo de ciberseguridad, es difícil diseñar e implementar un programa de ciberseguridad coherente sin un marco a partir del cual construir. No hay escasez de marcos de ciberseguridad para seguir, con el marco de ciberseguridad de NIST (CSF) y el marco de gestión de riesgos (RMF) entre los más citados.
NIST CSF, por ejemplo, proporciona pautas para mitigar las amenazas de ciberseguridad organizacional. Lo hace a través de las actividades fundamentales de identificar, proteger, detectar, responder y recuperar. Las organizaciones experimentarán estas fases muchas veces a medida que se materialicen los riesgos y las amenazas. Lo que es exclusivo de CSF es que también soporta el uso de perfiles, lo que permite a las organizaciones optimizar el CSF para alinearse mejor con su industria y organización, además existen varios perfiles de ejemplo disponibles para que las organizaciones elijan.
2. Tener visibilidad y conocimiento de los activos a proteger
Ningún programa de ciberseguridad puede ser efectivo sin la visibilidad y el conocimiento adecuados de los activos que debe proteger. Esta es la razón por la que controles como el hardware y el inventario de activos de software han sido parte fundamental de CIS Security Controls durante años.
Una verdad fundamental en ciberseguridad es que no se puede proteger lo que no se ve o no se sabe que existe. En el ambiente actual basado en la nube, los activos tradicionales se están volviendo cada vez más definidos por software y existen en el ambiente de un proveedor de servicios en la nube (CSP). Esto también puede aplicarse a los terminales, ya que el uso de desktops virtuales sigue creciendo. La visibilidad se aplica a todos los activos de la organización, ya sean físicos o virtuales.
3. Reducir el ruido
Los profesionales del equipo azul actuales se enfrentan a innumerables herramientas, plataformas y fuentes para cubrir el ambiente que deben supervisar y proteger. Esto equivale a una vertiginosa variedad de alertas y notificaciones que ponen a prueba su atención, capacidad cognitiva e incluso su moral. Una cosa que se debe hacer para maximizar el valor del equipo azul es minimizar la cantidad de falsos positivos, alertas duplicadas y notificaciones sin valor agregado que desvían su atención de amenazas y riesgos legítimos. Una forma de hacerlo es racionalizar las carteras de herramientas para eliminar la duplicidad y garantizar que el equipo reciba y responda a datos de alta fidelidad.
4. Seleccione herramientas que el equipo pueda dominar y usar de manera efectiva
Los líderes de ciberseguridad pueden sentir la necesidad de adquirir e implementar innumerables herramientas para combatir amenazas y riesgos relevantes, y con razón, ya que existe mucho contra lo que debe protegerse. Estudios han demostrado que, a pesar del crecimiento desenfrenado de las herramientas de seguridad, las preocupantes métricas sugieren que las herramientas no están teniendo el impacto deseado. Por ejemplo, Ponemon informa que las organizaciones en promedio tienen más de 40 herramientas de seguridad y los miembros del equipo admiten que no saben qué tan bien están funcionando. Un estudio de Market Cube señala que los equipos están agregando herramientas más rápido de lo que pueden usarlas de manera efectiva.
Irónicamente, la carga del mantenimiento de las herramientas está comprometiendo la respuesta a las amenazas y, en última instancia, las posturas de seguridad. La introducción de cada herramienta aumenta la carga cognitiva general colocada en un equipo. Se necesita tiempo para aprender sobre la herramienta, provisionarla y configurarla, y luego monitorearla para hacer un uso procesable de su telemetría.
El agotamiento y la sobrecarga cognitiva en ciberseguridad son problemas reales, no solo porque pueden agotar la energía y la moral del equipo, sino porque hacer malabares con demasiadas herramientas significa menos tiempo para optimizarlas y reducir el riesgo organizacional. Como resultado, la proliferación de herramientas puede exacerbar las amenazas y vulnerabilidades en lugar de mitigarlas. Las herramientas en sí mismas también representan una parte de la superficie de ataque de una organización y, a menudo, con privilegios elevados que los actores maliciosos aprovecharán.
5. Ver las cosas desde los ojos de un adversario
Un tema común que se repite en la industria de la ciberseguridad para los profesionales de la defensa es "pensar como un atacante”. Esto es intuitivo, dado que para detener actividades maliciosas uno debe comprender cómo piensa su enemigo. La mejor manera de hacerlo es ponerse en sus zapatos.
Esto significa que es valioso que los profesionales del equipo azul se tomen un tiempo para practicar desde una perspectiva ofensiva. Comprender las herramientas, tácticas y procedimientos relevantes utilizados por los actores maliciosos puede contribuir, en gran medida, a informar cómo los profesionales del equipo azul llevan a cabo sus actividades defensivas. Algunos llaman a esto ser capaz de relacionarse mejor con los atacantes, obteniendo alguna experiencia práctica de seguridad ofensiva en su haber. Esto no tiene que ser en un cambio de rol formal o contra un objetivo real, pero podría facilitarse mediante laboratorios o participando en ejercicios de 'captura de la bandera (CtF, por sus siglas en inglés)'.
6. Luche como si entrenara
El difunto general estadounidense George Patton afirmó una vez: "uno lucha como entrena”. Quería decir que, cuando llegue el momento de pelear, usted actuará de acuerdo con la forma en que ha entrenado. Bajo presión, las organizaciones y las personas no se ponen a la altura de las circunstancias milagrosamente; caen a su nivel de entrenamiento. Esto enfatiza por qué es tan importante entrenar con regularidad y rigor, no solo con ejercicios de simulación y simulacros de papeleo, sino con ejercicios y experiencias reales del equipo rojo. Este es un enfoque maduro que obliga a las organizaciones a no solo especular qué tan preparadas están para detectar incidentes, protegerse contra actores malintencionados y -en última instancia- resistir los ataques, sino demostrarlo. El entrenamiento para la lucha equipará mejor a sus equipos y organizaciones con el fin de enfrentar las amenazas del mundo real.
Basado en el artículo de Chris Hughes (CSO) y editado por CIO Perú
Puede ver también: