En Cybersecurity es normal encontrarse con el desafío de hacer mucho con poco: ¿Cómo podría una sola persona (la encargada del ámbito de la seguridad informática) manejar los desafíos del complejo panorama de cybersecurity que enfrenta cualquier organización? ¿Qué sucede si tú eres el único recurso interno asignado a un rol de seguridad informática y tienes la tarea de proteger una organización?
En este artículo trataremos de enfocarnos en lo que puede hacer ‘una persona’ como componente de seguridad, es algo que sucede muy a menudo (sobre todo en las pequeñas y medianas empresas).
¿Cuáles son las prioridades de protección?
Al igual que con cualquier proyecto, independientemente de los recursos disponibles, identificar las prioridades es clave. Si no se sabe lo que se está protegiendo, ningún esfuerzo en la construcción de un programa tendrá efecto significativo.
Ya sea que se trate de datos, registros de clientes o propiedad intelectual, se debe tener una idea clara ‘en qué’ se basa el resto del programa; eso no quiere decir que cualquier otra información deje de ser importante para proteger. Lo primero es priorizar de manera razonable, y podremos avanzar asumiendo que ‘la persona’ encargada de la seguridad tiene la información indicada en la mano.
¿Por donde empezar?
Algo que definitivamente no debemos hacer es reinventar la rueda. Con todo lo que se ha gastado en la industria de la seguridad en las últimas décadas, podemos aprovechar el subproducto observando la gran cantidad de marcos y lecciones aprendidas que son gratuitas o de bajo costo. Por ejemplo: Los 20 controles críticos de seguridad del Centro de seguridad de Internet.
Esta lista, que se actualiza continuamente, es un recurso gratuito que proporciona todos los métodos investigados y sentido común para mejorar la seguridad. Es importante tener en cuenta que los controles no son una lista de verificación, por el contrario, son un marco que permite a los profesionales de la seguridad evaluar sus componentes actuales (o futuros) del programa en función de un conjunto común de pautas, asegurando que se centren en las medidas de mayor prioridad para alcanzar el mayor impacto positivo en la postura de la organización.
Los controles básicos
1. Conocer tu inventario
Crear y mantener un inventario de hardware y software no es complicado, pero si no sabes qué recursos pueden contener o procesar la información crítica de la organización será difícil tener un impacto positivo. Ya sea que se trate de una hoja de cálculo o el producto de algún tipo de kit de herramientas de escaneo, obtén una lista sólida de lo que está a tu alcance antes de continuar.
2. Limitar el acceso de administrador
Controlar el acceso del administrador es clave. Si bien a menudo es difícil controlar los permisos administrativos previamente otorgados, vale la pena lograrlo. Si tus usuarios tienen derechos administrativos, no se puede imponer una cantidad realista de control en tus sistemas; es así de sencillo. Nada más que podamos implementar importará si un usuario puede anularlo para "jugar un nuevo juego de Facebook" o instalar el último juego gratuito descargado de los rincones sospechosos de Internet. El concepto de menos privilegio es un enfoque central, porque funciona.
3. Configuración segura
Depender del alcance del equipo de TI de la organización, puede ser una tarea importante. A menudo, esto se logra mejor alineando primero las configuraciones de los servidores, luego pasar a la infraestructura de red y posteriormente a las estaciones de trabajo. Incluso garantizar que todas las estaciones de trabajo estén configuradas para aplicar automáticamente actualizaciones del sistema operativo aprobadas localmente (e implementar un plan para garantizar que los servidores reciban el mismo nivel de atención que los requisitos de la misión lo permiten), es un gran paso en la dirección correcta.
4. Recopilar y almacenar registros
Todo el “mantenimiento, monitoreo y análisis de registros” va un poco más allá de lo que un equipo puede manejar. Para esto, sin embargo, insistiría en que los registros se recopilen en una ubicación central y se conserven durante la duración máxima permitida. Esto asegurará que la respuesta a incidentes, la resolución de problemas y las operaciones de investigación en general, se puedan realizar en un conjunto de datos confiable. No es razonable esperar que ‘la persona’ encargada de la seguridad (o incluso un grupo más grande) revise cada entrada de registro periódicamente. Si, en algún momento en el futuro, existe una oportunidad presupuestaria y técnica para aplicar alguna forma de análisis automatizado, como un SIEM, entonces será una gran victoria en este escenario sin recursos.
5. Gestión de vulnerabilidades
La gestión continua de vulnerabilidades (CVM) es uno de los controles de menor prioridad del grupo de control básico. La razón principal es que puede requerir una configuración más complicada que el resto de los controles en este grupo, y los resultados pueden ser algo abrumadores.
Ir más allá de lo básico.
Dentro de los 20 controles, las cosas se ponen un poco más turbias cuando superas al grupo básico. Esto no es una pieza sobre los controles en sí, pero el valor proporcionado por el grupo de control básico es demasiado significativo para no explorarlo en detalle. Sin embargo, en cuanto a los otros 16 controles, recuerda que algunos de estos respaldarán la protección de los datos y recursos críticos de la organización (en diversos grados) y otros no. La idea es priorizar aquellos que tendrán el mayor impacto positivo protegiendo los recursos que manejan los datos más preciados de la organización, y tal vez dejar a los demás para una reconsideración periódica.
Con los fundamentos verdaderos establecidos anteriormente, tendrías una base bastante sólida sobre la cual se pueden agregar cualquier cantidad de capacidades adicionales.
Seguridad de la Red
Desde una perspectiva de red, hay dos recomendaciones principales. Primero, recopila NetFlow de la infraestructura de enrutamiento. Los datos de esta sesión no incluyen el contenido de las comunicaciones de red, pero son un resumen de cada comunicación realizada en el entorno. Los proveedores basados en la nube también ofrecen esto en varias formas. Esto beneficia a nuestro equipo ‘de una persona’ al permitirle consultar rápidamente meses de resúmenes de tráfico en la red. La recopilación de metadatos de red es una excelente manera de obtener respuestas rápidas a preguntas como "¿alguno de nuestros hosts se comunicó con esta IP incorrecta recientemente identificada?" o "¿qué hosts transmitieron una gran cantidad de datos fuera del entorno?".
Desde una perspectiva de red otro de los elementos importantes son las plataformas de Network Security Monitoring (NSM). Las NSM proporcionan una contabilidad de alto nivel de varios artefactos de red importantes. Esto puede incluir consultas y respuestas DNS, URL o nombres de host de sitios web visitados, y más. Zeek NSM (antes conocido como BRO) es la mejor opción en el campo de los Open Source. Esta proporciona archivos de registro con artefactos de docenas de protocolos, y existen numerosas herramientas que pueden analizar, visualizar y poner en funcionamiento su contenido. Zeek también está integrado a muchas otras plataformas de código abierto como Security Onion, que agrega una gran cantidad de funcionalidad adicional. Si bien un despliegue completo de Security Onion puede estar fuera del alcance y las necesidades de nuestro equipo de ‘una persona’, podría ser un buen elemento en la hoja de ruta para cuando más miembros se unan al equipo, o cuando el aparato de seguridad de la organización esté caminando sin problemas y nuevos proyectos pueden ser considerados.
Tercerizando
Una tangente que no se mencionó directamente es ‘cuándo’ asumir estas funciones internamente y ‘cuándo’ encontrar un socio externo para ayudar. No existe una receta fácil para esto, pero generalmente se recomienda un plan que aproveche las prioridades de información establecidas al comienzo del proceso. Identifica qué funciones tendrán el impacto más positivo en la información más crítica de la organización. Desde la parte superior de esa lista, identifica los que se pueden manejar internamente y los que no. Si no está en el alcance técnico de tu equipo para implementar configuraciones seguras en toda la empresa, la tarea no puede dejarse en seco, sino que necesitas ayuda (ya que este es uno de los fundamentos básicos).
Conclusión
Operar un equipo de seguridad individual es una propuesta desalentadora pero no imposible. Al hacer un poco de planificación estratégica, enfocarse en lo básico y desarrollar capacidades donde tendrán el mayor impacto, incluso un "equipo" de seguridad en solitario puede armar un gran programa que aborde los requisitos más importantes de la organización.