Tema 1. Desarrollo de planes de prevención y concienciación en ciberseguridad PDF
Document Details
Uploaded by ProtectiveThallium
UNIR
Tags
Related
- Seguridad Informática y Seguridad de la Información PDF
- Hackers PDF - Escuela técnica N°1 Otto Krause
- UT1. Adopción de pautas de seguridad informática PDF
- Tema 1. Desarrollo de planes de prevención y concienciación en ciberseguridad PDF
- Tema 1. Desarrollo de planes de prevención y concienciación en ciberseguridad PDF
- Introducción a la seguridad informática PDF
Summary
Este documento cubre el tema 1 sobre el desarrollo de planes de prevención y concienciación en ciberseguridad. Incluye secciones sobre supervisión continua de la seguridad, procesos de detección, respuesta a incidentes, análisis y mitigación de amenazas.
Full Transcript
# Tema 1. Desarrollo de planes de prevención y concienciación en ciberseguridad ## Supervisión continua de la seguridad * El sistema de información y los activos se supervisan para identificar los eventos de ciberseguridad y verificar la efectividad de las medidas de protección. Esto requiere que:...
# Tema 1. Desarrollo de planes de prevención y concienciación en ciberseguridad ## Supervisión continua de la seguridad * El sistema de información y los activos se supervisan para identificar los eventos de ciberseguridad y verificar la efectividad de las medidas de protección. Esto requiere que: * La red se supervisa para detectar posibles eventos de ciberseguridad * El entorno físico se supervisa para detectar posibles eventos de ciberseguridad * Se supervisa la actividad de personal para detectar posibles eventos de ciberseguridad * Se detecta código malintencionado * Se detecta el código móvil no autorizado * Se supervisa la actividad de los proveedores de servicios externos para detectar posibles eventos de ciberseguridad * Se realiza monitorización del personal, conexiones, dispositivos y software no autorizados * Se realizan escaneos de vulnerabilidades periódicos ## Procesos de detección * Los procesos y procedimientos de detección se mantienen y prueban para garantizar una concienciación oportuna y adecuada ante los eventos anómalos. Esto requiere que: * Los roles y las responsabilidades de detección están bien definidos para garantizar la responsabilidad * Las actividades de detección cumplen todos los requisitos aplicables * Los procesos de detección se prueban * La información de detección de eventos se comunica a las partes apropiadas * Los procesos de detección se mejoran continuamente ## Responder * En esta sección se aborda la capacidad de contener el impacto de un posible incidente de ciberseguridad. * Deben desarrollarse e implementarse las actividades apropiadas para actuar con respecto a un incidente de ciberseguridad detectado. ## Planeamiento de la respuesta * Los procesos y procedimientos de respuesta se ejecutan y mantienen, para garantizar una respuesta oportuna a los eventos de ciberseguridad detectados. Esto requiere que: * El plan de respuesta se ejecuta durante o después de un evento ## Comunicaciones * Las actividades de respuesta se coordinan con las partes interesadas internas y externas, según proceda, para incluir el apoyo externo de los organismos encargados de hacer cumplir la ley. Esto requiere que: * El personal conoce sus funciones y el orden de las operaciones cuando se necesita una respuesta * Los eventos se notifican de acuerdo con los criterios establecidos * La información se comparte de forma coherente con los planes de respuesta * La coordinación con las partes interesadas es coherente con los planes de respuesta * El intercambio voluntario de información se produce con partes interesadas externas para lograr una mayor concienciación de ciberseguridad ## Análisis * El análisis se lleva a cabo para garantizar una respuesta adecuada y apoyar las actividades de recuperación. Esto requiere que: * Las notificaciones de los sistemas de detección se investigan * El impacto del incidente se entiende * Se realizan análisis forenses * Los incidentes se clasifican de acuerdo con los planes de respuesta ## Mitigación * Se realizan actividades para evitar la expansión de un evento, mitigar sus efectos y erradicar el incidente. Esto requiere que: * Los incidentes se contienen * Los incidentes se mitigan * Las vulnerabilidades recientemente identificadas se mitigan o documentan como riesgos aceptados ## Mejoras * Las actividades de respuesta se mejoran incorporando las lecciones aprendidas de las actividades de detección/respuesta actuales y previas. Esto requiere que: * Los planes de respuesta incorporan lecciones aprendidas * Las estrategias de respuesta se actualizan ## Recuperar * Esta sección aborda la recuperación oportuna de las operaciones normales para reducir el impacto de un incidente de ciberseguridad. * Es necesario desarrollar e implementar actividades apropiadas para mantener los planes de resiliencia y restaurar las capacidades o servicios que se deterioraron debido a un incidente de ciberseguridad. ## Planificación de la recuperación * Los procesos y procedimientos de recuperación se ejecutan y mantienen para asegurar la restauración oportuna de los sistemas o activos afectados por los eventos de ciberseguridad. * El plan de recuperación se ejecuta durante o después de un evento ## Mejoras * La planificación y los procesos de recuperación mejoran incorporando las lecciones aprendidas en las actividades futuras. * Los planes de recuperación incorporan lecciones aprendidas * Las estrategias de recuperación se actualizan ## Comunicaciones * Las actividades de restauración se coordinan con los agentes internos y externos, tales como centros de coordinación, proveedores de servicios de Internet, propietarios de sistemas de ataque, víctimas, otros CSIRTs (equipo de seguridad y respuesta a incidentes), y proveedores. * Las relaciones públicas se gestionan * La reputación después de un evento se repara * Las actividades de recuperación se comunican a las partes interesadas internas y a los equipos ejecutivos y directivos ## Capacidades tecnológicas * Centrándonos en la parte técnica, este apartado describe las principales capacidades tecnológicas relacionadas con la ciberseguridad, si bien deben entenderse que necesitan de una implementación progresiva y adecuada al tipo de organización e infraestructura a proteger, debiendo ir de lo básico a lo más complejo. * Se han agrupado (no pretende ser una relación completa ni exhaustiva de tecnologías asociadas) estas tecnologías en función de la categoría a la que pertenecen, ya sean de protección, prevención y detección y respuesta. | **Categoría** | **Tecnologías** | |---|---| | **Protección** | | | **Seguridad de perímetro** | * Zona desmilitarizada <br> * Sistemas de detección y protección de intrusiones <br> * Mitigaciones DDOS <br> * Protección para el correo <br> * Honeypot <br> * Control de acceso a red <br> * Seguridad Wireless <br> * Tecnología operacional e IOT <br> * Firewalls de red<br> * Sistemas de acceso remoto <br> * Proxy SSL & Filtrado Web<br> * Redes aisladas | | **Seguridad de red** | | | **Seguridad de acceso e identidad** | * Identidad y gestión de accesos <br> * Repositorios de identidad y sistemas de autenticación <br> * SSO y Sistemas de federación <br> * Autogestión de grupos <br> * Autoreseteo de contraseñas <br> * Autenticación sin contraseña, multifactor y biometría <br> * Caja fuerte de credenciales y secretos <br> * Seguridad para los administradores <br> * Equipos de Administración (PAW) <br> * PKI y gestión de certificados | | **Seguridad puesto de trabajo** | * Broker de acceso seguro a la nube <br> * Seguridad integral del endpoint| | **Seguridad de las aplicaciones** | * Desarrollo seguro de código <br> * Proceso de compra de software seguro <br> * Gestión de derechos digitales <br> * Prevención de perdida de datos <br> * Cifrado de base de datos <br> * Enmascaramiento dinámico de base de datos <br> * Copias de seguridad offline | | **Seguridad del dato** | | | **Prevención** | | | **Gestión de activos** | * Cumplimiento normativo <br> * Evaluación de vulnerabilidades <br> * Gestión de riesgos <br> * Modelado de amenazas | | **Detección y respuesta** | * Pentesting <br> * Sistemas de "Sandboxing" y análisis de binarios<br> * SIEM, SOAR, UEBA y detección de anomalías <br> * SOC <br> * Análisis forense | | **Tabla 1.** Resumen de tecnologías de ciberseguridad. Fuente: elaboración propia. | ## 1.4. Introducción a los controles de ciberseguridad ### Introducción a los controles de ciberseguridad * En las lecciones anteriores se ha visto genéricamente el papel de las arquitecturas de referencia para contextualizar y entender el problema a resolver, marcos de referencia aceptados internacionalmente que facilitan de forma metódica cubrir los diferentes ámbitos de la ciberseguridad, así como algunas de las tecnologías más destacadas para securizar nuestros sistemas. * En esta lección, mostraremos los controles de ciberseguridad, entendidos como un conjunto de acciones priorizadas que implementan las mejores prácticas de defensa para mitigar los ataques más comunes contra los sistemas y las redes, tomando como referencia CIS Controls (Center for Internet Security es una organización sin _ánimo_ de lucro cuya misión es identificar, desarrollar, validar, promover y mantener las mejores prácticas en ciberseguridad; ofrecer soluciones para prevenir y responder a incidentes cibernéticos; y construir y guiar a las comunidades para permitir un ambiente de confianza en el ciberespacio). ### Los principios fundamentales de una buena solución de ciberseguridad son: * _La ofensa informa a la defensa:_ utilizar el conocimiento de los ataques reales que han comprometido los sistemas para proporcionar la base para aprender continuamente de estos eventos y construir defensas efectivas y prácticas. * _Priorización:_ invertir primero en los controles que proporcionarán la mayor reducción de riesgos y protección contra los actores más peligrosos y que se pueden implementar de manera viable en su organización. * _Mediciones y métricas_: establecer parámetros comunes para proporcionar un lenguaje compartido para ejecutivos, especialistas en TI, auditores y especialistas en seguridad para medir la efectividad de las medidas de seguridad dentro de una organización, de modo que los ajustes necesarios se puedan identificar e implementar rápidamente. * _Diagnóstico y mitigación continua:_ realizar mediciones continuas para probar y validar la efectividad de las medidas de seguridad actuales y para ayudar a dirigir la prioridad de los siguientes pasos. * _Automatización:_ automatizar las defensas para que las organizaciones puedan lograr mediciones confiables, escalables y continuas de su adhesión a los controles y las métricas relacionadas. ### Los controles aquí definidos están agrupados en 3 categorías tal y como muestra la figura: * **Básicos** : Son cuestiones claves y básicas las cuales deben implantarse en cualquier organización, independientemente su tamaño. - **Inventario y control de activos de _hardware_**: - **Inventario y control de activos de _software_**: - **Gestión continua de vulnerabilidades**: - **Uso controlado de privilegios administrativos**: - **Mantenimiento, seguimiento y análisis de registros de eventos de auditoría de seguridad**: - **Protección de navegadores web y correo electrónico**: - **Defensas contra _malware_**: - **Limitación y control de los puertos, protocolos y servicios**: - **Capacidad de recuperación de datos**: - **Configuraciones seguras para los dispositivos de red, _firewalls_, _routers_ y _switches_**: * **Mejoras** : Son la aplicación de las buenas prácticas relacionadas con la seguridad, las cuales deben ser implementadas de manera gradual por las organizaciones. * **Organizativas** : Estos controles están centrados en las dimensiones de los procesos y las personas involucrados en la ciberseguridad. **Figura 11. Clasificación de los controles CIS. Fuente: Center for Internet Security, s. f.**  ## Controles básicos - **Control 1: Inventario de dispositivos autorizados y no autorizados** * Comprende los procesos y herramientas necesarias para realizar el seguimiento, prevención y control del acceso a la red por dispositivos (ordenadores, equipos de red, impresoras, etc.) basándose en su inclusión en un inventario de existencias. * Este control es importante puesto que los atacantes desde cualquier parte del mundo pueden estar escaneando el espacio de direcciones de una organización, esperando que se conecten sistemas nuevos y desprotegidos a la red. Especial interés existe en los equipos que se conectan y desconectan de la red como laptops o BYOD (Bring-Your-Own-Device), los cuales podrían estar desactualizados de parches o actualizaciones de seguridad, estando así comprometidos. * El control gestionado de todos los equipos juega un rol crítico en la planificación y ejecución de copias de seguridad, respuesta a incidentes y recuperación de sistemas. - **Control 2: Inventario de _software_ autorizado y no autorizado** * Comprende los procesos y herramientas necesarias para realizar el seguimiento, prevención y control de la correcta instalación y ejecución del _software_ en los ordenadores y servidores de la red basándose en las existencias definidas en un inventario de _software_ aprobado para la máquina concreta. * Este control es importante puesto que los atacantes desde cualquier parte del mundo pueden estar escaneando el espacio de direcciones de una organización en busca de versiones de _software_ vulnerable que puedan explotar de forma remota. Algunos atacantes también distribuyen páginas web, archivos de documentos, archivos multimedia y otros contenidos hostiles a través de sus propias páginas web o sitios de terceros de confianza. Cuando las víctimas desprevenidas acceden a este contenido con un navegador vulnerable u otro programa del lado del cliente, los atacantes comprometen sus máquinas, a menudo instalando programas de puerta trasera y bots que le dan al atacante un control a largo plazo del sistema. Algunos atacantes sofisticados pueden usar _exploits_ de día cero, que aprovechan vulnerabilidades previamente desconocidas para las cuales el proveedor de _software_ aún no ha publicado ningún parche. - **Control 3: Bastionado del _hardware_ y _software_ de los ordenadores portátiles, estaciones de trabajo y servidores.** * Comprende los procesos y herramientas necesarias para realizar el seguimiento, control, prevención y corrección de los defectos y debilidades de las configuraciones del hardware y _software_ de dispositivos móviles, portátiles, estaciones de trabajo, y servidores sobre la base de un proceso de control de configuración. * Este control es importante porque las configuraciones predeterminadas entregadas por los fabricantes y revendedores de sistemas operativos y aplicaciones normalmente están orientadas a la facilidad de implementación y la facilidad de uso, no a la seguridad. Controles básicos, servicios y puertos abiertos, cuentas o contraseñas predeterminadas, protocolos antiguos (vulnerables), preinstalación de _software_ innecesario - todos pueden ser explotables en su estado predeterminado. - **Control 4: Evaluación continua de vulnerabilidades y su remediación.** * Comprende los procesos y herramientas necesarias para detectar, prevenir y corregir debilidades de seguridad de las configuraciones de dispositivos respecto a una base de datos de vulnerabilidades. * Poco después de que una vulnerabilidad es descubierta, los atacantes crean un _exploit_ para lanzarlo contra sus blancos de interés. Cualquier retraso importante en actualizar un _software_ con vulnerabilidades críticas proporciona una oportunidad a los atacantes para adquirir el control de la máquina. Actualmente están disponibles gran cantidad de escáneres de vulnerabilidades (OpenVAS, Nessus...) que valoran la configuración de seguridad de sistemas y comparan los resultados del examen actual con los exámenes previos para determinar cómo han cambiado las vulnerabilidades con el tiempo y en el entorno. - **Control 5: Uso controlado de privilegios administrativos** * Comprende los procesos y herramientas necesarias para realizar el seguimiento, control, correcto uso, asignación y configuración de los privilegios administrativos de ordenadores, servidores, portátiles, dispositivos de redes y aplicaciones. * Este control es importante porque el uso indebido de privilegios administrativos es un método principal para que los atacantes se propaguen dentro de una empresa objetivo. * Dos técnicas de ataque muy comunes aprovechan los privilegios administrativos no controlados: * En el primero, el usuario de una estación de trabajo ejecutándose como usuario privilegiado es engañado para abrir un archivo adjunto de un correo electrónico malicioso, descargar y abrir un archivo de un sitio web malicioso o simplemente navegar a un sitio web que alberga contenido del atacante que puede explotar automáticamente los navegadores. El archivo o exploit contiene un código ejecutable que se ejecuta automáticamente en la máquina de la víctima o engaña al usuario para que ejecute el contenido del atacante. Si la cuenta del usuario de la víctima tiene privilegios administrativos, el atacante puede controlar completamente la máquina de la víctima e instalar _keyloggers_, _sniffers_ y _software_ de control remoto para buscar contraseñas administrativas y otros datos confidenciales. * La segunda técnica común utilizada por los atacantes es la elevación de privilegios al adivinar o descifrar una contraseña de un usuario administrativo para obtener acceso a una máquina objetivo. - **Control 6: Mantenimiento, seguimiento y análisis de registros de eventos de auditoría de seguridad** * Comprende los procesos y herramientas necesarias para detectar, prevenir y asegurar el correcto uso de los sistemas de información basándose en auditorías diarias de los eventos que son considerados importantes o pueden afectar la seguridad de una organización. A menudo, las aplicaciones de registros de eventos proporcionan las únicas pruebas de un ataque exitoso. Muchas organizaciones guardan los registros de auditoría con propósitos de mantenimiento y no como medio de obtener datos de ataques ocurridos. Se deben registrar los eventos producidos diariamente y disponer de personal responsable de evaluarlos. * Este control es importante porque las deficiencias en el registro y análisis de seguridad permiten a los atacantes esconder su ubicación, software malicioso y actividades en las máquinas de las víctimas. * La mayoría de los sistemas operativos, servicios de red y tecnologías de _firewalls_, libres y comerciales, ofrecen capacidades de registro. Tales registros deben ser activados y enviados a servidores de registro centralizados. ## Controles de mejora - **Control 7: Protección de Navegadores Web y Correo Electrónico** * Comprende los procesos y herramientas necesarias para minimizar los riesgos relacionados con el uso de los navegadores web y el correo electrónico. Este control es importante porque estos dos vectores son puntos de entrada muy comunes para ataques muy diversos al permitir la interacción directa de los usuarios con sitios externos de distinta procedencia. * Los ciberdelincuentes pueden explotar los navegadores web de múltiples maneras. Si éstos tienen acceso a vulnerabilidades de navegadores vulnerables, pueden crear páginas web maliciosas que pueden explotar esas vulnerabilidades cuando son accedidas mediante un navegador no parcheado. Alternativamente, si las vulnerabilidades dentro del navegador no son accesibles, pueden apuntar a un sinfín de complementos de navegador web comunes que les permitan conectarse al navegador o incluso directamente al sistema operativo. La mayoría de los navegadores populares emplean una base de datos de sitios de _phishing_ y/o de _malware_ para protegerse contra las amenazas más comunes. Asegúrese de que usted y sus usuarios habiliten estos filtros. * **Figura 13. Diagrama entidad-relación protección navegación y correo. Fuente: Frangie, R., 2018.**  - **Control 8: Defensas contra _malware_** * Comprende los procesos y herramientas necesarias para detectar, estudiar, caracterizar, prevenir y eliminar la instalación y ejecución de _software_ malicioso en los dispositivos de la red. El _software_ malicioso es una de las amenazas y peligros más importantes de Internet. Los atacantes usan el _malware_ contra los usuarios finales y organizaciones vía Web, anexos de correo electrónico, dispositivos móviles y otros vectores. El código malicioso puede alterar el contenido de un sistema, capturar datos confidenciales, y propagarse a otros sistemas. * Las defensas contra malware deben ser capaces de operar en este entorno dinámico a través de la automatización a gran escala, la actualización rápida y la integración con procesos como la respuesta a incidentes. También deben implementarse en múltiples puntos posibles de ataque para detectar, detener el movimiento o controlar la ejecución de _software_ malicioso. Las suites corporativas de seguridad de _endpoints_ proporcionan funciones administrativas para verificar que todas las defensas estén activas y actualizadas en todos los sistemas administrados. - **Control 9: Limitación y control de los puertos, protocolos y servicios** * Comprende los procesos y herramientas necesarias para realizar el seguimiento, control, limitación y correcto uso de puertos, protocolos, y servicios de los dispositivos conectados a la red. Los atacantes buscan en la red servicios accesibles y vulnerables susceptibles de obtener su control mediante el lanzamiento de un _exploit_. Muchos paquetes de _software_ instalan servicios automáticamente y los lanzan como parte de la instalación de la aplicación. Cuando esto ocurre, el _software_ no informa al usuario de qué servicios han sido activados. Se suelen usar herramientas de escaneo de puertos, para determinar qué servicios están escuchando en la red. Además de determinar qué puertos están abiertos, los escáneres pueden identificar la versión del protocolo y servicio. Los sistemas defensivos de la organización deben ser capaces de identificar cualquier nuevo puerto en la red abierto no autorizado. * Las herramientas de escaneo de puertos se utilizan para determinar qué servicios están escuchando en la red, para una variedad de sistemas objetivo. Además de determinar qué puertos están abiertos, los escáneres de puertos efectivos se pueden configurar para identificar la versión del protocolo y el servicio que se escucha en cada puerto descubierto. Esta lista de servicios y sus versiones se comparan con un inventario de servicios requerido por la organización para cada servidor y estación de trabajo en un sistema de gestión de activos. Características recientemente agregadas en estos escáneres de puertos se están utilizando para determinar los cambios en los servicios ofrecidos por las máquinas escaneadas en la red desde el escaneo anterior, ayudando al personal de seguridad a identificar las diferencias a lo largo del tiempo. - **Control 10: Capacidad de recuperación de datos** * Comprende los procesos, herramientas y metodología, de demostrado funcionamiento, necesarias para la realización de copias de seguridad y recuperación de la información crítica, en el momento oportuno. * Este control es importante porque cuando los atacantes comprometen máquinas, a menudo realizan cambios significativos en las configuraciones y el _software_. En ocasiones, los atacantes también realizan alteraciones sutiles de los datos almacenados en máquinas comprometidas, lo que puede poner en peligro la eficacia de la organización con información contaminada. Cuando se descubre a los atacantes, puede ser extremadamente difícil para las organizaciones sin una capacidad confiable de recuperación de datos eliminar todos los aspectos de la presencia del atacante en la máquina. - **Control 11: Configuraciones seguras para los Dispositivos de red, _firewalls_, _routers_ y _switches_** * Comprende los procesos y herramientas necesarias para realizar el seguimiento, control, prevención y corrección de las debilidades y defectos en las configuraciones de seguridad en los dispositivos de la red, como cortafuegos, _routers_ y _switches_, basándose en los procesos de control de configuración y control de cambios. * Este control es importante porque las configuraciones predeterminadas para dispositivos de infraestructura de red están orientadas a facilitar el despliegue y la facilidad de uso, no a la seguridad. Servicios y puertos abiertos, cuentas o contraseñas predeterminadas (incluidas cuentas de servicio), soporte para protocolos más antiguos (vulnerables), preinstalación de _software_ innecesario: todos pueden ser explotables en su estado predeterminado. La gestión de las configuraciones seguras para dispositivos de red no es un evento único, sino que es un proceso que implica reevaluar regularmente no solo los elementos de configuración sino también los.
