El valor de un CERT en la prestación de servicios MDR

PROTEGIENDO A LAS EMPRESAS EN UN MUNDO DIGITAL AMENAZANTE: LA IMPORTANCIA DEL MDR 

En los últimos años, las empresas han tomado mayor conciencia de los problemas de ciberseguridad, debido a las constantes amenazas que surgen en el ciberespacio, como el malware, el phishing y el ransomware. 

La gestión de la seguridad se ha vuelto cada vez más compleja, lo que requiere que las empresas cuenten con habilidades especializadas en su equipo interno. Sin embargo, encontrar estas habilidades en el mercado no siempre es fácil y además puede resultar costoso, lo cual no todas las empresas pueden permitirse debido a la escasez de talento. 

Esta combinación de factores ha llevado a las pequeñas y medianas empresas (PYMES) a externalizar la gestión de la seguridad, especialmente en lo que respecta a la gestión de incidentes, a empresas especializadas capaces de hacer frente a los diversos desafíos relacionados con los servicios de Managed Detection & Response services (MDR, por sus siglas en inglés). 

El servicio de MDR ofrece un monitoreo, detección y respuesta efectiva y oportuna ante las amenazas cibernéticas. Se basa en el uso de tecnologías avanzadas, análisis de datos e inteligencia de amenazas respaldadas por la experiencia en ciberseguridad del personal asignado, el cual suele trabajar de forma remota en un Centro de Operaciones de Seguridad (SOC).

En cierto sentido, el MDR se asemeja al modelo de Proveedor de Servicios de Seguridad Gestionada (MSSP, por sus siglas en inglés), ya que externaliza el monitoreo, detección y respuesta de seguridad, pero además añade capacidades adicionales de defensa proactiva, como la búsqueda de amenazas dentro de la infraestructura de tecnología de la información que puedan evadir las soluciones de seguridad existentes (threat hunting). 

Un servicio de este tipo permite a las empresas: 

• Aumentar el nivel de protección de sus sistemas y datos, reduciendo el riesgo de sufrir ataques cibernéticos maliciosos. 

• Tener una mayor visibilidad y una cobertura más amplia frente a amenazas, incluyendo las más sofisticadas y persistentes. 
• Mejorar la capacidad para detectar actividades sospechosas o anómalas dentro de su red mediante la identificación y validación de incidentes. 
• Contar con una respuesta rápida y eficaz ante incidentes cibernéticos, con actividades de control, remedio y recuperación operativa. 
• Beneficiarse de la experiencia y el conocimiento especializado de los especialistas del proveedor de servicios de seguridad, que ofrecen soporte y asesoramiento continuo las 24 horas del día, los 7 días de la semana. 
• Optimizar los costes y los recursos dedicados a la ciberseguridad al confiar en un servicio gestionado y escalable externalizado. 

Este servicio, por tanto, es perfecto para las PYMES y también para aquellas empresas que no tengan un gran presupuesto dedicado a la ciberseguridad y a herramientas especializadas. Con este servicio, las empresas pueden obtener beneficios importantes en términos de resiliencia, competitividad y cumplimiento de las normativas. 

Como veremos a continuación, las habilidades típicas de respuesta a incidentes de un servicio de MDR se ven enormemente mejoradas con la ayuda de un CERT (Computer Emergency Response Team), un equipo especializado en prevenir y contrarrestar las amenazas cibernéticas, ya que agrega un componente de defensa proactiva, esencial en un escenario de riesgo en constante evolución como el cibernético. 

MANAGED DETECTION & RESPONSE SERVICES 

Los servicios de MDR son proporcionados por proveedores especializados que, basándose en tecnologías adecuadas, procesos y procedimientos bien definidos, y en un equipo de profesionales altamente capacitados en ciberseguridad (analistas, incident responders, hackers éticos, investigadores forenses), son capaces de garantizar de forma remota la seguridad cibernética de una organización mediante el análisis y la respuesta oportuna a las amenazas cibernéticas. 

Estos recopilan y analizan información relacionada con la seguridad informática de una empresa, actuando rápidamente cuando ocurre un ataque, a través de un proceso probado de gestión de incidentes de seguridad para contrarrestar las amenazas cibernéticas. Es capaz de detectar intrusiones dentro del perímetro corporativo gracias al monitoreo continuo de las anomalías detectadas por las herramientas de seguridad. Realiza acciones para contener los incidentes y mitigar sus impactos, restaurando el funcionamiento de los sistemas atacados para garantizar la continuidad del negocio mediante un proceso efectivo de respuesta a incidentes. 

Por lo tanto, el objetivo de un MDR es proteger los sistemas TIC y, lo que es más importante, los datos procesados por una organización, construyendo una estrategia defensiva efectiva, desde el monitoreo de seguridad de toda la infraestructura de tecnología de la información hasta la participación de los departamentos de negocio afectados, para resolver el incidente lo más rápido posible. 

Además, un MDR también debe ser capaz de prevenir amenazas mediante el estudio de los comportamientos de los ciberdelincuentes (actores de amenazas), comprendiendo qué vectores se utilizan para llevar a cabo ataques y qué técnicas y tácticas se emplearán para explotar vulnerabilidades. Una vez identificados, se notifica a la empresa sobre los riesgos que enfrenta y se implementan medidas preventivas para reducir la probabilidad de ser víctima de ataques cibernéticos. 

Estas actividades de prevención pertenecen al ámbito de Cyber Threat Intelligence y son algunas de las que normalmente ofrece un CERT, un componente cada vez más relevante de un servicio de MDR moderno, cuyo objetivo principal también es ayudar a los usuarios de la organización con problemas de ciberseguridad, así como prevenir posibles incidentes futuros y promover la cultura y la conciencia en ciberseguridad. 

Esto no quiere decir que un servicio de MDR deba necesariamente hacer uso de los servicios de un CERT, pero sin duda su coexistencia mejora en gran medida las capacidades de defensa proactiva y reactiva ofrecidas por un proveedor de tales servicios. Del mismo modo, la presencia de servicios de NOC (Network Operation Center) dentro de la oferta de MDR hace que las actividades de contención en la infraestructura de los clientes sean aún más eficientes cuando se requiere la intervención de un firewall para aislar segmentos de red sospechosos de intrusión o detectar tempranamente anomalías en el tráfico de la red. 

 

Las tareas que un servicio de MDR puede beneficiarse al contar con un CERT incluyen: 

• Asistencia especializada: Los CERT brindan apoyo a los usuarios que experimentan o informan un incidente informático, ayudándoles a resolver el problema y restaurar las operaciones normales. 

 

• Investigación y desarrollo: Los CERT analizan vulnerabilidades y amenazas que afectan a los sistemas de tecnología de la información y desarrollan soluciones y herramientas para mitigarlos o eliminarlos, a menudo publicándolos de forma gratuita en su Github. 

 

• Formación y Concienciación: Los CERT organizan cursos, seminarios y talleres para capacitar a los usuarios en ciberseguridad y en las mejores prácticas que pueden adoptar para proteger sus datos y dispositivos, o para evitar caer víctimas de ataques de ingeniería social (por ejemplo, phishing). 

 

• Compartir información: Los CERT difunden información y advertencias sobre amenazas y vulnerabilidades de seguridad de las tecnologías de la información y la comunicación, a través de sitios web, boletines, newsletters, redes sociales y otros canales de comunicación, con el fin de concienciar a los usuarios sobre los riesgos existentes y las contramedidas disponibles. 

 

Nos gustaría aclarar que estos son servicios que un CERT puede proporcionar independientemente de si forma parte o no de un servicio de MDR, pero si están integrados en dicho servicio, lo hacen aún más completo y efectivo, en beneficio de la organización del cliente, ya que se convierte en un único punto de contacto válido para todos los asuntos de ciberseguridad (todo en uno). 

¿QUÉ ES UN CERT? 

El término CERT se ha convertido en un nombre genérico para un equipo que proporciona una serie de servicios: gestión de incidentes de ciberseguridad (servicio principal), monitorización de seguridad, gestión de vulnerabilidades, conocimiento de la situación y difusión de información de ciberseguridad.  

A lo largo de los años, el papel de un CERT ha evolucionado desde simplemente proporcionar servicios de monitoreo y gestión de incidentes hasta coordinar y comunicarse con diversas partes interesadas, incluyendo diferentes países y sectores específicos del mercado. 

Existen diferentes tipos de CERT, dependiendo de su ámbito de actuación, es decir, la categoría de usuarios a los que se dirigen. Existen CERT nacionales, que se ocupan de la ciberseguridad de todo un país. En España, esta función está cubierta por el CCN-CERT, el Centro Criptológico Nacional – CERT. 

También existen CERT regionales, que se centran en una área geográfica específica, CERT sectoriales, que se enfocan en comunidades específicas de manera funcional (por ejemplo, en España el CERT-FIN en el sector financiero, etc.), y CERT internos, que se encargan de la ciberseguridad de una organización individual- 

Los CERT trabajan en colaboración a nivel nacional e internacional para intercambiar información y mejores prácticas. También existen organizaciones que coordinan y respaldan el trabajo de los CERT, como ENISA (Agencia Europea de Ciberseguridad), FIRST (Foro de Equipos de Respuesta a Incidentes y Seguridad) y CERT/CC (Centro de Coordinación de CERTs), el primer CERT establecido en 1988 en la Universidad Carnegie Mellon en Estados Unidos, que mantuvo los derechos de autor del acrónimo durante varios años, lo que llevó a diversas instituciones a adoptar acrónimos similares (CSIRT, CIRT, SIRT, etc.). Solo recientemente CERT/CC liberó los derechos para que cualquiera pueda utilizar el acrónimo CERT. 

SERVICIOS DE MDR Y CERT OFRECIDOS POR INNOVERY 

Innovery, líderes en la industria de la ciberseguridad, ofrece un servicio de MDR (Detección y Respuesta Gestionada) adaptado a medida para sus clientes, para satisfacer las necesidades de diferentes tipos de empresas y entidades, capaz de reducir significativamente los costes, al mismo tiempo que aumenta considerablemente los niveles de seguridad. Este servicio cuenta con el respaldo de su propio CERT, donde operan analistas e ingenieros de ciberseguridad que se ocupan de una variedad de tecnologías de seguridad siempre actualizadas. 

El CERT de Innovery, CERT-INN, nació recientemente al integrar la experiencia existente de nuestro SOC con el equipo interno de Seguridad Ofensiva, y lanzar una serie de iniciativas de proyectos para ofrecer los servicios típicos de un CERT, como Alerta Temprana, Concienciación en Ciberseguridad, Evaluación de Riesgos Digitales, Threat Intelligence, etc., de acuerdo con el Marco de Servicios de CSIRT de FIRST. 

El objetivo principal de CERT-INN es apoyar la seguridad de los clientes de Innovery (constituencia externa), pero también la infraestructura de TIC interna. El proceso de acreditación está en curso por parte de organismos internacionales de coordinación de CERT, como FIRST y Trusted Introducer.  

En la entrega de servicios de MDR, especialmente en las fases de prevención y recuperación, Innovery hace uso de sus Centros de Competencia en Ingeniería especializados en diferentes áreas de seguridad (SIEM, SOAR, EDR, NetSec, IAM, PAM, DLP, Seguridad de Datos, etc.) para respaldar al personal de operaciones de seguridad, siguiendo un enfoque de SecOps que es particularmente eficaz para satisfacer las necesidades en constante evolución de sus clientes en la gestión y evolución de las tecnologías existentes. 

Además, Innovery también ofrece servicios de NOC por separado o en conjunto con los servicios de MDR. En este último caso, puede brindar una cobertura integral e integrada de la respuesta a incidentes de TIC del cliente, tanto en incidentes de ciberseguridad como en aquellos relacionados con el funcionamiento anómalo de la infraestructura de red, sistemas y aplicaciones.