Evolución crítica necesaria y expansión dirigida hacia la ciberseguridad cognitiva intensiva
Prof. Dr. Javier Areitio Bertolín – E.Mail: jareitio@deusto.es. Catedrático de la Facultad de Ingeniería. Universidad de Deusto. Director del Grupo de Investigación Redes y Sistemas
04/11/2019Se trata de prevenir, defender y realizar un tratamiento proactivo y acelerado de forma efectiva y eficiente (con escuchas intrusivas y no intrusivas, análisis de datos en tiempo real, tecnología cognitiva, detección temprana anticipada, bloqueo, aislamiento, mitigación, tolerancia a fallos (alta disponibilidad/HA, failover, redundancia de recursos, etc.), ciber-vacunación, ciber-disuasión, ciber-resiliciencia ciber-inmunidad, ciber-engaño (distracción, desinformación, deception combinada, DDPs/Distributed-Deception-Platforms), inteligencia de ciber-amenazas y de vulnerabilidades (que crea y aporta conocimientos, genera precisión en las acciones-operaciones-decisiones), contención, recuperación/reversibilidad/reversión, gestión de ciber-riesgos, de contingencias y continuidad del negocio, etc. todo tipo de acciones maliciosas o fortuitas generadoras de ciber-riesgos.
El resultado es obtener inmunidad no negativa, contención, filtrado, eliminación, bloqueo, recuperación, vuelta a la normalidad evitación de ciber-amenazas anidadas, en vida latente, ciber-ataques, ciber-intrusiones, ciber-infecciones auto-mutantes, persistentes, degradaciones extremadamente lentas basadas en tecnología antiforense, etc. La ciberseguridad cognitiva intensiva entiende, razona y aprende, utiliza análisis no estructurado, lenguaje natural, machine learning, analítica de ciberseguridad (correlación de datos, identificación de patrones, workflow, detección de anomalías, priorización, visualización de datos, etc.). La detección de ciber-amenazas es una de las áreas de mayor potencial para ML. Las principales técnicas ML en ciberseguridad cognitiva intensiva son: (i) Clasificación. Es la capacidad para tomar un punto de datos desconocido que parece benigno (fichero, correo electrónico, entrada de log, etc.) y compararlo con un gran conjunto de datos (repositorio de datos) previamente identificados y averiguar si es malicioso o no. (ii) Clustering. Se utiliza para SUBA (Security User Behavior Analysis) que intenta detectar actividad maliciosa de usuarios. También identifica ciberataques de red. En el ámbito de los SOC modernos que utilizan NAV (Network Analysis and Visibility) permite representar en un mapa los datos de ciber-ataques y los datos normales. (iii) Regresión. Se basa en observar una variedad de datos muestreados y otros de una clasificación y comparar las medidas matemáticas específicas de los datos en relación al valor de media estándar. Los puntos de datos medidos más lejanos de la media estándar son los probables que merecen análisis adicional.
Operaciones de ciberseguridad relacionadas con los código-protocolos de buenas prácticas para ciberseguridad cognitiva intensiva
Se puede identificar un colectivo de operaciones muy variadas, por ejemplo:
1) Test de penetración (Pentest). ¿Ha intentado atacar de forma ética, hacking ético (pen-test) sus propios sistemas-redes para testear el nivel de seguridad de dichos sistemas-redes y sus capacidades, habilidades y niveles para defenderse contra dichos ciber-ataques? Utilizando equipos multidisciplinares para ciber-ataques utilizando herramientas multifuncionales como Nmap, rootkits, sniffers, keyloggers, Metasploit, craqueadores de contraseñas, macro-herramientas de síntesis de malware avanzado, ciberarmas, etc.
2) Backups redundantes. ¿Realiza copias de seguridad de toda la información crítica, con que frecuencia y grado de redundancia? ¿Se encuentran los backups almacenados offline u online? ¿Comprueba la capacidad de revertir los backups durante un ciber-incidente? ¿Los backups los guarda cerca de los sistemas donde se realizan las copias de seguridad o se distribuyen a gran distancia?
3) Análisis de riesgos. ¿Realiza auditorías de código estáticas y dinámicas, valoraciones y análisis de riesgos de ciberseguridad en su organización de forma regular? Por ejemplo, utilizando frameworks como IEC-62443. ¿Utiliza Magerit, Pilar, Octave?
4) Planes de contingencias y de continuidad de negocios. ¿Puede sostener las operaciones sin acceso a ciertos sistemas? ¿durante cuánto tiempo? ¿ha comprobado este hecho con baterías de test? ¿utiliza cold-sites y hot-sites fijos y móviles? ¿emplea redundancia masiva?
5) Whitelisting de aplicaciones. ¿Sólo permite que los programas aprobados y autorizados se ejecuten en su red? ¿inhabilita todos los puertos no usados en los firewalls y fuerza la actualización de las contraseñas por defecto en la instalación cada poco tiempo?
6) Escaneo de vulnerabilidades y gestión de parches. ¿Implanta de forma regular escaneos de los sistemas y red y aplica los parches de vulnerabilidades del sistema conocidas?
7) Formación rigurosa del personal. ¿Tiene planes de concienciación y de sensibilización mejorados (que dejen huellas permanentes) por capacitación (desarrollos de habilidades) con competencias basadas en la resolución de problemas? ¿Ha formado a su personal sobre códigos y protocolos de buenas prácticas en ciberseguridad? ¿a qué nivel? ¿etiqueta a sus empleados con títulos de diversos niveles (por ejemplo, similares a los de inglés B1, B2, C1), etc. contra phishing, ingeniería social, habilidades en ciberseguridad cognitiva, etc.?
8) Antimalware (antivirus, antispyware, filtrado Web, IPS, etc.). ¿Implementa y exige AVs actualizados en todos sus dispositivos (PLCs, PCs, servidores y controladores SCADA, smartphones, tablets, HMI, BDs históricas, etc.)?
9) IAM. ¿Utiliza IAM? Con autenticación multi-factor, autenticación mutua, sin revelar el secreto basado en tecnología ZK, etc. Cuantos factores utiliza: lo que uno sabe (PIN, contraseña, etc.), lo que uno lleva (smartcard, token-hardware, token-software, implante RFID, etc.), lo que uno es (biometría fisiológica o de comportamiento), su localización (outdoor utilizando redes de satélites como GPS, Galileo, Glonass, Beidou, etc. o localización in-door basada en i-Beacon/Bluetooth), su instante de tiempo (fecha, hora, minuto, segundo, etc.), un SMS recibido con un valor secreto como factor adicional a la contraseña, tarjeta de juego de barcos, etc.
10) Otras herramientas de seguridad. ¿Utiliza: IDS/IPS (Intrusion Detection/Prevention Systems), DLP (Data Leak Prevention), NGFW (New Generation Firewalls), IDS/IPS, DDP (Distributed Deception Platforms), UTM (Unified Threats Management), SIEM (Security Information and Event Management), LDAP/AD, IAM, SOC, zonas de aislamiento-contención, protección multi-nivel, etc.?
Categorías de controles ISO/IEC 27002 para ciberseguridad cognitiva intensiva
En el estándar ISO/IEC 27002 se pueden identificar las siguientes categorías de controles de ciber-seguridad que se pueden correlacionar con los códigos y protocolos de buenas prácticas:
1) Control de acceso. Se trata de los requisitos de control de acceso (de la organización, negocio, industria/ICS/CPS). Se pueden identificar cuatro casos:
i. Acceso a redes y servicios de red. Se trata de limitar el acceso del usuario a la red y monitorizar de forma persistente el uso de los servicios de red.
ii. Gestión de acceso del usuario. A tres niveles: (a) Gestión de derechos de acceso con privilegios. Restringir y controlar la asignación y uso de derechos de acceso privilegiados. (b) Gestión de información de autenticación secreta. Controlar la asignación de contraseñas, cambiar las contraseñas del fabricante por defecto, así como cambiarlas periódicamente. (c) Revisar los derechos de acceso del usuario de forma continuada y después de cualquier cambio. Cada entidad sólo debe tener los privilegios mínimos para poder realizar sus tareas.
iii. Responsabilidades del usuario. Utilizar la información de autenticación secreta. Asegurarse que los usuarios sigan las políticas de contraseñas de la organización (elevada entropía, cambios periódicos y mecanismos de límite de pocos reintentos) y las políticas de navegación Web y de no descarga de software no autorizado.
iv. Control de acceso al sistema y a las aplicaciones. A tres niveles: (a) Restricción de acceso a la información. Se trata de restringir el acceso a la información y aplicaciones en base a una política de control de acceso. (b) Procedimientos de log-on seguros. Se trata de controlar el acceso a los sistemas y aplicaciones por un procedimiento de log-on seguro. Utilizar autenticación MF (multi-factor) y mutua. (c) Sistema de gestión de contraseñas. Los sistemas de gestión de contraseñas deberían asegurar la calidad de las contraseñas (si se permite contraseñas de baja entropía se debería integrar un mecanismo de limitación del número de reintentos con bajo valor, para un PIN de cuatro caracteres numéricos sólo se permiten tres veces para equivocarse).
2) Seguridad de las comunicaciones. Se trata de la gestión de seguridad de red. A dos niveles: (a) Segregación en redes (compartimentando la red en subredes VLAN y uso de SDN/Software Defined Networking). Se trata de segregar grupos de servicios de información, usuarios y sistemas en redes. La herramienta Metasploit automatiza la tarea de comprobar si la segmentación de red es operativa y efectiva. (b) Procedimientos y políticas de transferencia de información. Se trata de proteger la transferencia de información a través de todos los tipos de facilidades de comunicación y uso de VPN, cifrado y esteganografía.
3) Seguridad de las operaciones. Se pueden identificar tres casos: (i) Protección contra malware estableciendo controles contra malware. Se trata de implantar controles de detección y prevención para protegerse contra malware. Se escanean equipos (para comprobar que el filtrado de URLs y el escaneo de reputación Web se encuentra habilitada, que los clientes de correo electrónico se configuran para bloquear ciertos adjuntos, que el software anti-malware se encuentra instalado, habilitado y actualizado), se detectan y bloquean procesos maliciosos en todos los endpoints y pendrives. (ii) Logging y monitorización. A tres niveles: (a) Registro de logs. Se trata de registrar las actividades de los usuarios y de los eventos de ciberseguridad. (b) Protección de la información de logs. Se trata de proteger la información de los logs contra modificaciones y accesos no autorizados. (c) Logs del administrador y operador. Se trata de logear y revisar las actividades del administrador y operador del sistema de forma regular. (iii) Gestión de vulnerabilidades técnicas. Se trata de evaluar la exposición de la organización a las vulnerabilidades y los riesgos asociados.
4) Gestión de ciber-incidentes. Se pueden identificar cuatro casos: (i) Responsabilidades y procedimientos. Se trata de establecer responsabilidades y procedimientos para responder a los incidentes de ciberseguridad. (ii) Valorar y decidir sobre los eventos de ciberseguridad. Se trata de valorar los eventos para decidir si tienen que ser clasificados como incidentes de ciberseguridad. (iii) Responder a los incidentes de ciberseguridad. Se trata de responder a los incidentes de ciberseguridad de acuerdo a los procedimientos documentados. Se utilizan servicios de respuesta a ciber-incidentes para contenerlos. (iv) Recogida de evidencias. Se trata de definir y aplicar procedimientos para identificar y recoger evidencias. Se correlaciona con la ciber-forensia (cadena de custodia de ciber-evidencia con hash).
5) Adquisición, desarrollo y mantenimiento del sistema. Se trata de la protección en el desarrollo y soporte de procesos. Se pueden identificar tres casos: (i) Revisión técnica de aplicaciones después de cambios de la plataforma de operación. Se trata de revisar y testear aplicaciones críticas del negocio cuando se cambian las plataformas de operación para identificar vulnerabilidades. (ii) Testear la seguridad del sistema. Se trata de realizar test de la funcionalidad de seguridad durante el ciclo de vida del desarrollo para identificar vulnerabilidades. Se utilizan servicios de test de penetración. (iii) Test de la aceptación del sistema. Se trata de realizar test de aceptación para nuevos sistemas de información, actualizaciones y nuevas versiones. Se utilizan servicios de test de penetración, escaneo dinámico de nuevas aplicaciones (Web y APPs móviles) y nuevas versiones para identificar debilidades y vulnerabilidades.
6) Políticas de seguridad de la información. Se trata de un elemento de la gobernanza en ciberseguridad. Permite establecer una dirección de gestión en ciberseguridad. Se pueden identificar dos casos: (i) Políticas para la política de información. Se trata de definir, aprobar y comunicar un conjunto de políticas para la seguridad de la información. Como servicios a utilizar desarrollo de programas de ciberseguridad. (ii) Revisión de las políticas de ciberseguridad. Se revisan las políticas a intervalos planificados o si ocurren cambios significativos. Se pueden utilizar herramientas como valoración de madurez en ciberseguridad.
7) Gestión de los activos. Se trata de la trazabilidad de los activos. Se pueden identificar tres casos: (i) Trazabilidad para los activos. A dos niveles: (a) Inventario de activos. Se trata de identificar los activos de la organización y mantener un inventario de dichos activos (tanto legales como no autorizados que se exploran en todos los dispositivos incluso en los de los empleados como APPs, etc.). (b) Propiedad de los activos. Se trata de asignar un propietario de activo para los activos mantenidos en el inventario. (ii) Clasificación de la información. Se trata de clasificar la información y activos en términos de valor, criticidad y sensibilidad. (iii) Gestión de medios removibles. Se trata de implantar procedimientos para gestionar el uso de medios removibles (pendrives USB, etc.) desde el punto de vista de la existencia o no de malware.
8) Cumplimientos. Se trata de revisar la seguridad de la información. Se pueden identificar dos casos: (i) Revisión independiente de seguridad de la información. Se revisa el enfoque para gestionar la seguridad de la información a intervalos planificados. Se pueden utilizar servicios y herramientas como valoración de la madurez de la ciberseguridad. (ii) Revisión del cumplimiento con las políticas y estándares regulatorios como RGPD, HIPAA, SOX, PCI-DSS, CIPA (Children's Internet Protection Act), etc. Se pueden utilizar herramientas como metasploit, servicios de test de penetración.
En el estándar ISO 27002 se pueden identificar los siguientes catorce capítulos: políticas de seguridad de la información, organización de la seguridad de la información, seguridad relativa a los recursos humanos, gestión de activos, control de acceso, criptografía, seguridad física y del entorno, seguridad de las operaciones, seguridad de las comunicaciones, adquisiciones y mantenimiento de los sistemas de información, relación con proveedores, gestión de incidentes de seguridad de la información, aspectos de seguridad para la gestión de la continuidad y cumplimiento.
Códigos-prácticas-medidas-controles en el ámbito de la gobernanza de la ciberseguridad para ciberseguridad cognitiva intensiva
La gobernanza de la ciberseguridad engloba las estrategias, aspectos organizativos, gestión de riesgos, marco de gobierno y de control, cultura de ciberseguridad (concienciación, sensibilización, formación, adiestramiento pedagógico, etc.), cumplimientos (normas, estándares de ciberseguridad, leyes, reglamentos, regulaciones, códigos y protocolos de buenas prácticas, etc.), nivel de reporting, inteligencia de vulnerabilidades, inteligencia de ciber-amenazas, gestión de contingencias y continuidad de negocios, etc... Las organizaciones deben establecer e implantar un marco de gobernanza en ciberseguridad que soporte la toma y escalado de decisiones informada dentro de la organización para identificar y gestionar los riesgos de ciberseguridad. Se utilizan herramientas con interfaz de usuario GUI/CLI con dashboard, cuadros de mando y pantallas de realidad aumentada. El marco debe incluir políticas de gestión de riesgos, procesos y estructuras acopladas con los controles relevantes construidos para la naturaleza de los riesgos en ciberseguridad a la que la organización se enfrenta y los recursos que la organización tiene disponible. Estas prácticas efectivas son:
1) Definir un marco de gobernanza para soportar la toma de decisiones en base a los riesgos que se presenten.
2) Asegurar la gestión madura activa y apropiada a la organización, compromiso a nivel de la junta directiva de las cuestiones de ciberseguridad.
3) Utilizar métricas y umbrales para informar a los procesos de gobernanza.
4) Dedicar recursos para conseguir la postura de riesgo deseada.
5) Realizar la valoración de riesgos de ciberseguridad estática y dinámica.
Una práctica efectiva para las organizaciones es establecer y mantener una gobernanza para la gestión de los riesgos de ciberseguridad, así como los controles relacionados apropiados al tamaño de la organización y a la naturaleza de su exposición a los riesgos en ciberseguridad. El marco en gobernanza de ciberseguridad debe articular los roles y responsabilidades de las unidades de la organización y de los individuos dentro de dichas unidades. La gobernanza en ciberseguridad se refiere a establecer políticas, procedimientos y procesos para gestionar y monitorizar los requisitos operacionales, los riesgos, el entorno, las cuestiones de cumplimiento legales y de regulación de una forma que se entienda dentro de la organización y que informe a su gestión (implantación de dichas medidas de gobernanza) de los riesgos en ciberseguridad.
El marco de gobernanza debe permitir a las organizaciones ser conscientes de los riesgos de ciberseguridad relevantes, estimar su severidad y decidir cómo gestionar cada riesgo (es decir acepta-asumir si el riesgo es menor que el umbral establecido por dirección, mitigar utilizando contramedidas-salvaguardas adecuadas, transferir bien externalizando los servicios de protección de ciberseguridad a empresas especializadas con SOCs o bien contratar a una empresa de seguros para ciberseguridad o evitar por ejemplo separando el servidor de producción del servidor de ensayos). La mayor parte del tiempo de las organizaciones se gastará en mitigar riesgos que incluye la identificación, selección, implementación, monitorización del rendimiento y actualización de los controles que las organizaciones utilizan en sus planes y programas de ciberseguridad. El realizar estas tareas de forma efectiva presenta un desafío de gobernanza significativo. Las organizaciones necesitan incorporar múltiples vistas (desde negocios, tecnologías de la información, operacionales, gestión del riesgo y auditoría interna y externa) en conjunción con la gestión madura y visto bueno de la junta directiva para implementar un plan-programa de ciberseguridad efectivo. Dependiendo de las organizaciones la unidad de negocios o tecnología de información puede ser la responsable de la selección de la primera línea, de la implantación y monitorización de los controles de ciberseguridad.
Por otra parte, la función de gestión de riesgos proporciona estándares y objetivos que monitorizan de la implantación de dichos controles. Finalmente, una función independiente apropiadamente (es decir auditoría interna y externa) puede valorar la implantación y efectividad del plan-programa de ciberseguridad de la organización. Esto puede incluir valoración de los controles y procesos de ciberseguridad de la organización para determinar si funcionan como se espera y para evaluar si los controles son apropiados al grado de riesgo de la organización.
Frentes y objetivos en las arquitecturas de ciberseguridad cognitiva intensiva
En una arquitectura de ciberseguridad se pueden identificar diversos frentes:
1) Procesos. Reacción dinámica frente a ciber-incidentes (con mapas cognitivos, multi-agentes, teoría de juegos, sistemas de soporte de toma de decisiones, etc.), redes de sensores, exploradores, gestión de cambios, evaluación de riesgos, gestión de parches-actualizaciones, avatares de protección, planes directores de protección y ciberseguridad, gestión del rendimiento, gestión de eventos, reparación, políticas de acceso, restauración de backups redundantes, backups, archivo, instalación, etc.
2) Tecnologías. Inteligencia artificial, antivirus, IAM, gestión de parches, firewall, NGFW, SIEM, IPSec, PKI, Kerberos, AAA, SSL/TLS, cifrado de ficheros, directorios LDAP/AD, supervisión, IDS, SOC, IPS, DLP, DDP, honeypot, honeynet, clustering, HA, failover, hot-site, cold-site, sistemas operativos, hipervisores, sandboxing, deep-learning, machine-learning, VPN, VLAN, DMZs, RAID, PUF, cloud-computing, fog-computing, edge-computing, BigData/Analytics, realidad virtual, realidad aumentada, etc.
3) Personas. Usuarios, administradores, desarrolladores, administrador de dominio, soporte del servicio, administrador corporativo, invitados, auditores internos y externos, etc.
Correlación entre la familia de controles y códigos-protocolos de buenas prácticas para ciberseguridad congnitiva intensiva
La familia de controles de ciberseguridad debería cubrir todas las necesidades de protección y correlacionarse con los códigos-protocolos de buenas prácticas implantados. Se puede identificar un número creciente de funciones de controles:
1) Detección. Aquí se integran como posibles categorías de dicha función: comportamiento del usuario, comportamiento de la aplicación, heurística de la aplicación, firma de la aplicación, comportamiento de la red, heurística de la red, firma de la red, comportamiento del end-point, heurística del end-point, firma del end-point, sistemas de correo electrónico (no en end-point), etc.
2) Protección. Aquí se integran como posibles categorías de dicha función: Autorización, autenticación, validación del protocolo y entrada a la aplicación, prevención de malware, fortalecimiento del API, aplicar el mínimo privilegio, fortalecimiento del sistema, integridad del sistema/whitelisting de aplicaciones, integridad de los datos, cifrado de los datos (en reposo, transito), permitir cifrado/esteganografía de datos, aplicar aislamientos y limitaciones, servicios de no repudio, disponibilidad y resiliencia, concienciación, formación y educación,
3) Inventario. Aquí se integran como posibles categorías de dicha función (que exige herramientas de descubrimiento automatizado de activos tanto autorizados como ilegales que permite crear el inventario completo): descubrimiento y reconciliar, catalogar y organizar, detección anómala, desmantelar/cierre, eliminar.
4) Recolección. Las entidades que producen inteligencia de ciberseguridad son de especial relevancia por su capacidad de crear conocimientos. Aquí se integran como posibles categorías de dicha función: el descubrimiento de datos y del tráfico, logging del sistema y almacenamientos (con herramientas como SIEM, servidores syslog, etc.), fuentes de logging, descifrado del tráfico (por ejemplo: SSH, SSL, TLS), requisitos de logging, integridad el logging. Uso de herramientas contra la esteganografía.
5) Gestión. Aquí se integran como posibles categorías: control de configuración, verificación y auditoría, gestión de vulnerabilidades, gestión de parches, gestión de cuentas, gestión de riesgos, definición de la línea de fondo, etc.
6) Respuesta. Aquí se integran como posibles categorías de dicha función: las alertas selectivas, la gestión de ciber-incidente y la ciber-forensia, el sistema de gestión de inteligencia, los alimentadores de inteligencia, las TTPs adversarias, los planes de respuesta para los N escenarios mas relevantes, la recuperación y restauración (por ejemplo, de backups, recursos redundantes, canales de respaldo, etc.).
Correlación entre gobernanza y políticas de ciberseguridad para ciberseguridad cognitiva intensiva
La gobernanza en IT/OT se ocupa de los aspectos estratégicos y operacionales de la ciberseguridad, cubre cumplimientos (GDPR, PCI-DSS, SOX, etc.), normativas como ISO-27000/27001, BS-7799-3 (Gestión de riesgos de ciberseguridad), auditoría, controles contra malware, gestión de activos, etc. El objetivo de una política de ciberseguridad es proporcionar directrices para la gestión y el apoyo de la ciberseguridad de acuerdo con los requisitos del negocio/organización/industria y las leyes/normas aplicables. La política de ciberseguridad constituye por tanto la herramienta clave para:
a) Materializar la declaración de intenciones de la alta dirección en relación a la ciberseguridad de la organización.
b) Proporcionar soporte y guía por parte de la alta dirección para establecer una ciberseguridad sincronizada con los requisitos del negocio/organización/industria y con el cumplimiento de las leyes/normas que le sean de aplicación.
c) Mejorar la concienciación sensibilidad de la organización/industria en relación a la ciberseguridad.
La política de ciberseguridad debe contener al menos los siguientes aspectos:
1) Una definición de ciberseguridad de los objetivos que persigue y de su ámbito de aplicación.
2) El respaldo/apoyo/compromiso explícito de los responsables finales de los procesos de negocio/industria que se desea proteger.
3) Una definición de las responsabilidades generales y explícitas en materia de ciberseguridad incluyendo la comunicación de incidentes de ciberseguridad.
4) Mención a los mecanismos existentes para identificar y gestionar el riesgo.
5) Referencias a la existencia de documentación que apoye a la política (políticas más detalladas y específicas, procedimientos, instrucciones de trabajo, etc.)
6) Realización de revisiones periódicas para garantizar que las directrices que establece siguen siendo las más adecuadas a lo largo del tiempo y el mantenimiento de la ciberseguridad a lo largo del tiempo.
7) Una breve explicación de los requisitos más importantes a cumplir por la organización, como, por ejemplo, cumplimiento de los requisitos legales, reglamentarios o contractuales, requisitos de capacitación, formación y concienciación en ciberseguridad, gestión de la continuidad del negocio, consecuencias de la trasgresión de la política de ciberseguridad.
8) Debe proporcionar una visión de alto nivel acerca de la ciberseguridad dentro de la organización/industria evitando reflejar detalles técnicos u operativos. Los detalles específicos de la ciberseguridad de los distintos componentes contenidos en el alcance del sistema estarán detallados en otros documentos subordinados a la política de ciberseguridad.
Se recomienda la utilización de diversos niveles de documentación bajo la política sincronizando en todo caso los mismos a las directrices que en la materia ya han podido establecerse en la entidad (de esta forma se facilita la modificación de las piezas en caso de que sucedan modificaciones a los componentes del alcance, por ejemplo si se sustituye un modelo de dispositivo de control por otro, la política de control de acceso a dicho dispositivo permanece sin cambios ya que los requisitos de ciberseguridad siguen siendo los mismos y sin embargo habrá que volver a escribir las instrucciones técnicas que explican la forma en el nuevo dispositivo en el que deben implementar los requisitos establecidos por dicha política).
Estos niveles de documentación son:
1) Nivel estratégico. La propia política de ciberseguridad.
2) Nivel táctico. Políticas generales o específicas que detallen y concreten la política de ciberseguridad para componentes, conjuntos de componentes o ámbitos determinados
3) Nivel operativo. Aquí se incluyen:
a. Procedimientos. Documentos que recogen el conjunto de tareas detalladas, secuenciales y específicas con el fin de soportar en la operativa diaria todos los aspectos recogidos en las políticas de ciberseguridad. Los procedimientos son documentos que especifican el quién, cómo, dónde y cuándo deben realizarse las tareas específicas.
b. Instrucciones de trabajo. Basándose en los procedimientos y para entornos o sistemas concretos podrán elaborarse instrucciones de trabajo, que documenten de forma explícita y detallada las acciones técnicas a realizar en la ejecución de dichos procedimientos, estableciendo directrices a nivel técnico muy detallado y concreto.
Tipos de eventos de ciber-amenazas que pueden generar ciberincidentes a tratar por la ciberseguridad cognitiva intensiva
Una vulnerabilidad es atacada por una ciber-amenazas y el resultado es un ciber-incidente. Se pueden identificar entre otros los siguientes tipos de eventos de ciber-amenazas:
1) Manipulación de la lógica de control. Se modifica bien el software del sistema de control o los valores de configuración produciendo resultados impredecibles y caóticos.
2) Modificación de sistemas de seguridad. Se manipula el funcionamiento de los sistemas de ciberseguridad de modo que o bien no funcionan cuando se les necesita o bien realizan acciones de control incorrectas que ocultan ciberataques, malware o dañan al sistema OT, CPS, ICS, IT, etc.
3) Malware en sistemas de control. Se trata de introducir software malicioso (virus, gusanos, troyanos, APTs, ARTs, etc.) en el sistema IT/OT.
4) Denegación de la acción de control. El funcionamiento de los sistemas de control se interrumpe retardando o bloqueando el flujo de información, de este modo, se deniega la disponibilidad de las redes para los operadores del sistema de control o se crean cuellos de botella en las transferencias de información o se hace denegación del servicio mediante los servicios residentes en IT (como, por ejemplo, DNS).
5) Falsificación de la información de estado del sistema. Se envía información falsa a los operadores del sistema de control bien para disimular cambios no autorizados o bien para que los operadores del sistema inicien acciones inapropiadas e incluso caóticas.
6) Reprogramación de dispositivos de control. Se realizan cambios no autorizados a las instrucciones programadas en PLCs (Programmable Logic Controllers o autómatas programables), RTUs (Remote Terminal Units), DCS (Distributed Control System), controladores SCADA (Supervisory Control And Data Acquisition), se cambian umbrales de alarmas o se emiten comandos no autorizados a equipos de control que pueden dar lugar potencialmente a daños de equipos (si se exceden las tolerancias), al cierre prematuro de procesos (por ejemplo, se cierran prematuramente líneas de transmisión), se pueden causar incidentes medioambientes o incluso inhabilitar equipos de control. SCADA es un sistema de elementos software y hardware que permite a las organizaciones OT-industriales: (a) Controlar procesos industriales localmente o en localizaciones remotas. (b) Monitorizar, recoger y procesar datos en tiempo real. (c) Interactuar directamente con dispositivos tales como sensores, actuadores, motores, válvulas, cilindros, bombas, etc. utilizando software HMI (Human Machine Interface). El computador HMI/SCADA supervisa y controla desde una estación de trabajo. La vista del panel HMI/SCADA, supervisa y controla desde un terminal operacional. (d) Registrar eventos en un fichero de logs. Los PLCs y los RTUs (alimentan datos al sistema SCADA. Entradas manuales envían datos a los PLCs o RTUs. Los sensores envían datos a los PLCs y RTUs.) son en esencia microcomputadores que se comunican con sensores, actuadores, HMI, dispositivos finales.
Consideraciones finales
La ciberseguridad cognitiva intensiva trabaja en la prevención y el tratamiento precoz de todo tipo de procesos infecciosos con ciber-amenazas (malware), ciber-intrusiones, ciber-incidentes, ciberataques, ciber-brechas, etc. utiliza un enfoque estilo conjunto-equipo multifuncional-multidisciplinar (combinando el ciberespacio con el mundo real, realidad aumentada, realidad disminuida, realidad virtual, post-realidad, etc.) con IA, herramientas sofisticas cognitivas, operaciones y prácticas especiales basados en códigos-protocolos de buenas prácticas y controles críticos, predice y se adapta a las futuras ciber-amenazas, identifica, prioriza y remedia vulnerabilidades existentes, detecta y detiene ciber-ataques en progreso en escala y velocidad, desempeña un papel clave a la hora de identificar y contener ciber-amenazas con analítica avanzada, acelerar la respuesta con inteligencia externa, proteger las aplicaciones, mejorar el nivel de ciber-riesgo, etc.
El Instituto SANS identifica los siguientes veinte (top-20) controles de ciberseguridad críticos y los correlaciona con su grado de severidad: Inventario de dispositivos autorizados y no autorizados (muy alta severidad); Inventario de software autorizado y no autorizado (muy alta severidad); Configuraciones seguras para el hardware y para el software (muy alta severidad); Localización, valoración y remedio (vía parches y actualizaciones) de vulnerabilidades de forma continuada (muy alta severidad); Utilización controlada de privilegios administrativos (severidad media alta); Mantenimiento, monitorización y análisis de logs de auditoría (severidad alta); Protección del navegador Web y del correo electrónico (severidad alta); Defensas contra el malware/virus (severidad media baja); Limitación y control de los puertos de red (severidad media baja); Capacidad de recuperación de datos (severidad media alta); Configuraciones seguras para los dispositivos de red (severidad media alta); Defensa de las fronteras (severidad media alta); Protección de datos (severidad media alta); Acceso controlado basado en lo que se necesita conocer (severidad media baja); Control de acceso inalámbrico (severidad media baja); Monitorización y control de cuentas (severidad media baja); Valoración de las habilidades de seguridad y formación adecuada para rellenar vacío (severidad media baja); Seguridad del software de aplicaciones y auditoría de código (severidad media baja); Gestión y respuesta a ciber-incidentes (severidad media baja); Test de penetración y ejercicios “red team” (severidad media baja).
Referencias
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2019.
- Areitio, J. 'Integración SIEM-SOC: ciberseguridad-privacidad motores clave y esencia de la accesibilidad y sostenibilidad real y creíble en nuestra sociedad'. Revista Eurofach Electrónica. Nº 468. Enero 2019.
- Areitio, J. 'Exploración horizontal y vertical de la ciberseguridad y privacidad: entorno y núcleo'. Revista Eurofach Electrónica. Nº 463. Pp. 54-62. Abril. 2018.
- Areitio, J. 'Estrategias y tácticas de defensa a los intentos de intrusión y ataques en ciberseguridad-privacidad'. Revista Eurofach Electrónica. Nº 467. Noviembre 2018.
- Areitio, J. ‘Protección frente a la sofisticación de las armas cibernéticas’. Revista Eurofach Electrónica. Nº 466. Octubre 2018.
- Areitio, J. ‘Identificación y análisis de tecnologías para la ocultación de información en redes’. Revista Eurofach Electrónica. Nº 389. Mayo 2010.
- Areitio, J. ‘Análisis y exploración de mecanismos de control de acceso físico: correlación seguridad física-ciberseguridad’. Revista Eurofach Electrónica. Nº 426. Febrero 2014.
- Alazab, M. and Tang, M. “Deep Learning Applications for Cyber Security”. Springer. 2019.
- Tiller, J.S. “Adaptive Security Management Architecture”. Auerbach Publications. 2010.
- Madsen, T. “The Art of War for Computer Security”. Springer. 2019.
- Bone, J. “Cognitive Hack: The New Battleground in Cybersecurity... the Human Mind”. Auerbach Publications. 2017.
- Obaidat, M.S., Traore, I. and Woungang, I. “Biometric-Based Physical and Cybersecurity Systems”. Springer. 2019.
- Peter Cooper, P. “Cognitive Active Cyber Defense: Finding Value Through Hacking Human Nature”. Journal of Law and Cyber Warfare. 2018.
- Ellis, R. and Mohan, V. 'Rewired: The Past, Present and Future of Cybersecurity'. Joh Wiley & Sons Inc. 2019.
- Brooks, C.J., Craig, P. and Short, D. 'Cybersecurity Essentials'. Sybex. 2017.
- Brotherston, L. and Berlin, A. 'Defensive Security Handbooks: Best Practices for Securing Infrastructures'. O`Reilly Media. 2017.
- Flores, M.A. “The Language of Cybersecurity”. XML Press. 2018.
- Benson, V. and McAlaney, J. “Cyber Influence and Cognitive Threats”. Academic Press. 2019.
- Guo, S. and Zeng, D. “Cyber-Physical Systems: Architecture, Security and Application”. Springer. 2019.
- Stamp, M. “Introduction to Machine Learning with Applications in Information Security”. Chapman and Hall/CRC. 2017.
- Gupta, B.B., Martinez, G., Agrawal, D.P. and Gupta, D. “Handbook of Computer Networks and Cyber Security: Principles and Paradigms”. Springer. 2019.
- Carey, M.J. and Jin, J. “Tribe of Hackers: Cybersecurity Advice from the Best Hackers in the World”. Wiley. 2019.
- Benson, V. and McAlaney, J. “Emerging Cyber Threats and Cognitive Vulnerabilities”. Academic Press. 2019.
- Johnson, L. “Security Controls Evaluation, Testing and Assessment Handbook”. Academic Press. 2019.
Las organizaciones deben establecer e implantar un marco de gobernanza en ciberseguridad que soporte la toma y escalado de decisiones informada dentro de la organización para identificar y gestionar los riesgos de ciberseguridad