Conciencia situacional para la ciberseguridad: Una introducción

La conciencia situaciónal o situational awareness (SA) proporciona a los responsables de la toma de decisiones en toda la organización la información y la comprensión que necesitan para tomar buenas decisiones en su trabajo. El conocimiento de la situación puede ser específico para ayudar a las personas y a las organizaciones a proteger sus activos en el ámbito cibernético, o puede ser más amplio; la SA permite obtener información relevante de toda la organización, integrarla y difundirla para ayudar a las personas a tomar mejores decisiones.

En este articulo vamos a explorar el concepto de conciencia situacional en ciberseguridad y en su aplicación en la empresa.

Proteger los activos de la organización

No importa lo pequeña que sea tu organización, hay muchos activos que necesitan ser protegidos de las ciberamenazas.

En un entorno que carece de personal, de fondos y de compromiso, dar prioridad a la protección de ciertos bienes se convierte en una necesidad. Para priorizar, es necesario mejorar la seguridad de los dispositivos individuales, mejorar la seguridad de segmentos específicos de la red o unidades de negocio, responder a las brechas de seguridad y contratar a personas para funciones específicas.

Los activos de una organización existen para llevar a cabo las actividades diarias de la misma. La prioridad de la protección de estos activos debe corresponder a la importancia y a las implicaciones legales de las funciones empresariales que apoyan. Para que esta información influya en el establecimiento de prioridades, los profesionales de la seguridad deben ser capaces de relacionar los activos con las funciones empresariales a las que dan soporte y comprender la importancia de dichas funciones.

No es posible priorizar ni proteger eficazmente sin entender primero qué se protege, por qué, de qué y cómo se protege o no el bien. La parte “qué” de esta información requiere la elaboración y el mantenimiento de una lista detallada de activos. El resto de la información se obtiene a través del contexto de la organización.

Política y gobernanza

La columna vertebral de la protección de los activos es una buena política y gobernanza. Las expectativas de su organización y sus necesidades empresariales determinarán qué actividades constituyen un problema de seguridad. Cuanto más estrictas sean las normas, más fácil será detectar las infracciones y más fácil será evitarlas en primer lugar. Pero para que la detección y la prevención sean eficaces, las políticas y las necesidades deben ser accesibles para los profesionales de la seguridad. Para tomar decisiones precisas, necesitan tener acceso a la información y comprenderla.

Cómo prevenir los incidentes y las violaciones de la seguridad Cómo responder a los incidentes y las violaciones cuando se producen

Cuanto mejor entienda cómo, cuándo y quién utiliza los activos individuales, más probabilidades tendrá de evitar por completo las violaciones de la seguridad, y más rápido podrá detectarlas cuando se produzcan.

Funciones de seguridad

Los elementos de seguridad son los métodos que una organización utiliza para proteger sus activos. Las funciones de seguridad incluyen componentes técnicos, procesos estructurados y prácticas orgánicas. Estas funciones cubren todo el ciclo de vida de los activos, las protecciones y los eventos. Estas funciones suelen abarcar varios equipos, y la información que cada uno genera es necesaria para informar a las demás funciones. Las actividades de la función de seguridad pueden cambiar el entorno de forma proactiva y, como resultado, repercutir en las prioridades y la eficacia de otras funciones, tanto de seguridad como de negocio.

Acerca del conocimiento de la situación (SAA)

Hay muchas explicaciones sobre la conciencia de la situación, incluidas las cuatro funciones de percepción, comprensión, proyección y resolución en el modelo definido por primera vez por Mica Endsley, y el bucle OODA “observar, orientar, decidir, actuar”. Aunque estos modelos son buenos para entender el concepto de conocimiento de la situación, su aplicación práctica a la ciberseguridad no siempre está clara.

En términos prácticos, podemos pensar en el conocimiento de la situación en términos de cuatro elementos

Saber lo que debe ser. Comprender la situación actual. Inferir que lo que es y lo que debería ser no están de acuerdo. Haz algo con la diferencia.

Saber lo que debe ser.

Antes de que pueda entender el estado de la ciberseguridad de su empresa, necesita tener una buena comprensión de lo que debería estar pasando en esa empresa. En particular, debe saber lo siguiente

Usuarios autorizados de sistemas y dispositivos internos y externos Dispositivos autorizados y para qué se utilizan Procesos y aplicaciones autorizadas Dónde están autorizados y cómo contribuyen a la organización

Cuanto más precisa sea la información de que disponen los profesionales de la seguridad, más fácil será deducir y tomar medidas cuando surja un problema de seguridad. Una información precisa significa tener políticas de seguridad claramente definidas, controles de acceso eficaces, un inventario actualizado y diagramas de red detallados. Sin embargo, el reto es que la información de una organización a menudo no está documentada, está incompleta o no está actualizada. En estas situaciones, los analistas se ven obligados a extrapolar la información a través de líneas de base y similares, lo que, en el mejor de los casos, sólo proporciona una imagen semiactual de la situación de la organización.

Comprender la situación actual

Saber lo que debería ser es diferente de saber lo que es: en primer lugar, recopilar información sobre las intenciones de la organización (lo que la organización intenta hacer para alcanzar sus objetivos); en segundo lugar, examinar lo que está ocurriendo realmente en la organización; y en tercer lugar, comprender lo que está ocurriendo en el ciberespacio. Un equipo de seguridad no puede controlar directamente todo lo que hay en el ciberespacio. Deben utilizar las diversas herramientas a su disposición para obtener visibilidad en el ámbito del ciberespacio, geográficamente disperso y en gran medida invisible. En una futura entrada del blog hablaremos con más detalle de cómo conseguir esta visibilidad, pero la idea general es hacer un seguimiento de lo siguiente

Vulnerabilidades conocidas presentes en los dispositivos, procesos/aplicaciones y usuarios observados Vulnerabilidades conocidas presentes en los dispositivos, procesos y aplicaciones observados Cómo cambia el uso de los distintos sistemas y dispositivos Patrones y ciclos de uso presentes en los sistemas, dispositivos y usuarios

Este enfoque aprovecha e integra la información de los puntos de captura para ayudar a los analistas que apoyan la función de seguridad a deducir “lo que debería ser” y “lo que no debería ser”. Sin embargo, la arquitectura de sensores necesaria para seguir la actividad es costosa y requiere muchos recursos. Para que los procesos y los analistas puedan acceder a la información y combinarla eficazmente, es necesario construir un sistema robusto, colaborativo o distribuido para el conocimiento de la situación.

Justificar cuando el objetivo y la realidad no coinciden

Los problemas de seguridad surgen cuando ocurren cosas que no deberían. Por ejemplo, una persona no autorizada accede a un dispositivo, un dispositivo de grabación se configura para escuchar la red o un dispositivo de cifrado se ejecuta en un servidor web. Algunas de estas situaciones pueden detectarse fácilmente si son visibles. Por ejemplo, si el registro de seguridad está activado en un dispositivo, puede utilizar los registros de seguridad para averiguar cuándo un ID de usuario no autorizado intenta acceder al dispositivo. Si todos los puntos finales deben utilizar el resolvedor interno del Sistema de Nombres de Dominio, cualquier dispositivo que no esté en uso se puede encontrar registrando y mirando el tráfico de red que sale de la empresa.

Por desgracia, muchos de los problemas de seguridad que tratamos requieren inferencia. Por ejemplo, los registros de seguridad pueden rastrear el inicio de sesión exitoso de un ID de usuario en un sistema, pero no pueden determinar si ese inicio de sesión fue realizado por la persona a la que se le asignó el ID de usuario o si ese ID de usuario fue robado. Esta determinación requiere una inferencia, que es más difícil. Los métodos de inferencia incluyen

Violaciones directas de la política Desviaciones de los datos históricos (grandes cambios en el estado real) Valores atípicos anómalos que aparecen en el análisis de detección de valores atípicos Identificación de novedades Coincidencia de tácticas, técnicas y procedimientos (TTP).

Estas ideas se explorarán en futuras entradas del blog.

Las diferencias prácticas que deben abordarse no sólo están relacionadas con la seguridad, sino también con el negocio y la eficiencia. El reto aquí es que es técnicamente imposible o prácticamente imposible analizar toda la información relevante para entender “lo que es” y toda la información relevante para entender “lo que debería ser”. Cómo se elige qué subconjunto de observaciones se va a comparar con qué subconjunto de contextos es una cuestión de prioridades y recursos. Por lo tanto, es importante que los contextos, la visibilidad y los recursos disponibles reflejen con exactitud al profesional.

Cómo afrontar las diferencias

Saber lo que debería haber, hacer un seguimiento de lo que hay y pensar en lo que debería haber no tiene sentido a menos que la empresa planee actuar sobre lo que aprende. Las empresas suelen tomar medidas cuando determinan que hay una clara violación de la seguridad. Limpian las infecciones de malware, investigan las posibles violaciones de datos y denuncian el robo de recursos y datos personales. Sin embargo, si una organización no cree que un incidente de seguridad es la diferencia entre lo que debería ser y lo que es, es menos probable que haga algo al respecto. Este fallo dificulta la deducción de incidentes de seguridad en el futuro. Cuantos más elementos no coincidan con lo que deberían ser (por ejemplo, usuarios autorizados, dispositivos, uso), más ruido habrá, lo que dificulta la inferencia.

Las organizaciones deben asegurarse de que la información sobre las

Proceso de conocimiento de la situación

El conocimiento de la situación es el proceso de recopilar información relevante de toda la organización, integrarla en información procesable y compartirla para que las personas de la organización puedan tomar mejores decisiones. Para que el conocimiento de la situación sea eficaz

también requiere tecnologías que apoyen la recogida, el análisis y el almacenamiento de grandes cantidades de datos, así como la capacidad de asignar subconjuntos de datos de observación a los correspondientes subconjuntos de contexto por prioridad para maximizar el uso de los recursos.

Incluso las organizaciones mejor financiadas y más maduras tienen lagunas de información sobre dónde están y dónde deberían estar. Por lo tanto, un conocimiento eficaz de la situación requiere una comprensión de los datos que pueden complementarse para sacar conclusiones adecuadas a partir de la información disponible, así como una comprensión de las limitaciones de esas conclusiones.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

A %d blogueros les gusta esto: