Una herramienta de concienciación inteligente para una mejor gestión de la ciberseguridad
La falta de mano de obra, junto con un número abrumador de ataques cada vez más sofisticados, hace que la ciberdefensa sea extremadamente difícil. Los equipos de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés) luchan por mantenerse al día. Según explica Brian Lee, coordinador del proyecto financiado con fondos europeos PROTECTIVE: «Necesitan formas de distinguir las alertas críticas que suponen el mayor riesgo para su negocio del ruido de fondo de las alertas de nivel y prioridad bajos. También tienen que comprender mejor el comportamiento, la capacidad y la intención de su adversario para pasar de su actual ciberseguridad reactiva a una postura de seguridad más proactiva». Lee continúa: «A los CSIRT se les exige cada vez más que miren tanto hacia fuera como hacia dentro para adquirir y procesar la inteligencia de amenazas (TI, por sus siglas en inglés) necesaria para desarrollar esa capacidad de detección proactiva». La adopción de una postura de seguridad proactiva aumenta la competencia de los CSIRT para descubrir actividades maliciosas en su ámbito específico antes de que se produzcan daños.
Mejora de la concienciación sobre las amenazas de los CSIRT
El equipo de PROTECTIVE desarrolló una tecnología integral para aumentar la ciberconciencia situacional (CSA, por sus siglas en inglés) organizativa, a través de la mejora de la correlación y la priorización de las alertas de seguridad, la vinculación de la relevancia o gravedad de los activos de una organización a su negocio u objetivos y la creación de una comunidad de intercambio de TI. «Estos tres elementos están fuertemente entrelazados para proporcionar una plataforma integrada de CSA, que se desarrolló en un primer momento para los CSIRT de la comunidad de proveedores de servicios de internet de la redes nacionales de investigación y educación y más tarde para las pymes», explica Lee. Para lograr la CSA, los socios del proyecto desarrollaron un gestor de conciencia situacional de la seguridad de código abierto, que puede aplicarse en cualquier tipo de empresa o sector, y proporciona a los CSIRT la capacidad de capturar, correlacionar, analizar y visualizar las alertas de seguridad en tiempo real. Incorpora interfaces de conectores de «software» para muchos tipos de dispositivos como redes trampa, cortafuegos, sistemas de detección de intrusos y conectores personalizados. Se puede añadir fácilmente cualquier otro tipo de dispositivo o sensor.
Mejora de la supervisión de la seguridad y aumento del intercambio de TI
PROTECTIVE también permite a los CSIRT capturar y modelar activos informáticos bajo su supervisión. Mediante los subsistemas de conocimiento del contexto, una organización puede identificar sus principales objetivos comerciales y definir la relación entre estos, su información fundamental y los activos informáticos. De esta manera, la plataforma asigna una prioridad a cada activo. Esta información se combina con una puntuación casi en tiempo real de los niveles de vulnerabilidad de los diferentes activos. Estas dos características ayudan a clasificar las alertas críticas en función del daño potencial que el ataque puede infligir a los activos amenazados y al negocio de la organización. Las alertas de alto impacto dirigidas a ordenadores centrales tendrán una mayor prioridad que otras alertas. PROTECTIVE mejora esta capacidad de alerta mediante el intercambio en tiempo real de ciberalertas de seguridad de TI factibles entre los CSIRT de diferentes organizaciones. Permite que los CSIRT tengan una mayor conciencia de las ciberactividades más allá de su propia organización. Esto, a su vez, ayudará a los CSIRT a lograr una detección y prevención proactiva de las actividades de ciberdelincuencia en curso. «Gracias a la potente plataforma de código abierto de PROTECTIVE, los CSIRT y las organizaciones están mejor preparados para manejar los ataques entrantes, los brotes de programas maliciosos y otros problemas de seguridad, así como para guiar el desarrollo de los procedimientos de prevención y reparación», concluye Lee.
Palabras clave
PROTECTIVE, CSIRT, activos, alerta de seguridad, ciberseguridad, alertas críticas, ciberataque, inteligencia de amenazas, ciberconciencia situacional
