Esperar a solucionar un incidente no es suficiente

Esperar a solucionar un incidente no es suficiente

1024 355 Diego Oñate Peinado
¿Se puede detener un ataque antes de que suceda?

No, no vamos a hablar de viajes en el tiempo en este artículo. Lo que vamos a tratar aquí, conmemorando el día Internacional de la Seguridad de la Información, es lo que podemos hacer como empresa para minimizar las posibilidades de que un incidente llegue a ocurrir en nuestra infraestructura.

¿Qué podemos hacer para evitar un incidente?

Hay diferentes motivos por los que una empresa puede sufrir un incidente de seguridad, pero los más comunes se deben a un agujero de seguridad en la infraestructura. Esta situación puede paliarse teniendo un buen sistema de alerta temprana de vulnerabilidades y una correcta gestión de las mismas.

¿Qué es un sistema de alerta temprana de vulnerabilidades?

Un sistema de alerta temprana de vulnerabilidades es un servicio encargado de informar, advertir y ayudar a los clientes con las últimas amenazas que intentan aprovechar debilidades en los sistemas.

¿Cómo funciona este servicio?

El modelo más común de alerta temprana de vulnerabilidades consta de las siguientes fases:

  1. Se solicita información sobre el alcance definido, con el fin de configurar las plataformas y versiones inicialmente monitorizadas.
  2. Identificación de vulnerabilidades. El servicio de alerta temprana monitoriza bases de datos de publicación de vulnerabilidades y detecta aquellas que puedan afectar a los productos especificados en el alcance.
  3. Por cada vulnerabilidad detectada, se identifica el CVE (Common Vulnerabilities and Exposures) asociado, su fecha de publicación, la puntuación CVSS (Common Vulnerability Scoring System) y una descripción de la vulnerabilidad.
  4. Generación de informe. A partir de la información recopilada en la etapa anterior, se genera un informe detallando los resultados obtenidos.
  5. Comunicación del informe. En función de la periodicidad especificada se facilitará un informe que reflejará el nivel de criticidad de cada vulnerabilidad para ayudar a priorizar la aplicación de medidas correctoras.
  6. Análisis de informe. Una vez recibido el informe de alerta temprana, deberá ser analizado para evaluar si alguna de las vulnerabilidades reportadas pudiera resultar un falso positivo y etiquetarlo como tal.
¿Por qué es importante un servicio de alerta temprana?

Este servicio puede ayudar a prevenir futuros ataques. Para ello, con la información obtenida, en la alerta temprana, se pueden realizar las siguientes acciones para mitigar la amenaza:

  • Aplicar parches de seguridad a productos afectados por nuevas vulnerabilidades.
  • Hacer hincapié en la monitorización de los servicios más afectados en la actualidad.
  • Aplicar reglas en los sistemas de protección de la infraestructura si se conoce el origen de la amenaza.
¿De qué fuentes de información disponemos para dar este servicio?

Grupo Oesía, como miembro del FIRST (Forum of Incident Response and Security Teams), comparte información sobre amenazas, incidentes y emergencias de seguridad con instituciones nacionales, internacionales y empresas públicas y privadas de todo el mundo. De esta forma, se asegura una rápida detección de cualquier amenaza ocurrida en cualquier parte del mundo. También se dispone de los avisos y alertas del CCN (Centro Criptológico Nacional), del INCIBE (Instituto Nacional de Ciberseguridad), NIST (National Institute os Standards and Technology), etc…