Las normas ISO 27001 e ISO 27002, actualizadas en 2022

 

El BOE publicó en junio de 2023 las normas UNE que la Dirección General de Industria y de la Pequeña y Mediana Empresa aprobó en mayo. Entre ellas “UNE-ISO/IEC 27001:2023. Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos” y “UNE-EN ISO/IEC 27002:2023. Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información”. Tal cual, son las normas que ISO aprobó en 2022.

La ISO 27001 es un sistema de gestión de la seguridad información para proteger los datos personales y otra información sensible. La norma insta a que se desarrollen políticas, procedimientos y controles que involucren a personas y tecnologías a cumplir con los requisitos de seguridad de la organización y se pueda certificar. La ISO 27002 es una guía para seleccionar controles propuestos en la 27001 y facilitar su implantación.

Los cambios en los requisitos de la 27001 son menores. Los más destacables se encuentra en el Anexo. El Anexo recopila la lista de los controles que pueden aplicarse. Es en la 27002 donde éstos se explican con más detalle.

Las novedades de la ISO 27002

Los cambios que encontramos:

- Los controles e dividen en secciones: organizativos, de personas, físicos y tecnológicos.

- Se reducen la cantidad de controles, pasando de 114 a 93 pero no desparece ninguno.

- 57 controles se integran en 24

- 23 controles cambian de nombre.

- 11 controles son nuevos

- 1 control se divide en 2

Los nuevos controles

Describiremos brevemente:

• Inteligencia sobre amenazas. La organización deberá obtener información para comprender que amenazas que la acechan. Constituye una respuesta proactiva. Esta información será útil para construir defensas y mitigar los riesgos. Se divide en diferentes ámbitos.
• Inteligencia Estratégica destinada a proporcionar información de alto nivel para que la organización tome decisiones en función de la evaluación del impacto y del riesgo.
• Inteligencia Operativa para conocer campañas de ciberataques, el momento y las intenciones de ataque específicos.
• Inteligencia Táctica para descubrir los TTP (Tácticas, Técnicas y Procedimientos), los actores implicados y las actividades que podrán desarrollar para materializar los ataques.
• Inteligencia Técnica cuyo objetivo es conocer el vector de ataque o las vulnerabilidades que se explotarían. Una misma táctica puede ejecutarse con diferentes técnicas.

• Seguridad en los servicios en la nube. La tendencia es desplazar el equipamiento físico a servicios en la nube. Es necesario comprender los riesgos asociados a este servicio. La relación con el proveedor del servicio debe ser fluida. Se debe definir e implementar el uso de los servicios y el reparto de la responsabilidad entre el proveedor del servicio en la nube y el cliente. Además hay que tener en cuenta que tendremos nubes públicas, privadas o híbridas.

• Las TIC en la continuidad de negocio. La continuidad de negocio debería caer en la ISO 22301. El plan de continuidad es vital para que la organización y los empleados mantengan funcionando el negocio. Ahora se incluye como un control para obligar a la empresas a tenerlo. Los planes de recuperación se centrarán en cómo prevenir, mantener o recuperar el negocio ante una situación disruptiva como ocurrió con la pandemia.

• Supervisión de la Seguridad Física. Está destinado proteger el edificio y los equipos de su interior. Permitir o no el acceso a determinadas personas y observar su movimiento dentro de las instalaciones. Este control recurre a la videovigilancia y esta actividad está regulada por la ley y reglamento de protección de datos. Habrá que tenerlos en cuenta.

• Gestión de la Configuración. Se ha añadido debido a que muchas compañías no lo están realizando correctamente. La configuración consiste en establecer atributos a un producto, sabiendo, además que estos cambiarán a lo largo del tiempo. Aquí se incluye al proceso de Gestión del Cambio y se involucran otras áreas de la empresa, muchas veces, con intereses opuestos. Es necesario que los cambios se aprueben, se auditen para comprobar que se han realizado y se mantienen en funcionamiento. Deberán implantarse estos procesos superando los escollos de la propia organización.

• Eliminación de la información y Enmascaramiento de datos. Se alinean con los requisitos de la ley y reglamento de protección de datos, por lo tanto, habrá que tener en cuenta.

• Prevención de la fuga de datos. Aplicable a las redes y sistemas que procesan, almacenan o transmiten información. Es necesario identificar y categorizar los datos confidenciales. La protección básica es el control de acceso a determinados datos. Principalmente, hay que controlar la información que entra y sale a través del perímetro de la red y alcanza los puntos finales de los usuarios como portátiles o teléfonos móviles y la posibilidad de grabarla en discos, memorias, archivos externos, etc. Las herramientas DLP (Data Loss Prevention) están ampliamente desarrolladas y la implantación del control no debería ser complicada.

• Actividades de monitorización. Es un control especialmente destinado a los sistemas de red y aplicaciones. Se debe monitorizar el comportamiento anómalo y tomar acciones adecuadas para evaluar los posibles incidentes. Hay que considerar si todos los elementos deben o pueden ser monitorizados. El control no indica cómo se debe realizar. Actualmente no hay un consenso sobre cuales son las medidas adecuadas para su implementación.

• Filtrado web. Utiliza el concepto de filtrado para impedir la conexión con destinos inadecuados, inseguros, o siendo inocuos, consumen ancho de banda. Actualmente se está aplicando a través de proxys o firewalls.

• Codificación insegura. La intención de este control es que el software se escriba de forma segura para evitar la creación de posibles vulnerabilidades. Se realizará el seguimiento a lo largo del desarrollo del proyecto y no tener que esperar a la verificación en el producto final.

El período de transición

El periodo de transición hacia la nueva certificación 27001 será gradual. Los organismos certificadores también están sometidos a la transición. Deberán conocer e interpretar la normativa. Se dará la situación en que la nueva 27002 tenga que enfrentarse a la 27001 antigua. Esta situación deberá resolverse cuando llegue. La certificación con los nuevos requisitos dependerá si la organización va iniciar la certificación o si ya lo está. Si está certificada, el momento adecuado para afrontar los cambios sería cuando correspondiese hacer una auditoría de seguimiento o de renovación. Entonces se estudiará como desarrollar los nuevos controles.

No obstante, podemos adelantar que las primeras acciones serán:

- La redacción de nuevos documentos de Declaración de Aplicabilidad.
- La Creación o modificación de políticas, procesos y procedimientos para el despliegue de los controles.
- El análisis de riesgo sufrirá los cambios desde el primer momento y habrá que ser más meticuloso en su realización.

 Conclusión

Los fabricantes comercializan productos muy avanzados para cubrir algunos de los controles. La recomendación es iniciar la certificación en 27001 lo antes posible con las soluciones del mercado y observar su evolución en el cumplimiento de los requisitos.

Artículo publicado en la revista Antena número 201 de junio 2024. Edita el Colegio Oficial de Ingenieros Técnicos de Telecomunicación. 

 

Referencias

Resolución de 5 de junio de 2023, de la Dirección General de Industria y de la Pequeña y Mediana Empresa, por la que se publica la relación de normas UNE aprobadas por la Asociación Española de Normalización, durante el mes de mayo de 2023.

ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements

ISO/IEC 27001:2022/Amd 1:2024 Information security, cybersecurity and privacy protection — Information security management systems — RequirementsAmendment 1: Climate action changes

ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

UNE-EN ISO/IEC 27001:2023. (Versión corregida en fecha 2024-05-29). Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos. (ISO/IEC 27001:2022)

UNE-EN ISO/IEC 27002:2023. (Versión corregida en fecha 2023-06-21). Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información. (ISO/IEC 27002:2022)

Un libro, aunque a estas fechas ya se ha quedado anticuado.

GÓMEZ FERNÁNDEZ, Luis Antonio y FERNÁNDEZ RIVERO, Pedro Pablo. Cómo implantar un SGSI según UNE-EN ISO/IEC 27001 y su aplicación en el Esquema Nacional de Seguridad. Edición 2018. Editorial AENOR, 2018.

Luis F. Real

Encuentros CCN, 2022

 

En el afán de recopilar los enlaces de conferencias organizadas del Centro Criptológico Nacional muestro aquí las de 2022. Notar que las ponencias y los temas crecen de año en año, siendo de sumo interés para tomar el pulso a la ciberseguridad en España y las acciones de las administraciones y del gobierno sobre ella.

Encuentros CCN. Intervenciones

Lista de reproducción de YouTube

Encuentros CCN 2022  

 

Luis F Real

"¿Qué sabemos de?: ANÁLISIS DE RIESGOS". David Rios Insua y Roi Naveiro Flores

 

Son varias las colecciones de temas matemáticos que, apostando por  tener un carácter divulgativo, se atreven a exponer expresiones algebraicas entre sus páginas.
Esto les confiere un cierto nivel más de complejidad en su comprensión y se dirigen a un público con cierta base matemáticas. Estas colecciones son impulsadas por el Instituto de Ciencias Matemáticas y sus miembros.

La longeva colección "Qué sabemos de ..." dirigida por el CSIC y publicada en  la editorial Catarata ha añadido a su lista el número 134: "Análisis de Riesgos". Un tema que de este modo, trasciende de los ámbitos más académicos al gran público.

Y aprovechando la Feria del Libro de Madrid, he comprado un ejemplar.

Está dedicado al Análisis de Riesgos en general, como disciplina en el ámbito matemático y no sólo enfocado a las tecnologías de la información. Los autores Roi Naveiro Flores y David Rios Insua.

Presentación del libro 

Nota de prensa

Videos It's a Risky Life!

Episodio 1 2.06 minutos
IT'S A RISKY LIFE! - Episodio 1: "Introducción"

Episodio 2, 2:42
IT'S A RISKY LIFE! - Episodio 2: "Las probabilidades son..."

Episodio 3  2.20 minutos
IT'S A RISKY LIFE! - Episodio 3: "Y tú, ¿qué crees?"

Episodio 4. 3:17 minutos
IT'S A RISKY LIFE! - Episodio 4: "To bayes or not to bayes"

Episodio 5  2:27 minutos
IT'S A RISKY LIFE! - Episodio 5: "¿Pájaro en mano o ciento volando?"

Episodio 6  2:21  minutos
IT'S A RISKY LIFE! - Episodio 6: "Los riesgos son..."

Episodio 7 2:15 minutos
IT'S A RISKY LIFE! - Episodio 7: "¿Estás seguro?"

Episodio 8,  2:45 minutos
IT'S A RISKY LIFE! - Episodio 8: "Adversarios"

Para no perderse la colección completa, dejo el enlace del Instituto de Ciencias Matemáticas:

 

Videos It's a Risky Life! en el ICMAT

LFR

"DIRECCIÓN DE SEGURIDAD Y GESTIÓN DEL CIBERRIESGO" Fernando Sevillano Jaén y Marta Beltrán Pardo

Crece la biblioteca de Ciberseguridad de la editorial RA-MA

Dirección de seguridad y gestión del ciberriesgo. Fernando Sevillano & Marta Beltrán. Ed Ra-Ma, 2020

A la lectura de este libro llego un poco tarde. Dos han sido los motivos que inicialmente provocaron el abandono en las primeras páginas:

• La corresponde con un capítulo inicial dedicado a la Dirección de la Seguridad. No comprendía bien su ubicación dentro del temario tratado.

Consideraba que tal vez debería de corresponder a unos de los últimos capítulos. Tras la presentación de la gestión de riesgos, tendría que tener sus figuras responsables.

• El segundo motivo es el más convincente. Simplemente me faltaban unos conocimientos iniciales sobre la gestión de riesgos.

El curso "Lead Implementer 27001" y unas lecturas complementarias fueron suficientes para comprender los detalles de los temas tratados en los capítulos del libro y obtener el máximo provecho. Por lo tanto, para aprender lo que aporta este libro es necesario tener una bae previa sobre la gestión de riesgos y los conceptos que se tratan, bastante claros.

El libro dedica uno o dos capítulos a cada una de las etapas del proceso de gestión de riestos de la figura de la ISO 31001. Aporta metodología y procedimientos muy diversos, lo cual le hace un libro bastante completo en la temática. Evidentemente no las trata con profundidad, pero si ofrece la pautas para que el lector siga investigando y leyendo en las áreas que le interesen o incluso aquellas que son más novedosas, porque también las menciona.

 

 

 

La identificación del ciberriesgo se basa en la creación de escenarios. Para ello hay que recurrir a la creación de Modelos de Escenarios:

Creación de Escenarios:

1. Obtención de información de fuentes genéricas.

1.1 de taxonomías y listados de amenazas conocidas y publicadas.

2. Obtención de información de fuentes particulares. Análisis de los riesgos en nuestra infraestructura.

2.1 de las taxonomías y listados de amenazas conocidas (apartado 1.1 anterior) se seleccionan y se perfilan aquellas que más se ajusten a nuestra infraestructura.

 

 

 

 

 

 

 

 

 

 

 

 

Notas sobre el nuevo Esquema Nacional de Seguridad

 

Unas breves notas sobre el proyecto de Real Decreto. 

La primera apreciación del lector es que la nueva norma está escrita con un leguaje más técnico, preciso y claro.

Vamos a centrarnos en el personal adscrito a las actividades de ciberseguridad.

Profesionalidad: El personal estará cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición,
construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.
Las organizaciones determinarán el diseño curricular y experiencias necesarias del personal para el desarrollo de cada puesto de trabajo.

Roles en las organizaciones:
La norma distingue cuatro roles bien diferenciadsos:
Responsable de información.
Responsable del servicio.
Responsable de la seguridad.
Responsable del sistema.
Responsable de Seguridad distinto del Responsable del
Sistema (salvo excepciones que deberán ser justificadas).

Una instrucción técnica de seguridad regulará el Esquema de Certificación de Responsabilidad de la Seguridad que recogerá las condiciones
y requisitos para este rol.
El CCN-STIC publiará normas, intrucciones técnicas, guías de seguridad de las tecnologías de la información y la comunicación; así como  recomendaciones para aplicar el ENS.

También aparece un nuevo papel aparece en aquellas empresas que ofrezcan servicios externalizados.
Se trata de la Persona de Contacto, POC, "Point of Contact", de seguridad de la información.
- Será el Responsable de la Seguridad de la Información o pertenecerá a esta área.
- La responsabilidad última será de la entidad del sector público beneviciaria del servicio.  


Otros puntos de interés recogidos a vuelapluma:

Un buen ejemplo de los cambios lo encontramos en el glosario.
Aparecen 14 nuevos conceptos que no se recogen en la norma actual. Dos amplian la definición existente.
El Análisis de Riesgo y el Incidente de Seguridad tienen explicaciones más detalladas y completas.

Las medidas de seguridad se considerarán procesos y la valoración de la implantación de dichas medidas será en base a la adopción del modelo CMM.

Notas sobre el Anexo II:

Los niveles de seguridad se han incrementado, aquellos que eran básicos y no necesitaban aplicar medidas de seguridad, en la nueva normativa
se exige que tengan implementaciones mínimas.Esta normativa incluye el concepto de Refuerzo de Seguridad. Los niveles medios y altos se incrementan con medidas de refuerzo denominadas R1, R2 o R3. Estos refuerzos han de estar convenientemente documentados.

L. F. Real

III Encuentro sobre el ENS, Esquema Nacional de Seguridad, organizado por el CCN

Canal de Youtube del III Encuentro del Esquema Nacional de Seguridad

 III Encuentro sobre el ENS, junio 2021

 

L. F. Real

Proyecto de reforma del Esquema Nacional de Seguridad, audiencia pública del anteproyecto de ley

Escultura de Andreu Alfaro (1979), al fondo edificio MINECO

El Colegio de Ingenieros Técnicos de Telecomunicaciones, COITT ha enviado la presente circular. Invita a los miembros a participar, con sus comentarios, opiniones y sugerencias, en la revisión del Proyecto de Real Decreto del Esquema Nacional de Seguridad. Hay muy pocos días para ello.

Circular del COITT

El proyecto está publicado en la página del Ministerio de Asuntos Económicos y Transformación Digital (MINECO).

Participación pública en proyecto normativos

El 23 de junio, se retiró de la página del ministerio.

Publicación hasta el 22 de junio de 2021

Han transcurrido más de diez años desde la primera publicación del Esquema Nacional de Seguridad. Es el momento de revisar el texto y realizar la reforma oportunas.

Documentos:

MAIN, Memoria del Análisis de Impacto Normativo del Proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad.

TEXTO del Proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad.

Plan de Choque en Ciberseguridad

El punto de partida para este nuevo Real Decreto está en el Acuerdo de Consejo de Ministros de 25 de mayo de 2021. 

Acuerdo del Consejo de Ministros de 25 de mayo de 2021

En él se adoptó una serie de medidas urgentes sobre ciberseguridad. Entre ellas, he resaltado la referida al Esquema Nacional de Seguridad del texto del acuerdo.

Tomando el apartado que nos interesa.

Indudablemente, queda pendiente la lectura de las otras medidas urgentes, pero se escapa al contenido de esta breve entrada.

El 15 junio estaba publicado en la página del Ministerio el MAIN y el Texto del Proyecto.

MAIN, Memoria del Análisis de Impacto Normativo del Proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad.

TEXTO del Proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad.

Para saber un poco más

Para recordar el Esquema Nacional de Seguridad dejo el enlace de un video del PMI (Project Management Institute) de Madrid. Interesante aportación desde el punto de vista de la implantación.

"Proyectos de Implantación del Esquema Nacional de Seguridad", por María Teresa Avelino Carmona. 2020.

Durante las XII Jornadas STIC CCN-CERT que tuvieron lugar el 12 y 13 de diciembre de 2018, se expusieron las experiencias con la implantación del ENS. El Módulo 3 de los temas de las ponencias se dedicó al ENS y RGPD.

Aquí enlazo la pagina del CCN-CERT de aquellas jornadas. y dejo el enlace a un video interesante relacionado con la necesidad de mejorar el ENS para facilitar su implantación.

Vídeos XII Jornadas STIC CCN-CERT 

 

"Certificación del ENS. Situaciones planteadas a una entidad de certificación", por José Luis Colom, Audertis

 

Aprovechando que estamos en el comienzo de procedimiento de tramitación de una ley, vamos a seguir las etapas en las que se llega a su aprobación. Por otro lado, seguiremos los comentarios que se han producido al proyecto por los entidades profesionales del sector.

En resumen, haremos dos seguimientos:

• La aprobación del reglamento en su tramitación parlamentaria.
• Los análisis y comentarios a los contenidos del nuevo esquema de seguridad.

L. F. Real

 

Evitar ataques APT con sistemas SWG, SEG y ATD ( y III)

 

En la primera parte expusimos algunos conceptos generales que ayudan a comprender cómo debe ser la defensa ante ataques APT. En la segunda se expusieron soluciones para el servicio web. En esta tercera veremos los Secure Email Gateway (SEG) y Advanced Threat Defense (ATD). De esta forma se completa el panorama de sistemas antiAPT.

Secure Email Gateway, SEG

Las pasarelas de correo seguro, SEG son dispositivos que además de proporcionar funciones básicas del agente de transferencia de correo MTA (Mail Transfer Agent), añaden motores para analizar en profundidad el correo.

 Definción de SEG según Gartner

 

El SEG no es un firewall, ni un servidor de correo, no sustituye a estos equipos y la organización debe mantener estos dispositivos debidamente configurados.

Para describir el funcionamiento del SEG en la red hay que convenir el sentido de los mensajes de correo. Desde el punto de vista de la organización, los mensajes entrantes son aquellos que se reciben desde fuera de la organización y mensajes salientes aquellos que se envían fuera de la misma como se muestra en la figura 1.

Figura 1. Sentido de los mensajes de correo.

Las tareas de la administración del equipo, tanto para el SEG como el SWG que hemos tratado anteriormente, se dividen en dos conjuntos. Las que gestionan al propio dispositivo como elemento (físico o virtual) o en la nube y las que gestionan las funciones de seguridad. Entre las primeras se encuentra configuración del puerto de acceso, permisos, contraseñas, actualizaciones y versiones del software, licenciamiento, ficheros logs, etc. Dedicamos los siguientes apartados a la gestión de la seguridad.

Arquitectura de la red

Al igual que el SWG, el SEG tiene diferentes formas de conectarse a la red e implica que el dispositivo se configure en diferentes modos.

Modo Switch. El equipo actúa como switch ethernet. En esta arquitectura el servidor de correo externo se comunica con el servidor interno corporativo directamente, como si no existiese el SEG intercalado. Los mensajes son interceptados y analizados por el SEG antes de ser liberados al servidor de correo corporativo. El SEG conecta dos segmentos físicos de red como un bridge, ambos segmentos pertenecen a la misma subred lógica. Los otros equipos como los clientes corporativos, firewall, servidores NAT, servidores de registro de intercambio de correo (registro MX) etc, pertenecen a la misma subred y tienen su propia configuración de dirección IP y máscaras. La configuración de este modo en el SEG es muy sencilla. En el ejemplo de la figura el SEG sólo actúa como bridge entre el router y el firewall.

 Figura 2. Modo Switch

Modo Router. El equipo actúa como un router. Intercepta el tráfico de correo electrónico entre dos subredes distintas. El tráfico que recibe por una red es analizado y reenviado al siguiente equipo situado en una red diferente, según unas tablas de enrutamiento incluidas en el mismo.

Un interfaz tiene una dirección IP para el tráfico analizado entrante y otra interfaz con IP diferente para el tráfico saliente. El funcionamiento del SEG es transparente a los servidores de correo.

El equipo debe situarse junto al firewall en el lado interno de la organización porque puede sustituir al router en la red.  

Figura 3. Modo Router

Los clientes tienen la dirección del “default gateway” a un puerto del SEG. El SEG tiene su dirección “default gateway” hacia la ruta de Internet. Los usuarios deben liberar mensajes corporativos dentro de la intranet de la organización sin salir al exterior.

Modo Servidor Proxy. Los dispositivos de red deben configurarse explícitamente para enviar tráfico al SEG. Luego, el SEG funciona como un proxy o retransmisor, procesando el tráfico en nombre de los dispositivos conectados.

Se debe configurar el servidor de correo interno para retransmitir el tráfico de correo electrónico al SEG. El SEG analiza el tráfico de correo electrónico antes de reenviarlo, en nombre del remitente, al servidor de correo externo. El servidor de correo externo reenvía el correo electrónico al receptor. De forma similar, la red debe estar configurada para que los correos electrónicos entrantes de Internet se entreguen en el SEG y no al servidor de correo interno.

El SEG analiza el tráfico antes de reenviarlo, en nombre del remitente, al servidor de correo interno para su entrega. Por ejemplo, un servidor de correo externo puede comunicarse directamente con el SEG, aunque el tráfico podría pasar a través de varios servidores de red antes de llegar al SEG. El camino percibido es desde el servidor de correo externo al SEG.

El modo de proxy explícito invalida las reglas de firewall configuradas para el acceso de los clientes a Internet. El firewall solo ve la información de la dirección IP física del SEG, no las direcciones IP de los clientes, por lo que el firewall no puede aplicar sus reglas de acceso a Internet a los clientes. Esto afecta a la configuración de los servidores externos del Sistema de Nombres de Dominio, DNS o NAT en el firewall para que el servidor de correo externo entregue el correo al SEG y no al correo interno servidor. En resumen, la configuración es más compleja y susceptible de no ser completamente correcta y por lo tanto más vulnerable.

 Figura 4. Modo Servidor Proxy

Gestión de la seguridad del correo

La gestión de la seguridad en el correo se centra en tres entornos. Dependiendo de las características de los productos de los fabricantes éstos pueden ser más o menos completos:

• Estado del propio dispositivo físico o virtual: información del sistema y de servicios adicionales del mismo.
• Estado general del tráfico de correo electrónico mediante indicadores del servicio de correo entrante y saliente.
• Detección y análisis del tráfico de correo, mensajes, adjuntos, malware, spam, etc.

La implantación de la seguridad en el SEG se realiza mediante la configuración de reglas similares a las vistas en el equipo anterior y no repetiré aquí.

Información del sistema

La información se extrae del funcionamiento del equipo y de la configuración que se haga del mismo. Se clasifica en los siguientes grupos de indicadores.

Información del Sistema. Destaca la siguiente:

• Entorno físico.
  

-    Temperatura interna, externa, de los procesadores, etc. Avisos de las variaciones.
-    Funcionamiento de los ventiladores.
-    Estado de la fuente de alimentación

• Rendimiento del sistema electrónico.
  

-    Rendimiento de los procesadores, porcentaje de utilización en periodos de tiempo determinados.
-    Disponibilidad de espacio en la memoria. Espacio ocupado y espacio libre.
-    Disponibilidad de espacio en el disco. Espacio ocupado y espacio libre.
-    Niveles de tensión y corriente en los distintos módulos del dispositivo.

• SAI (Sistema de Alimentación Ininterrumpida).

-    El SAI está o no activado.
-    Conexión del dispositivo a la red o a la batería.
-    Estado de la batería: en uso, cargando, descargando, etc.

• Estados de los discos de almacenamiento.
  

-    Estado del Sistema RAID. Discos en funcionamiento, fallos en los discos, degradación de la capacidad de los discos.

• Interfaces de red

-    Estado de los interfaces.
-    Velocidad de interfaz, datos transmitidos y recibidos, errores.
-    Tramas rechazadas y sus causas.
-    Estados de los protocolos de nivel de enlace y de red. Estado de las conexiones.

• Sistema redundante. si el dispositivo forma parte de un conjunto redundante, ofrece información del estado del equipo individual y del conjunto.

-    Estado del conjunto: activo, en espera, sin comunicación con el resto, etc.
-    Estado de la comunicación administrativa del conjunto.
-    Estado del balanceo de carga en periodos de tiempo.

Servicios adicionales del sistema. Se refiere a otros servicios adicionales que exigen conexión con otros equipos. Necesitan su propia configuración. Sin entrar en detalles destacar:

 
-    Estado de servicio SNMP para la gestión remota y el envío de eventos.
-    Estado de servicio Syslog para registro del sistema.
-    Estado de servicio NTP para mantener la sincronización con el resto de equipos de la red.
-    Estado de servicios de listas de reputación. Tanto para las locales como las externas: si están disponibles, actualizadas, descargadas, corruptas, etc.
-    Estado de servicios antimalware. Similar al anterior.
-    Estado de otros servicios propietarios

La evaluación de los indicadores nos mostrará en la ventana de monitorización unos mensajes con las acciones a tomar sobre los componentes o partes afectadas:

• Correcto: los elementos sobre los que se informa funcionan con normalidad.
• Requiere atención: se ha superado un umbral de advertencia y así se notifica.
• Requiere atención inmediata: se ha superado un umbral de advertencia crítico.

Los umbrales de advertencia y de alerta se configuran por los administradores. Cuando el elemento supere el umbral configurado, se activará un evento además de los mensajes anteriores. Este puede ser un correo al administrador, un mensaje log, un dato estadístico, etc.

Indicadores del Servicio de Correo

Los indicadores del servicio de correo entrante y saliente muestran un resumen de la entrega y estado de los mensajes recibidos en la organización y enviados desde ella. La clasificación es la siguiente:

• Número total de mensajes recibidos.

-    Mensajes recibidos a través de conexiones estándar
-    Mensajes recibidos a través de conexión no estándar. Mensajes cifrados a través de una conexión TLS o No-TLS. El contenido cifrado con Secure Web Mail, S/Mime, PGP u otros.

• Número total de mensajes enviados.

-    Mensajes enviados a través de conexiones estándar
-    Mensajes enviados a través de conexión no estándar. Mensajes cifrados a través de una conexión TLS o No-TLS. El contenido cifrado con Secure Web Mail, S/Mime, PGP u otros.

Cada mensaje recibido o enviado es interceptado y marcado con alguna de las siguientes etiquetas:

• Entregado
• Bloqueado
• Devuelto
• Análisis omitido
• En cola para análisis
• En cuarentena

La asignación de las etiquetas destinadas para analizar el correo o sus adjuntos forzarán la ejecución de las reglas que se hayan configurado para actuar en consecuencia en estos casos.

Análisis del correo

La seguridad del correo exige un análisis profundo y para ello se aplican sus reglas y motores de análisis. Los criterios de cumplimiento y validación permiten encontrar anomalías o desconfianza en la conexión, el remitente, el destinatario o el contenido del correo. El resultado es el bloqueo y la prohibición de la entrega a los destinatarios, mostrando en su lugar avisos de la circunstancia excepcional.

El análisis de los mensajes se realiza para los diferentes protocolos de correo y en sus diferentes partes: destinatario, remitente, copia, contenidos, adjuntos, firma, etc. Las reglas y los motores de análisis se configuran para cada caso.

Se puede clasificar:

• Mensajes bloqueados por la conexión o el remitente

-    Bloqueo por el remitente. Direcciones no deseadas inscritas en listas negras.
-    Aplicación del método basado en BATV (Bounce Address Tag Validation)
-    Verificaciones de la relación URL e IP basados en FCrDNS (Forward-Confirmed Reverse DNS) consultas inversas en registros PTR de los DNS que confirmen la relación directa e inversa entre la URL y la IP.
-    RBL (Real-time Blackhole List) o DNS RBL. Son listas negras con las direcciones y dominios de creadores de spam, pero también incluye a los proveedores de servicios que no eliminan o detienen este tipo de mensajes.
-    SPF (Sender Policy Framework). Listas que identifican servidores válidos de correo.

• Mensajes bloqueados por el destinatario

-    El destinatario no está permitido. Prohibido enviar mensaje.
-    Listas grises de destinatarios.
-    Retransmisión bloqueada

• Mensajes bloqueados por contenido

-    Listas negras de reputación de URL o dominios
-    Listas negras de contenidos.
-    Correos con firmas no autorizadas o sin firmar, según los mecanismos de DKIM (Domain Keys Identified Mail).
-    Detección de Spam. Actualizaciones de las listas de spam cuando los usuarios etiquetan como tal un correo recibido.
-    Detección de “phishing”: petición fraudulenta del nombre de usuario y su contraseña.
-    Filtrado de correo, por ejemplo, por tamaño.
-    Filtrado de archivos. Tipos de archivos no autorizados
-    Filtrado de imágenes.
-    Detección de malware.
-    Detección de Programas Potencialmente no Deseados PUP (Potentially Undesirable Programs) o Hacking Tools.
-    Reputación de URL donde se han producido ataques de denegación de servicio (DoS)
-    Data Loss Prevention, DLP, sistemas de prevención de pérdida o robo de ficheros clasificados.
-    Conformidad con la política de la empresa sobre el uso del correo electrónico corporativo.

• Mensajes devueltos.
• Mensajes que por algún criterio no fueron analizados.
• Mensajes en cuarentena.

Los indicadores de amenazas muestran indicios más o menos fiables de su presencia. A modo de resumen se clasifican según sus reglas de detección formando los siguientes grupos:

• Remitentes que podrían ser origen de spam
• Contenidos que albergarían ataque de phishing.
• Mensajes rechazados por tener tamaño excesivo.
• Imágenes inapropiadas o pornográficas.
• Posible presencia de malware.
• Programas potencialmente no deseados en el correo.
• Posibles contenidos de compresores.

Las clasificaciones pueden variar, sobre todo para aportar conocimiento del servicio de correo. Será más fácil localizar los agujeros de seguridad y la necesidad de ser reforzados.

Elaboración de informes

Una de las cualidades más importantes que debe tener los SEG o un SWG es la elaboración de informes útiles para la vigilancia del servicio.

Los informes se pueden generar localmente desde el propio SEG, o enviar los datos a otros equipos remotos que serán los encargados de crearles.

La capacidad de almacenamiento de datos para mostrar en los informes es un factor limitante sobre todo en el SEG local, por tal motivo, dependiendo del volumen de correo y los motores de análisis implementados, se hace necesario el uso de equipos externos.

Sistemas ATD

El concepto de “sandbox” inicialmente se empleó para verificar aplicaciones en un entorno Unix. Conceptualmente consiste en situar el programa bajo observación en un entorno aislado, sin interacciones de otros procesos y sin acceso al exterior, de este modo es más fácil manipular variables para analizar y verificar concienzudamente el funcionamiento del programa. Del uso en este entorno de desarrollo ha pasado al entorno de la seguridad, para comprobar la funcionalidad de una aplicación de dudosa confianza.

La virtualización ha facilitado que el concepto de sandbox amplíe su significado a cualquier entorno de prueba y desarrollo.

La Figura 5 muestra un ejemplo de análisis dinámico en un entorno virtual. En este caso, un programa se ha etiquetado como sospechoso por los diversos sistemas que conforman la cadena de protección. El programa sospechoso se descargó en un puerto USB desde un “pendrive”. Primero lo ha analizado el antivirus local del puesto de usuario, sin llegar a una conclusión. El programa se envía desde el puesto de usuario a servidores con listas locales más amplias, también cuentan con el apoyo de realizar consultas remotas, con mayor número de firmas de malware. Ante la incapacidad de ofrecer un resultado determinante, el fichero se traslada a al servidor ATD. En él se arranca el sistema operativo virtual idéntico al que tiene instalado el puesto de usuario que detectó el programa sospecho. En el entorno virtualizado se ejecuta el programa sospechoso y se analiza su comportamiento, incluso la posibilidad de acceso a la red para añadir más código malicioso. Si el resultado definitivo es que se trata de malware, sus características se incluirán en las listas de reputación, tanto locales como remotas, y sobre todo, el programa se bloquea en el puesto de usuario.
 

Figura 5. Esquema de un análisis en un entorno virtual

El sistema ATD debe tener todos los sistemas operativos de la compañía susceptibles de ser infectados por malware. Esto exige una gestión de los activos software muy rigurosa y actualizada.

El ataque de WannaCry de mayo de 2017 puso de manifiesto el problema que puede sobrevenir si las aplicaciones y programas no están puestos al día. El ataque aprovechó una vulnerabilidad conocida en el sistema operativo, pero que el fabricante Microsoft había solucionado en sus parches. Muchas compañías no habían actualizado sus sistemas operativos con la incorporación del parche. Por lo tanto, eran vulnerables. El “ransomware” se pudo ejecutar con el resultado de sobra conocido.

Esto también pone en evidencia la dificultad que supone para los administradores de sistemas mantener una buena gestión de las versiones software. Cada día aparecen fallos, arreglos, parches, paquetes, versiones de cualquier aplicación. Es difícil mantener una instalación estable que no altere el curso de las operaciones sin comprometer la seguridad. Aunque nos desviamos del tema, habrá que dejar este tema para otra ocasión.

Nuevo reto: eludir los análisis en entornos virtuales

Ahora nos cruzamos al lado oscuro: ¿cómo pueden los atacantes eludir los análisis en entornos virtuales? Vamos a responder en unas notas muy breves a este reto propuesto. 

Una manera de eludir este tipo de comprobaciones es que el código malware, cuando se descargue en el entorno virtual, ralentice su arranque. De esta forma transcurre el tiempo mientas que el código maligno se propaga, instala y se ejecuta en sus objetivos reales de la organización. Cuando el departamento de ciberseguridad concluya el análisis del entorno virtual puede que sea demasiado tarde y el malware se haya reubicado en los sistemas.

Otra técnica programada en el malware es que éste, antes de ejecutarse, pueda verificar si se encuentra confinado en un entorno virtual donde será descubierto; o, por el contrario, si se encuentra en el entorno abierto de la organización, como cabría esperar. El malware, para comprobar dónde está, realiza conexiones a través de los puertos abiertos de la red. Si consigue establecer comunicación con un servidor externo deducirá que no se encuentra en un entorno virtual, del cual, además podrá descargar código adicional para desarrollar el ataque. Cuando está en un entorno virtualizado, puede que éste no le permita establecer esa conexión al exterior. En este caso el malware se queda inactivo, tratando de pasar como confiable y pueda pasar el filtro. De esta forma puede alcanzar su objetivo.

Comprobamos como los ciberdelincuentes encuentran constantemente las estrategias para evitar se detectados por los sistemas más sofisticados y complejos de defensa, como los ATD. Todavía queda mucho por conocer de estos sistemas y las relaciones con otros. Habrá que dedicarles más tiempo en otra ocasión.

Conclusión

La dificultad de los equipos vistos reside en el ajuste de los análisis.

Cada nueva versión y modelo proporcionan nuevas funcionalidades que se integran o amplían con las existentes. En el portafolio de la empresa un año aparecen productos individuales y al año siguiente se venden integrados en uno único.

El cliente puede decidir cambiar aspectos de su negocio, modificar los servicios y la infraestructura TI. Estas situaciones alteran constantemente la arquitectura de seguridad que se diseñó originalmente. La revisión es continua, no sólo por los sofisticados ataques que ocurren cada día, las herramientas de seguridad mejoradas; sino que también, para adaptarse a los nuevos cambios que implementan los clientes. 

Referencias

CCN-CERT Centro Criptológico Nacional. “CCN-STIC-401 Glosario y Abreviaturas”.

Gartner Glossay La investigación y evaluación de productos que realiza Gartner debe ser la primera fuente de consulta para conocer aquellos que tienen más impacto tecnológico.

En la Sala de Lecturas, Reading Room, de SANS Institute se pueden leer los artículos más destacados sobre ciberseguridad.

Cisco Cyber Threat Defense.

McAfee Advanced Threat Defense

Fotografías y esquemas de L. F. Real. Iconos diseñados por Kameleon

L. F. Real