Alerta temprana

¿A quién va dirigido?

A cualquier organización, pública o privada, independientemente del tamaño que deseen de manera proactiva conocer las medidas necesarias para adelantarse a un posible incidente de seguridad relacionado con las tecnologías presentes en esta, así como los riesgos asociados a su porfolio de negocio, lo cual permitirá reducir el posible impacto y alcance. 

¿Qué es?

Los sistemas de alerta temprana (SAT) son el conjunto de capacidades, instrumentos y procedimientos que da respaldo técnico a las comunidades o individuos para actuar con tiempo suficiente y de una mlanera apropiada para reducir el posible impacto y alcance de la amenaza detectada. 

En la mayoría de las ocasiones estos sistemas se centran en detectar las amenazas relacionadas con los elementos hardware/software presentes en la organización, pero para garantizar su correcto funcionamiento, es necesario ampliar el espectro de estos al tipo de negocio proporcionado por la organización y por tanto a los riesgos y vectores de ataque asociados al mismo. 

Todo SAT se divide en 3 fases principales que son: el estudio de riesgo o preparación, seguimiento técnico y comunicación de la alerta, mitigación de la alerta.  A continuación, se incluye una descripción y etapas intermedias presentes en estas. 

Fases SAT 

1. Preparación y estudio de riesgo. 

Esta fase inicial nos permite conocer los riesgos asociados al sector de negocio de la organización, así como los principales recursos y servicios presentes en la misma.  A continuación, se describen las tareas primordiales que deben realizarse durante esta fase. 

• Disponer de un inventario correctamente actualizado de todos los sistemas hardware y softwares existentes en la red de la organización. 
• Conformar un equipo de respuesta con las capacidades necesarias para implantar las medidas necesarias para la mitigación de posibles amenazas. 
• Disponer de un listado de los principales activos y servicios de la organización, el cual debe incluir la criticidad de estos, lo cual permitirá priorizar la implementación de contramedidas. 
• Disponer de un plan de respuesta en el cual se definan los roles y tareas asociadas a cada componente del equipo instaurado con el fin de mitigar este tipo de amenazas. 
• Disponer de un entorno de pruebas que permita comprobar el funcionamiento de las medidas aplicadas con el fin de mitigar la amenaza. 
• Realizar un estudio de los principales riesgos que atañen al sector en el que se encuentra la organización. Este estudio permitirá conocer los principales actores y amenazas que pueden utilizarse con el fin de instaurar un sistema de monitorización en los diferentes foros de comunicación de dichos actores con el fin de prevenir posibles ataques dirigidos. 
• Darse de alta en las diferentes plataformas de aviso de vulnerabilidades de fabricantes presentes en los elementos de la organización.
• Adicionalmente existe la opción de realizar de incluir dentro de la red corporativa, una sonda o dispositivo de control gestionada. Esto permitirá que sumemos a todas las medidas marcadas anteriormente la inteligencia presente en dicho organismo y la posibilidad de comprobar riesgos internos. 

2. Seguimiento técnico de posibles alertas 

Una vez que cualquiera de los elementos constituidos en la fase inicial para la detección de posibles amenazas detecta una alerta con posible implicación en la organización se inician las tareas de comprobación descritas a continuación.

• El equipo definido en la fase inicial deberá comprobar que la amenaza afecta a las corresponde con las versiones y servicios presentes en la organización. 
• Se deberá verificar el origen y grado de confiabilidad de la alerta. 
• Se deberá comprobar si la amenaza estaba contemplada con anterioridad y por tanto ya esta cubierta por las medidas de seguridad presentes en la organización actuales.

3. Respuesta y mitigación de la alerta 

En caso de que en el apartado anterior se haya confirmado que la alerta puede afectar a la integridad de los servicios o elementos presentes en la organización, se procederá con la implementación de las contramedidas necesarias que permitan mitigar o reducir el posible impacto de la amenaza detectada. Las principales tareas presentes en este punto son: 

• Identificar los servicios y/o dispositivos afectados. 
• Implementar las medidas correctoras incluidas en la notificación de la alerta o recomendadas por los fabricantes de los dispositivos en todos los sistemas de seguridad que pueda ayudar a reducir el posible impacto en caso de ataque. 
• Poner en conocimiento a los diferentes responsables de los servicios/dispositivos afectados del posible impacto en caso de ataque.
• Intentar replicar la tipología de ataque en los entornos de pruebas disponibles, siempre que sea posible, con el objetivo de garantizar que las contramedidas implementadas son eficientes y correctas.  
• Aumentar las capacidades del sistema de monitorización incluyendo reglas que permitan detectar intentos de explotación de la amenaza detectada. 

Diagrama del funcionamiento de SAT. 

A continuación, se puede observar un ejemplo del funcionamiento de un SAT, siguiendo las fases descritas anteriormente. 

Beneficios 

Disponer de un sistema de alerta temprana funcional (SAT) nos permitirá: 

• Conocer las vulnerabilidades que afectan a los sistemas presentes en la organización nada más publicarse, lo cual reducirá el tiempo de implantación de contramedidas. 
• Industrializar la aplicación de parches para la mitigación de vulnerabilidades presentes en nuestros sistemas, así como un correcto plan de continuidad del seguimiento de estos. 
• Reducción del perímetro de ataque vulnerable, tras la implantación de las medidas de control necesarios en los dispositivos de seguridad.
• Adelantarnos a posibles ataques dirigidos contra la organización.
• Comprobación del funcionamiento de las contramedidas instauradas, garantizando la eficacia de estas. 
• Aumentar la madurez de la ciberseguridad presente en la organización.