NIST y CTI: la combinación perfecta para construir una organización ciberresiliente

Autor/a: Kela

Compartir en    

Para establecer y mantener estándares sólidos de ciberseguridad y proteger datos confidenciales, el Marco de Ciberseguridad del NIST (NSF, por sus siglas en inglés) se ha vuelto omnipresente. El NSF describe cinco funciones clave para ayudar a las organizaciones a comprender, gestionar y reducir los riesgos de ciberseguridad: identificar, proteger, detectar, responder y recuperar.

En este artículo, analizaremos en profundidad cada una de las cinco funciones y cómo, en consonancia con el marco del NIST, la inteligencia sobre amenazas cibernéticas (CTI) puede contribuir a cumplir y superar el cumplimiento normativo.

¿Por qué es importante la CTI para cumplir con los requisitos del NIST?

La inteligencia sobre amenazas cibernéticas se ha establecido como un elemento clave de la resiliencia organizacional, ayudando a las organizaciones a establecer defensas cibernéticas proactivas antes de una amenaza, mejorando la gestión de riesgos, la planificación y la respuesta a incidentes y aumentando la conciencia de los empleados sobre el panorama de riesgos.

Cuando se trata de garantizar el cumplimiento normativo, la CTI es una herramienta poderosa. Las plataformas de inteligencia de amenazas recopilan datos de diversas fuentes, lo que mejora la capacidad de una organización para responder con rapidez y eficacia a los incidentes. Esta capacidad respalda la preparación integral, lo que garantiza que las organizaciones puedan armar y actualizar rápidamente sus estrategias de respuesta a incidentes según sea necesario. La CTI ayuda a mantener un estado de preparación, que es crucial para realizar auditorías sin problemas y garantizar el cumplimiento de las normas regulatorias.

Si consideramos cada función del NIST de forma individual, aquí se muestra cómo la CTI puede marcar la diferencia:

Identificar (ID)

¿Cuál es el riesgo de ciberseguridad para los sistemas, las personas, los activos, los datos y las capacidades?

En este paso fundamental del marco NIST, las organizaciones identifican todos los activos físicos y de software de su entorno, y tal vez establezcan un programa de gestión de activos o creen políticas de ciberseguridad para regular su uso. Probablemente utilicen esta visibilidad para crear una estrategia de gestión de riesgos para toda la organización.

La verdad es sencilla: no se puede proteger lo que no se ve, y la ignorancia no es excusa si no se cumplen las normas. Todas las organizaciones tienen la responsabilidad de visualizar toda su infraestructura y saber qué hay dentro de su casa.

El papel de CTI en el impulso de las capacidades de identificación de amenazas

En su forma moderna, una plataforma CTI es una herramienta sofisticada que mejora la visibilidad de una amplia gama de riesgos comerciales. La CTI inteligente puede permitir a las organizaciones actuar con anticipación para descubrir amenazas potenciales antes de que causen daños comerciales. Ayuda a las empresas con:

• Descubrimiento de la superficie de ataque: CTI ofrece un mapa detallado de la superficie de ataque de una organización desde la perspectiva de los posibles atacantes. Esto incluye la identificación de puntos de entrada y vulnerabilidades no seguros y no administrados, lo que ofrece una visión clara de lo que los atacantes ven cuando observan la organización.
• Inteligencia de vulnerabilidades: CTI proporciona monitoreo y análisis continuos de amenazas y vulnerabilidades emergentes de diversas fuentes, incluidas la web superficial, profunda, privada y oscura. Esta inteligencia es crucial para identificar vulnerabilidades antes de que sean explotadas.
• Monitoreo de riesgos de terceros: a través de la recopilación continua de inteligencia, CTI evalúa la postura de seguridad de proveedores externos y cadenas de suministro, identificando amenazas indirectas que podrían afectar a la organización.
• Inteligencia de amenazas dirigidas: CTI ofrece información detallada sobre actores de amenazas específicos y campañas dirigidas a la organización o industria. Esto incluye el análisis de sus tácticas, técnicas y procedimientos (TTP), lo que ayuda a predecir y mitigar ataques dirigidos.
• Inteligencia geopolítica: CTI proporciona contexto sobre eventos geopolíticos globales y regionales que pueden influir en los panoramas de amenazas cibernéticas, ayudando a las organizaciones a anticipar y prepararse para amenazas específicas de la región.

Proteger (PR)

¿Hasta qué punto se puede limitar o contener el impacto de los eventos de ciberseguridad e implementar medidas de seguridad para servicios críticos?

La siguiente etapa del marco se centra en el control de acceso y la resiliencia de su infraestructura para proteger lo que ha descubierto en la etapa uno. Las organizaciones necesitan gestionar sus activos críticos y sus joyas de la corona para reducir la probabilidad de que un ataque logre atravesar las defensas y para garantizar que los sistemas y los activos puedan permanecer en línea o protegidos incluso si se produce un ataque. Los equipos de seguridad suelen implementar protecciones de seguridad de datos para proteger la privacidad, la integridad y la disponibilidad.

Un número cada vez mayor de regulaciones de privacidad, desde la CCPA hasta el RGPD y más, exigen la protección de la información de identificación personal (PII), y la presión regulatoria solo está aumentando.

El papel de la CTI en la mejora de las medidas de protección

CTI eleva la eficacia de las medidas de protección al brindar información predictiva sobre posibles amenazas cibernéticas y tácticas en evolución en el ecosistema del ciberdelito, incluidas técnicas como:

• Gestión proactiva de vulnerabilidades: CTI identifica vulnerabilidades explotables a corto plazo mediante el seguimiento de las discusiones en foros clandestinos y mercados de la web oscura. Esta información permite a las organizaciones reparar o mitigar las vulnerabilidades antes de que los atacantes las exploten, manteniéndose un paso por delante de posibles infracciones.
• Monitoreo de ciberdelitos como servicio: el auge de las plataformas de ciberdelitos como servicio ha hecho que los ciberataques sofisticados sean accesibles a una gama más amplia de actores. CTI rastrea estas plataformas y proporciona alertas tempranas sobre nuevos servicios y herramientas que podrían usarse contra la organización. Este conocimiento permite a los equipos de seguridad preparar defensas específicas contra estas amenazas emergentes.
• Detección avanzada de amenazas: CTI mejora las capacidades de detección de amenazas al integrar inteligencia sobre nuevos vectores de ataque y TTP (tácticas, técnicas y procedimientos) empleados por los actores de amenazas. Esta integración garantiza que las tecnologías de protección, como los sistemas de detección de intrusiones (IDS) y los sistemas de gestión de eventos e información de seguridad (SIEM), estén perfectamente ajustados a los panoramas de amenazas actuales.
• Desarrollo de políticas de seguridad estratégicas: al aprovechar la tecnología de la información y la comunicación (CTI), las organizaciones pueden desarrollar políticas y protocolos de seguridad más eficaces e informados. Este enfoque estratégico para el desarrollo de políticas ayuda a garantizar que las medidas de seguridad sean integrales y estén dirigidas a las amenazas que más probablemente afecten a la organización.

Detectar (DE)

¿Puedes identificar rápidamente una amenaza a la ciberseguridad?

Una vez que se produce un ataque, el tiempo de permanencia es una métrica importante que se correlaciona con el impacto en el negocio. Cuanto más rápido se pueda descubrir una amenaza, mejor, ya que el tiempo de permanencia afecta directamente la gravedad de las consecuencias para el negocio. Esta etapa del marco implica la implementación de sistemas de monitoreo continuo, de modo que se puedan detectar anomalías y eventos de seguridad tan pronto como ocurran, evaluar su impacto en tiempo real y verificar la eficacia de las medidas de protección.

Los reguladores de cumplimiento reconocen que no todos los ataques se pueden detener antes de que ocurran, y analizarán cómo reacciona cuando sucede lo peor. Piense en cómo va a identificar un ataque en las primeras etapas y obtenga la información para actuar de manera adecuada.

El papel de la CTI en la mejora de las capacidades de detección

La inteligencia sobre amenazas cibernéticas (CTI) mejora enormemente la capacidad de una organización para detectar infracciones con rapidez y precisión, a menudo antes de que se produzcan daños importantes. Así es como la CTI contribuye a fortalecer las capacidades de detección:

• Identificación temprana de fugas de datos: CTI monitorea varios canales, incluida la red oscura, donde a menudo se comercializan datos robados, como información de identificación personal (PII) y propiedad intelectual (PI). Al detectar estas fugas de forma temprana, las organizaciones pueden iniciar medidas de contención rápidas para mitigar el impacto y comenzar el proceso de gestión de las filtraciones.
• Detección de acceso no autorizado a activos: CTI rastrea la venta y el uso de ladrones de información y otras herramientas que facilitan el acceso no autorizado a activos de la organización. Este monitoreo ayuda a detectar infracciones que afectan a activos y sistemas críticos, lo que permite una respuesta inmediata para evitar daños importantes.
• Detección de campañas dirigidas: CTI brinda información sobre campañas dirigidas contra los ejecutivos de la organización, como Business Email Compromise (BEC) y otros ataques de phishing diseñados específicamente para manipular o engañar a la alta gerencia. La detección temprana de estas campañas puede evitar pérdidas financieras sustanciales y proteger la integridad de las comunicaciones ejecutivas.
• Cumplimiento normativo y notificación de infracciones: con regulaciones estrictas como el RGPD, que exige la notificación de determinados tipos de infracciones de datos en un plazo de 72 horas, el papel de CTI en la detección rápida de infracciones es fundamental. CTI permite a las organizaciones no solo identificar infracciones de forma temprana, sino también recopilar los detalles necesarios para cumplir con las leyes de notificación de infracciones de forma eficaz y dentro de los plazos requeridos.

Responder (RS)

¿Cómo minimizará el impacto de una amenaza a la seguridad?

Durante un ciberataque, es fundamental dar una respuesta rápida e informada, lo que incluye afinar los procesos de gestión, análisis, comunicación, elaboración de informes y mitigación de incidentes. Una de las mejores formas de prepararse para un incidente con antelación es contar con sesiones de planificación de respuesta sólidas en las que se codifiquen manuales y directrices que se puedan poner en práctica si se produce un ataque. Según el NIST, la etapa de respuesta se centra en el desarrollo y la implementación de las actividades adecuadas que se deben llevar a cabo cuando se detecta un incidente. Es donde se ejecutan estos planes de respuesta y también abarca cómo se gestionan las comunicaciones, tanto durante como después de que se produce un evento, todo ello con el fin de mitigar el riesgo activo para la organización y contener el impacto de un ataque de ciberseguridad. Después del ataque, al analizar la eficacia de la respuesta a los incidentes, los equipos de seguridad pueden reforzar las defensas y cerrar las brechas, además de respaldar sus requisitos de informes y ayudar a cumplir con los mandatos de cumplimiento.

Una comprensión profunda de las circunstancias que llevaron a una vulneración no puede evitar minimizar su impacto. La CTI ayuda a la organización a identificar rápidamente la naturaleza de un ataque y dónde y cómo se originó, e incluso ofrece un valor agregado, como eliminar las pérdidas de datos detectadas en la base de datos antes de que se produzca una fuga de datos o identificar las credenciales comprometidas para evitar el robo de identidad.

El papel de CTI en la mejora de la respuesta y la solución de incidentes

CTI es parte integral de la fase de Respuesta, donde sus capacidades de inteligencia en tiempo real transforman el modo en que las organizaciones manejan y se recuperan de los incidentes de seguridad:

• Planificación de la remediación: las plataformas de CTI modernas ofrecen planes de remediación estructurados que describen los pasos obligatorios para abordar las amenazas identificadas. Estos planes ayudan a las organizaciones a comprender la gravedad y las implicaciones de la amenaza, lo que garantiza que las iniciativas de respuesta sean rápidas y efectivas.
• Toma de decisiones informada: la CTI ayuda al equipo de respuesta a incidentes (IR) y a otros profesionales de seguridad al brindar información detallada sobre la naturaleza del ataque. Esta información permite a los equipos tomar decisiones informadas, lo que reduce el tiempo de reparación y ayuda a priorizar los esfuerzos en función de la información sobre las tácticas, técnicas y procedimientos específicos utilizados por los atacantes.
• Perfiles de actores de amenazas: al analizar y perfilar a los actores de amenazas, CTI brinda información sobre su modus operandi, lo que ayuda a anticipar los riesgos futuros y ajustar las medidas de seguridad en consecuencia. Comprender el comportamiento de los atacantes permite a las organizaciones reforzar su postura de seguridad contra futuros ataques similares y ajustar sus mecanismos de defensa estratégicos para protegerse mejor contra el cambiante panorama de amenazas.

Recuperar (RC)

¿Podrás restaurar los servicios dañados y mantener la resiliencia en el futuro?

Durante un ataque, siempre se corre contra el tiempo. Por eso, la planificación de la recuperación es un elemento tan fundamental de la resiliencia en materia de ciberseguridad. Cuando se haya implementado de manera eficaz esta etapa del marco NIST, una organización contará con una planificación y procedimientos de recuperación específicos para recuperarse rápidamente antes de que un ataque provoque daños, y con una estrategia para iterar sus procesos de seguridad en función de las lecciones aprendidas.

Lo crea o no, los ataques repetidos no son algo inusual: ocurren en la mayoría de los casos. El 67 % de las empresas que sufrieron una vulneración de seguridad sufrieron otra en un plazo de 12 meses. Actualizar su postura mediante el cumplimiento de pautas como las del NIST es una forma de asegurarse de estar entre ese 33 %.

El papel de CTI en la mejora de los procesos de recuperación

CTI desempeña un papel vital en el proceso de recuperación al brindar información que respalda una restauración efectiva y procesos organizacionales preparados para el futuro.

• Análisis de la causa raíz: CTI aporta información detallada sobre los métodos y herramientas de los atacantes, lo que ayuda a identificar la causa raíz de la vulneración. Comprender la causa raíz es esencial para una solución eficaz y ayuda a prevenir la recurrencia de incidentes similares.
• Prevención de futuros ataques: la información recopilada por CTI después de un incidente es fundamental para pronosticar posibles vectores de ataque futuros e identificar amenazas residuales. Esto incluye la integración de nuevos indicadores de compromiso (IOC) en los sistemas de seguridad, lo que mejora las capacidades de detección y ayuda a proteger los sistemas contra amenazas similares o en evolución.
• Monitoreo y verificación continuos: después de gestionar una vulneración inicial, las herramientas de CTI continúan monitoreando los sistemas de la organización para verificar que la vulneración se haya contenido por completo. Este monitoreo ayuda a garantizar que no queden riesgos residuales y que se eviten futuras filtraciones, manteniendo la integridad de los activos de la organización después del incidente.

Una oportunidad para el NIST: la inteligencia sobre amenazas cibernéticas es la clave para adoptar el marco del NIST

La implementación de las mejores prácticas a través del marco de ciberseguridad del NIST es un enfoque estandarizado para proteger la infraestructura crítica de ataques, salvaguardar la información confidencial y reducir el riesgo de interrupción del negocio en el caso de una amenaza activa.

Al utilizar inteligencia sobre amenazas cibernéticas en su entorno, puede cubrir cada etapa del marco, descubriendo riesgos con anticipación con visibilidad total e inteligencia profunda, previniendo un impacto material en sus datos y servicios críticos y remediando una violación en su entorno en el menor tiempo posible y con el menor impacto en la continuidad del negocio.

Post original aquí.

Próximos eventos