Autor/a: Daniel Vaquero, Ingeniero Pre-Venta de Ingecom
Si ya tienes configurado un SIEM, has instalado un antivirus o EDR –Next Generation– e incluso llegaste a convencer a la dirección de la importancia de contar con una solución DLP, puedes sentirte seguro con las defensas implementadas en tu organización, además de estar alineado con el cumplimiento del CIS. Pero ¿ahora qué? ¿podemos relajarnos? A lo mejor eso es lo que pensaste hasta que el CEO de la empresa te preguntó por qué la solución de seguridad de aprendizaje automático, basada en Inteligencia Artificial de vanguardia, no paró el brote de ransomware que bloqueó a la mitad de los equipos de la organización.
En este momento, es necesario parar y pensar en el estallido que la industria de la ciberseguridad ha generado, con innumerables herramientas, proveedores, soluciones o servicios diferentes. Realmente, es muy complicado mantenerse actualizado. La mayoría de las organizaciones están persiguiendo la solución definitiva, que permita configurarla y olvidarse de la seguridad. Conceptos como el MDR, el SOAR, la instrumentación de seguridad, la Inteligencia Artificial, el Blockchain, entre otros, pueden ser atrayentes, pero también abrumadores, ya que cada vez resulta más difícil saber cuál es la mejor solución para cada uno, si todas están aportando un valor fundamental.
Vayamos un paso más allá, y enfaticemos cómo un Blue Team puede dar respuesta a la protección de la empresa. Y es que existe una gran cantidad de conocimiento público y gratuito en esta industria, que pueden aprovecharse para prevenir, detectar y dar respuesta adecuadamente.
¿Por dónde empezar? Quizás, lo primero será saber en qué consiste este trabajo. Para nosotros, los defensores, nos gusta pensar que, además de proteger a las organizaciones, también buscamos el mal. Todos sabemos que, a menos que estés en el equipo de respuesta a incidentes, el día a día de los Blue Teams está lleno de tareas menos emocionantes, pero igualmente importantes.
Por supuesto, el dogma para InfoSec es preservar la tríada de la CIA –y no hablo de espías, sino de la Confidencialidad, Integridad y Disponibilidad o ‘Availability’ en inglés–. Si bien con este modelo podemos establecer objetivos, el día a día demuestra que hay que ser más pragmáticos, por ello, los tres puntos fundamentales de los Blue Team debían basarse en la Prevención, Detección y Respuesta de incidentes.
En la siguiente imagen de Matt Swann se puede ver fácilmente la manera de ilustrar la jerarquía de necesidades:
Al principio, cuando conoces en el mundo de InfoSec, te puedes emocionar fácilmente con acciones como la caza de amenazas y respuesta a ciberincidentes (la parte superior de la pirámide). Y no hay nada de malo en ello, es bastante más gratificante que hacer un inventariado o gestionar los activos (la parte inferior).
Dicho esto, el modelo presenta un modo de trabajo fundamental, comenzando de abajo hacia arriba ya que, si la parte inferior de la pirámide no está completa, nunca alcanzaremos el mismo valor. ¿De qué servirá pasar el tiempo buscando APTs cuando se pierde la telemetría de los puestos de trabajo? ¿Cuántas veces uno o dos PCs comienzan a funcionar sin tener un antivirus instalado? Es muy fácil entusiasmarse con las nuevas herramientas de análisis de comportamiento de usuarios o incluso feeds de inteligencia de amenazas, pero hay que recordar que un buen Blue Team se sustenta en esos primeros procesos, y en hacerse preguntas como: ¿qué activos estamos defendiendo? ¿qué datos estamos protegiendo? ¿dónde están esos datos?
Y es que InfoSec es un proceso, no un producto. Las personas y los procesos de un Blue Team son tan importantes como las tecnologías que utilizan.