Equipo de respuesta ante emergencias informáticas (CERT)



por

Un Equipo de Respuesta a Emergencias Informáticas (CERT) es un grupo de expertos en seguridad de la información responsables de la protección, detección y respuesta a los incidentes de ciberseguridad de una organización. Un CERT puede enfocarse en resolver incidentes tales como violaciones de datos y ataques de denegación de servicio, así como en brindar alertas y pautas de manejo de incidentes. Los CERT también llevan a cabo campañas continuas de concienciación pública y participan en investigaciones destinadas a mejorar los sistemas de seguridad.

El equipo original de respuesta a incidentes de seguridad informática, el Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas (CERT / CC), se formó a finales de 1988 en la Universidad Carnegie Mellon en Pittsburgh, Pensilvania.

¿Cuál es el papel de un equipo de respuesta a emergencias?

Independientemente de si se les llama CERT, CSIRT, IRT o cualquier otro nombre similar, el papel de todos los equipos de respuesta a emergencias informáticas es bastante comparable. Todas estas organizaciones están tratando de lograr los mismos objetivos relacionados con la respuesta a incidentes de responder a los incidentes de seguridad informática para recuperar el control y minimizar los daños, proporcionando o ayudando con una respuesta y recuperación eficaz a incidentes y evitando que los incidentes de seguridad informática vuelvan a ocurrir.

En general, un equipo de respuesta a incidentes es responsable de proteger a la organización de problemas informáticos, de red o de ciberseguridad que amenazan a una organización y su información. Un modelo universal de respuesta a incidentes que se ha utilizado durante mucho tiempo es el modelo "proteger, detectar y responder":

Este artículo es parte de

Guía definitiva para la respuesta a incidentes de ciberseguridad

  • Que también incluye:
  • Cree un plan de respuesta a incidentes con esta plantilla gratuita
  • Cómo crear un equipo de respuesta a incidentes para su organización
  • Respuesta a incidentes: cómo implementar un plan de comunicación

Descargar1

¡Descarga esta guía completa GRATIS ahora!

Protección

Esto se refiere a asegurarse de que una organización haya tomado las medidas y precauciones necesarias para protegerse antes de que surja cualquier problema de ciberseguridad. Esta área se centra en estrategias proactivas en lugar de estrategias reactivas. Algunas de esas estrategias de protección son:

  • Cree un plan organizacional de respuesta a incidentes.
  • Realizar evaluaciones o análisis de riesgos.
  • Crear una gestión de inventario de activos actualizada
  • Implementar herramientas de escaneo de vulnerabilidades y sistemas de detección de intrusos (IDS).
  • Brindar capacitación sobre concientización sobre seguridad para todos los empleados.
  • Construya la configuración, la vulnerabilidad y la gestión de parches
  • Desarrollar planes, políticas, procedimientos y materiales de capacitación de respuesta a incidentes de seguridad.
  • Detallar las pautas para los usuarios sobre qué problemas de seguridad deben notificarse y esbozar un proceso para realizar un informe.
  • Cree guías de respuesta a incidentes para tipos de incidentes comunes.
  • Implemente medidas defensivas internas y externas que se actualizan periódicamente en función de las amenazas actuales.
  • Reevalúe la efectividad de los procedimientos cada vez que ocurra un incidente.

Detectar

No se puede responder a los incidentes a menos que se detecten. De hecho, la detección de incidentes de seguridad puede llevar semanas o meses para que muchas organizaciones lo logren. Una estrategia de detección común es implementar una arquitectura de red defensiva utilizando tecnología como enrutadores, firewalls, sistemas de prevención y detección de intrusos, monitores de red y centros de operaciones de seguridad (SOC).

La detección eficaz requiere tiempo y esfuerzo. También requiere un alto nivel de comprensión de cómo funciona realmente la red de una organización. Las preguntas comunes que deben responderse antes de desarrollar una estrategia de detección incluyen:

  • ¿Qué aplicaciones están siempre en uso?
  • ¿Qué aspecto tiene el tráfico de red normal?
  • ¿Qué protocolos de red se utilizan?
  • ¿Qué protocolos de red nunca deberían aparecer en la red?
  • ¿Cuáles son los patrones normales de utilización del ancho de banda, incluidos el volumen y la dirección?
  • ¿Qué dispositivos se supone que deben estar conectados a la red?
  • ¿Quiénes son los propietarios del sistema y de los datos de estos dispositivos y hosts conectados?

Para determinar si una red no está funcionando correctamente, si aloja aplicaciones no deseadas o si experimenta patrones de tráfico anormales, es necesario poder caracterizar completamente cómo se supone que funcionan la red y los sistemas conectados a ella. Si no se comprende el funcionamiento correcto de un sistema, entonces no es posible saber cuándo ese sistema no está funcionando como se esperaba.

La gestión del sistema requiere que cada parte de una red se documente y se base. Esto se puede lograr con:

  • Un programa de gestión de activos de software (SAM) que establece qué se supone que debe estar allí y quién lo posee, así como qué aplicaciones y funciones comerciales son compatibles con cada activo. Además, se deben realizar verificaciones periódicas con respecto a la línea de base de activos.
  • Un programa de seguridad y administración de aplicaciones que incluye propietarios de aplicaciones, usuarios autorizados, caracterización de la transferencia de datos y otro tráfico del que son responsables las aplicaciones.
  • Programas de administración de cambios, configuración y parches para saber que la red está configurada como se supone que debe estar.
  • Una línea de base de utilización de ancho de banda y verificaciones de ancho de banda de rutina con respecto a la línea de base.
  • Líneas de base de flujo de red y monitoreo continuo para capturar la desviación de la línea de base.

Tanto con las prácticas de protección como con las de detección, es importante comprender que todos los elementos de estos modelos de proceso deben construirse de antemano antes de que pueda tener lugar cualquier actividad de respuesta. Muchas organizaciones no pueden planificar la respuesta a incidentes o no implementan ninguna estrategia de protección y detección y, por lo tanto, no pueden saber si sus redes y sistemas son seguros o no.

Responder

Una vez que se ha detectado un incidente de seguridad informática, puede comenzar la respuesta formal al incidente. Responder a un incidente de seguridad informática consta de algunos pasos. El primer paso es cuando el equipo recibe un informe de un incidente de un componente, como un usuario, socio comercial o miembro del personal del centro de operaciones de seguridad. Luego, los miembros del equipo analizan el informe del incidente para comprender qué está sucediendo y crear una estrategia inmediata para recuperar el control y evitar que se produzcan más daños. Por último, la estrategia se convierte en un plan que luego se implementa para recuperarse del incidente y volver a las operaciones normales lo más rápido posible.

El Instituto Nacional de Estándares y Tecnología (NIST) ha desarrollado su propio modelo de respuesta a incidentes que se ha vuelto popular entre los respondedores de incidentes, especialmente dentro de la Rama Ejecutiva Federal de EE. UU. El modelo NIST utiliza los términos "contener, erradicar y recuperar" para describir su modelo y proceso de respuesta a incidentes. La Guía de manejo de incidentes de seguridad informática de la publicación especial del NIST, SP-800-61, describe este modelo de respuesta a incidentes en detalle.

Historia del CERT

Tras un incidente con un gusano de Internet en noviembre de 1988 que desactivó el 10 por ciento de Internet, la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) otorgó al Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon la responsabilidad de establecer un centro para coordinar las comunicaciones entre los agentes de seguridad. y expertos en informática durante emergencias y para ayudar a evitar que se produzcan incidentes de seguridad informática en el futuro. El gusano de Internet que precipitó la creación del primer equipo de respuesta a emergencias informáticas del mundo finalmente se conoció como el gusano Robert Morris.

El gusano Morris recibió su nombre de su creador, Robert Tappan Morris, un estudiante de posgrado de la Universidad de Cornell, quien liberó el gusano en el campus del Instituto de Tecnología de Massachusetts (MIT) en un aparente intento de disfrazar el origen del gusano. Según su creador, Morris Worm no tenía la intención de ser destructivo, sino que se escribió para resaltar las fallas de seguridad del software en las variantes de Berkeley Software Distribution (BSD) de UNIX. Irónicamente, el gusano en sí contenía una falla de software que hizo que se replicara mucho más rápido de lo previsto, lo que provocó que las máquinas infectadas se ralentizaran o se detuvieran bajo las demandas del gusano, lo que contribuyó al descubrimiento del gusano.

Más allá del daño causado por el gusano Morris, hubo tres efectos duraderos por la liberación del gusano:

  1. Un efecto del gusano Morris fue la creación del CERT / Centro de Coordinación en el Instituto de Ingeniería de Software (SEI). El SEI, fundado en 1984, es un centro de investigación y desarrollo financiado con fondos federales (FFRDC) y fue seleccionado por DARPA para defender el Centro de Coordinación CERT porque podría actuar como un tercero neutral en la coordinación de esfuerzos, particularmente con los proveedores de software, en eliminando fallas de software que se convierten en problemas de seguridad.
  2. Otro efecto del gusano Morris fue que Robert Tappan Morris se convirtió en la primera persona en ser juzgada y condenada bajo la Ley de Abuso y Fraude Informático (CFAA) de 1986. El estudiante de ciencias de la computación de 24 años recibió una sentencia de tres años de libertad condicional, 400 horas de servicio comunitario, una multa de $ 10,000, más los costos de su libertad condicional, por un total de $ 13,326.
  3. El tercer efecto del gusano Morris, y quizás el de mayor alcance, es que estimuló el pensamiento y la investigación sobre la protección de la infraestructura crítica. El gusano Morris destacó problemas con un diseño e ingeniería de software deficientes, fallas de software pasadas por alto o ignoradas que se convierten en vulnerabilidades de seguridad y prácticas de seguridad deficientes que siguen siendo problemas importantes en la actualidad. Incluso si no hubo intenciones maliciosas, el lanzamiento del gusano Morris demostró que Internet no era necesariamente un lugar en el que se podía confiar en que todos tenían en mente los mejores intereses de los demás. 

Más allá del gusano Morris, desde su creación en 1988, el Centro de Coordinación CERT se ha convertido en uno de los institutos de seguridad informática más importantes del mundo. Desde la creación de CERT / CC, Internet ha crecido de un estimado de 60,000 computadoras en 1998 a más de mil millones de hosts anunciados en el sistema de nombres de dominio (DNS) en enero de 2019.

Algunas de las áreas en las que el Centro de Coordinación del CERT ha demostrado liderazgo incluyen:

  • Contribuyendo al desarrollo de más de 50 equipos de respuesta a incidentes en todo el mundo.
  • Facilitar el desarrollo de métodos de respuesta a incidentes y educación.
  • Convertirse en miembro fundador del Foro de Equipos de Seguridad y Respuesta a Incidentes (FIRST).
  • Creación de numerosos métodos y herramientas de evaluación de la seguridad.
  • Líder en el desarrollo de educación en ciberseguridad para graduados.
  • Realización de investigación y educación sobre amenazas internas.
  • Dirigir métodos de análisis y defensa de malware.
  • Publicar informes de vulnerabilidades y una base de datos de vulnerabilidades.

CERT frente a CSIRT

Se eligió el término CERT como identificador del Equipo de Respuesta a Emergencias Informáticas en el Instituto de Ingeniería de Software. El SEI es un centro de investigación y desarrollo financiado por el gobierno federal administrado por la Universidad Carnegie Mellon, que tiene la marca registrada y es propietaria del nombre "CERT". Hoy, la SEI señala que el designador CERT ya no es un acrónimo, sino un símbolo de marca registrada. El SEI ya no usa el nombre Equipo de Respuesta a Emergencias Informáticas para referirse a la División CERT del SEI. La SEI ahora se refiere a su división CERT como el Centro de Coordinación CERT o CERT / CC.

Debido a la propiedad registrada de Carnegie Mellon sobre el título CERT, han alentado a otras organizaciones de respuesta a incidentes a utilizar el término Equipo de respuesta a incidentes de seguridad informática (CSIRT) en lugar de CERT. Por lo tanto, toda la documentación de respuesta a incidentes de seguridad informática, publicaciones y cursos de educación de SEI y CERT / CC utilizan el término CSIRT para referirse a organizaciones de respuesta a incidentes de propiedad independiente o administradas.

Como resultado del nombre de marca registrada CERT, otras siglas pasaron a ser de uso común para describir equipos con funciones similares de respuesta a incidentes:

  • Equipo de respuesta a incidentes de seguridad informática (CSIRT).
  • Equipo de respuesta a incidentes (IRT).
  • Equipo de preparación para emergencias informáticas de los Estados Unidos (US-CERT).
  • Centro o capacidad de respuesta a incidentes de seguridad informática (CSIRC).
  • Centro o capacidad de respuesta ante incidentes informáticos (CIRC).
  • Equipo de respuesta a incidentes informáticos (CIRT).
  • Equipo de manejo de incidentes (IHT).
  • Centro de respuesta a incidentes o Capacidad de respuesta a incidentes (IRC).
  • Equipo de respuesta a incidentes (IRT).
  • Equipo de Respuesta a Emergencias de Seguridad (SERT).
  • Equipo de respuesta a incidentes de seguridad (SIRT).

Otro posible enfoque de nomenclatura es preceder a cualquiera de los términos anteriores con una designación organizativa o agregar un sufijo. Los ejemplos podrían incluir "Amazon SIRT" para referirse al equipo de respuesta a incidentes específico en Amazon o "CERT-MX" para referirse a un centro de respuesta técnica en México.

Aunque la Universidad Carnegie Mellon ha hecho valer su propiedad del término CERT en el pasado, la SEI recientemente retiró el dominio cert.org y consolidó su presencia en la web bajo el dominio sei.cmu.edu.

Un equipo de respuesta a incidentes de seguridad informática establecido puede solicitar una licencia para usar el designador CERT del SEI sin costo alguno. Obtener una licencia para usar el designador CERT también permite que un equipo de respuesta a incidentes aparezca en el sitio web de SEI como un usuario autorizado del designador CERT y muestre una insignia CERT de “usuario autorizado” en su propio sitio web.

Cómo convertirse en un profesional certificado en respuesta a incidentes

Los equipos de respuesta a incidentes de seguridad informática suelen estar supervisados ​​por directores de equipo que deben asegurarse de que los miembros de su equipo estén debidamente capacitados y calificados para las responsabilidades de respuesta a incidentes. Los profesionales de respuesta a incidentes con la formación o las certificaciones adecuadas pueden ayudar a una organización a cumplir sus objetivos de protección, detección, gestión y mitigación de incidentes, así como a minimizar el tiempo que lleva recuperarse de un incidente. Deben estar bien versados ​​en técnicas y vectores de ataque comunes, así como en las herramientas, políticas y procedimientos necesarios para responder eficazmente a emergencias relacionadas con la ciberseguridad.

Dado que el manejo de incidentes evoluciona y requiere un gran conocimiento de la tecnología y los procedimientos, se recomienda encarecidamente la capacitación regular para los miembros del equipo de respuesta a incidentes. Además, existen varios programas de calificación para los manejadores de incidentes de seguridad informática. Todas estas certificaciones requieren tomar un examen y pueden tener requisitos mínimos de experiencia antes de su consideración.

Un ejemplo de esto es el programa Global Information Assurance Certification (GIAC) formado por el Instituto SANS. Este programa ofrece 30 certificaciones diferentes, incluido el Manejador de Incidentes Certificado por GIAC (GCIH). El proceso para lograr la certificación GCIH cubre los pasos básicos del proceso de manejo de incidentes, la detección de aplicaciones maliciosas y la actividad de la red, la educación de técnicas de ataque comunes, el análisis de las vulnerabilidades del sistema y la red y la mejora continua del proceso para descubrir las causas raíz. de incidentes.

Otro ejemplo es la Certificación de manejador de incidentes de seguridad informática (CSIH) con certificación CERT que ofrece el Software Engineering Institute (SEI), sede de CERT / CC. El examen de CSIH cubre la protección de la infraestructura, la detección de incidentes y eventos, el análisis de incidentes y triaje y las capacidades de respuesta a incidentes sostenibles.

Ninguna de estas certificaciones tiene los requisitos previos de capacitación requeridos para poder rendir el examen, aunque tanto el Instituto SANS como el SEI ofrecen una serie de cursos básicos y avanzados de manejo de incidentes que serían un buen plan de estudios de capacitación además de una certificación profesional para un manejador de incidentes. 

¿Qué es US-CERT?

US-CERT es un acrónimo de United States Computer Emergency Readiness Team. El uso de la palabra "preparación" tenía la intención de dar una indicación de su enfoque en ser proactivo, o "listo", para emergencias en lugar de ser reactivo y concentrado en la respuesta. La misión declarada de US-CERT dice: "US-CERT es responsable de analizar y reducir las ciberamenazas y vulnerabilidades, difundir información de advertencia de ciberamenazas y coordinar las actividades de respuesta a incidentes".

Antecedentes

En septiembre de 2003, el Departamento de Seguridad Nacional de los EE. UU. (DHS) anunció una asociación con el Centro de Coordinación CERT en el Instituto de Ingeniería de Software para crear el US-CERT como un "punto de coordinación para la prevención, detección y respuesta a ciberataques en Internet".

Luego, en 2017, el DHS simplificó su estructura organizacional, moviendo US-CERT junto con otras funciones operativas, al Centro Nacional de Integración y Comunicaciones de Ciberseguridad (NCCIC). El NCCIC operó como la entidad sobreviviente hasta noviembre de 2018. En este momento, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) se creó como una agencia independiente dentro del DHS e incorporó al NCCIC, incluido lo que era el US-CERT, en su División de Ciberseguridad. .

A partir de ahora, todas las páginas web asociadas con el dominio us-cert.gov ahora conducen a páginas web con la marca CISA. La URL www.us-cert.gov ahora va a una página web de CISA que anuncia al NCCIC como “el centro insignia de ciberdefensa, respuesta a incidentes e integración operativa del país”.

Capacidades

El CISA actúa como asesor de riesgos para los Estados Unidos con respecto a amenazas e incidentes de seguridad virtual o en línea. Esto se ejecuta mediante la combinación de investigación y desarrollo con inteligencia de amenazas y políticas gubernamentales. Las capacidades de la organización incluyen el monitoreo y la protección de la red federal, la resistencia de la infraestructura y las comunicaciones de emergencia.

Además, el CISA proporciona conocimientos sobre ciberseguridad y mejores prácticas a otras organizaciones gubernamentales para proteger los recursos de la nación.

¿Qué es un equipo comunitario de respuesta a emergencias?

Existe otro tipo de organización que comúnmente usa el acrónimo CERT. También es una organización de respuesta a incidentes, pero tiene un enfoque y un grupo de interés diferentes en mente. Es el Equipo Comunitario de Respuesta a Emergencias (CERT).

El Departamento de Seguridad Nacional de los EE. UU. (DHS) administra un programa de equipo de respuesta a emergencias de la comunidad y está diseñado para educar y capacitar al público estadounidense sobre la preparación y la respuesta ante desastres. Algunas de las habilidades enseñadas por esta organización CERT incluyen cómo responder de manera segura a desastres naturales y provocados por el hombre, organizar la respuesta básica a desastres, prepararse para emergencias, realizar búsquedas y rescates y administrar primeros auxilios.