BlueTeams e infosec

Así que ya tienes configurado un SIEM, has instalado un antivirus o EDR con la coletilla next-generation e incluso llegaste a convencer a la dirección de tener una solución DLP. Es el momento de sentirse seguro con las defensas que has puesto en la compañía y encima, le has pegado un buen empujón al cumplimiento del CIS. ¿Y ahora qué? ¿quizás sea el momento de sentarse y relajarse? Bueno, eso era lo que pensaste hasta que te encontraste explicando al CEO de la empresa, porqué la solución de seguridad de aprendizaje automático basada en inteligencia artificial de vanguardia no paró el brote de ramsonware que bloqueó a la mitad de los equipos.

Parece que es el momento de hacer una parada, y pensar en el estallido que la industria de la ciberseguridad ha generado, con innumerables herramientas, proveedores y soluciones o servicios diferentes. Realmente, es muy complicado mantenerse actualizado, y casi todo el mundo está persiguiendo la solución definitiva, que te permita configurarla y olvidarte de la seguridad. Y es que el marketing también tiene su culpa, porque el MDR, SOAR, instrumentación de seguridad, IA, blockchain, etc. puede ser atrayente, pero también abrumador, y cada vez es más difícil saber cual es la mejor solución para cada uno, si todas están aportando un valor fundamental.

Vayamos un paso más allá de la tecnología, y enfaticemos cómo un BlueTeam puede dar respuesta a la protección de la empresa, y, es que hay una gran cantidad de conocimiento público y gratuito en esta industria, que pueden aprovechare para prevenir, detectar y dar respuesta adecuadamente.
Y ¿por dónde empezar? Quizás, lo primero será saber ¿en qué consiste este trabajo? Para nosotros, los defensores, me gusta pensar que además de proteger a las organizaciones, también buscamos el mal. Todos sabemos, que a menos que estés en el equipo de respuesta a incidentes, el día a día de los BlueTeams, está lleno de tareas menos emocionantes, pero igualmente importantes.

Por supuesto, el dogma para infosec, del que seguro muchos habéis oído hablar, consiste en preservar la tríada de la CIA (no, no son los espías, sino la Confidencialidad, Integridad y Disponibilidad, o Availability para que cuadre mejor el acrónimo). Si bien con este modelo podemos establecer objetivos, el día a día demuestra que hay que ser más pragmáticos, y los tres puntos fundamentales de un Blue Team deberían ser la prevención, detección y respuesta.

En la siguiente imagen de Matt Swann, se puede ver fácilmente la manera de ilustrar la jerarquía de necesidades:

Al principio, cuando te metes en el mundo del infosec, te puedes emocionar fácilmente con ideas de cosas como la caza de amenazas y respuesta a ciber incidentes (la parte superior de la pirámide). Y no hay nada de malo en ello, es bastante más genial que hacer un inventariado o gestionar los activos (la parte inferior).

Dicho esto, el modelo presenta un modo de trabajo fundamental, que el comenzar de abajo hacia arriba, ya que nunca encontrará el mismo valor si la parte inferior de la pirámide no está completa ante todo. ¿De qué servirá pasar el tiempo buscando APTs cuando se pierde la telemetría los puestos de trabajo? ¿Cuántas veces uno o dos PCs comienzan a funcionar sin tener un AV instalado? Es muy fácil entusiasmarse con las nuevas herramientas de análisis de comportamiento de usuarios o incluso feeds de inteligencia de amenazas, pero hay que recordar que un buen Blue Team se sustenta en esos primeros procesos, y en hacerse preguntas como ¿qué activos estamos defendiendo? ¿qué datos estamos protegiendo? ¿dónde están esos datos?

Y es que el infosec es un proceso, no un producto. Las personas y los procesos de un BlueTeam son tan importantes como las tecnologías que utilizan.


créditos de las imágenes - https://www.lanner-america.com/blog/long-reaching-effects-inadequate-cyber-security y https://github.com/swannman/ircapabilities