Ir al contenido principal

Introducción a los CIS controls

Introducción

CIS Controls es un conjunto de acciones priorizadas que colectivamente forman un conjunto de mejores prácticas de defensa que mitigan los ataques más comunes contra sistemas y redes. Los Controles CIS son desarrollados por una comunidad de expertos en TI que aplican su experiencia de primera mano como defensores cibernéticos para crear estas mejores prácticas de seguridad aceptadas globalmente. Los expertos que desarrollan los Controles CIS provienen de una amplia gama de sectores que incluyen retail, fabricación, salud, educación, gobierno, defensa y otros.


Estamos en un punto fascinante en la evolución de lo que ahora llamamos defensa cibernética. Pérdidas masivas de datos, robo de propiedad intelectual, violaciones de tarjetas de crédito, robo de identidad, amenazas a nuestra privacidad, denegación de servicio: se han convertido en una forma de vida para todos nosotros en el ciberespacio.


Y, como defensores, tenemos acceso a una extraordinaria variedad de herramientas de seguridad y tecnología, estándares de seguridad, entrenamientos y clases, certificaciones, bases de datos de vulnerabilidad, orientación, mejores prácticas, catálogos de controles de seguridad e innumerables listas de verificación de seguridad, puntos de referencia y recomendaciones. Para ayudarnos a comprender la amenaza, hemos visto la aparición de feeds de información de amenazas, informes, herramientas, servicios de alerta, estándares y frameworks de intercambio de amenazas. Para colmo, estamos rodeados de requisitos de seguridad, marcos de gestión de riesgos, regímenes de cumplimiento, mandatos regulatorios, etc. La información disponible para los profesionales de seguridad sobre lo que deberían hacer para proteger su infraestructura no es escasa.


Pero toda esta tecnología, información y supervisión se ha convertido en una verdadera "nebulosa": diferentes opciones, prioridades, opiniones y afirmaciones que compiten entre sí y que pueden paralizar o distraer a una empresa de una acción vital. La complejidad del negocio está creciendo, las dependencias se están expandiendo, los usuarios se están volviendo más móviles y las amenazas están evolucionando. La nueva tecnología nos brinda grandes beneficios, pero también significa que nuestros datos y aplicaciones ahora se distribuyen en múltiples ubicaciones, muchas de las cuales no están dentro de la infraestructura de nuestra organización. En este mundo complejo e interconectado, ninguna empresa puede pensar en su seguridad como un problema aislado.


Entonces, ¿cómo podemos, como una comunidad, la comunidad en general, así como dentro de las industrias, sectores, asociaciones y coaliciones, unirnos para establecer la prioridad de acción, apoyarnos mutuamente y mantener nuestro conocimiento y tecnología al día ante un problema en rápida evolución y un número aparentemente infinito de posibles soluciones? ¿Cuáles son las áreas más críticas que debemos abordar y cómo debe una empresa dar el primer paso para madurar su programa de gestión de riesgos? En lugar de perseguir cada nueva amenaza excepcional y descuidar los fundamentos, ¿cómo podemos encaminarnos con una hoja de ruta de fundamentos y una guía para medir y mejorar? ¿Qué pasos defensivos tienen el mayor valor?


Estos son los tipos de problemas que provocaron y ahora conducen los controles CIS. Comenzaron como una actividad de base para atravesar la "Niebla de más" y enfocarse en las acciones más fundamentales y valiosas que toda empresa debería emprender. Y el valor aquí está determinado por el conocimiento y los datos: la capacidad de prevenir, alertar y responder a los ataques que afectan hoy a las empresas.


Dirigidas por CIS, los controles de CIS han sido madurados por una comunidad internacional de personas e instituciones que:


  • comparten información sobre ataques y atacantes, identificar causas raíz y traducir eso en tipos de acciones defensivas;
  • documentan historias de adopción y compartir herramientas para resolver problemas;
  • dan seguimiento a la evolución de las amenazas, las capacidades de los adversarios y los vectores actuales de intrusiones;
  • mapean los Controles de CIS a los marcos regulatorios y de cumplimiento, y dar prioridad colectiva y centrarse en ellos;
  • comparten herramientas, ayudas de trabajo y traducciones; y
  • identifican problemas comunes (como la evaluación inicial y los mapas de ruta de implementación) y resolverlos como una comunidad.


Estas actividades aseguran que los Controles CIS no son solo otra lista de buenas prácticas, sino un conjunto de acciones priorizadas y altamente focalizadas que tienen una red de soporte comunitario para hacerlas implementables, utilizables, escalables y compatibles con todos los requerimientos de seguridad gubernamental o industrial.




Por qué los Controles CIS funcionan: metodología y contribuyentes



Los Controles CIS se nutren de información de ataques reales y defensas efectivas y reflejan el conocimiento combinado de expertos de cada parte del ecosistema (empresas, gobiernos, individuos); con cada rol (respondedores y analistas de amenazas, tecnólogos, buscadores de vulnerabilidades, fabricantes de herramientas, proveedores de soluciones, defensores, usuarios, responsables de políticas, auditores, etc.); y dentro de muchos sectores (gobierno, poder, defensa, finanzas, transporte, academia, consultoría, seguridad, TI) que se han unido para crear, adoptar y respaldar los Controles. Los principales expertos de las organizaciones combinaron su extenso conocimiento de primera mano para defenderse de los ciberataques reales y evolucionar la lista de controles consensuados, representando las mejores técnicas defensivas para prevenir o rastrearlos. Esto asegura que los Controles CIS son el conjunto más efectivo y específico de medidas técnicas disponibles para detectar, prevenir, responder y mitigar el daño desde el más común al más avanzado de esos ataques.


Los controles CIS no están limitados a bloquear el compromiso inicial de los sistemas, sino que también abordan la detección de máquinas ya comprometidas y la prevención o interrupción de las acciones de seguimiento de los atacantes. Las defensas identificadas a través de estos Controles tratan de reducir la superficie de ataque inicial reforzando las configuraciones del dispositivo, identificando máquinas comprometidas para abordar amenazas a largo plazo dentro de la red de una organización, interrumpiendo el comando y control de los atacantes del código malicioso ya implantado y estableciendo un sistema adaptativo de capacidad de defensa y respuesta continuo, que puede mantenerse y mejorarse.


Los cinco principios fundamentales de un sistema efectivo de defensa cibernética como se refleja en los controles CIS son:


  1. La ofensa informa a la defensa: utilice el conocimiento de los ataques reales que han comprometido los sistemas para proporcionar la base para aprender continuamente de estos eventos y construir defensas efectivas y prácticas. Incluya sólo aquellos controles demostrados para detener ataques conocidos del mundo real.
  2. Priorización: invierta primero en los controles que proporcionarán la mayor reducción de riesgos y protección contra los actores más peligrosos y que se pueden implementar de manera viable en su entorno informático.
  3. Mediciones y métricas: establezca parámetros comunes para proporcionar un lenguaje compartido para ejecutivos, especialistas en TI, auditores y funcionarios de seguridad para medir la efectividad de las medidas de seguridad dentro de una organización, de modo que los ajustes necesarios se puedan identificar e implementar rápidamente.
  4. Diagnóstico y mitigación continuos: realice mediciones continuas para probar y validar la efectividad de las medidas de seguridad actuales y para ayudar a dirigir la prioridad de los siguientes pasos.
  5. Automatización: automatice las defensas para que las organizaciones puedan lograr mediciones confiables, escalables y continuas de su adhesión a los controles y las métricas relacionadas.


Cómo empezar:



Los Controles CIS son un número relativamente pequeño de acciones de seguridad priorizadas, bien consensuadas y respaldadas que las organizaciones pueden tomar para evaluar y mejorar su estado de seguridad actual. También cambian la discusión de "qué debería hacer mi empresa" a "qué deberíamos estar haciendo TODOS" para mejorar la seguridad a gran escala.


Pero esta no es una solución única para todos, ni en contenido ni en prioridad. Aún debe comprender qué es fundamental para su negocio, datos, sistemas, redes e infraestructuras, y debe considerar las acciones adversas que podrían afectar su capacidad de tener éxito en el negocio o la operación. Incluso una cantidad relativamente pequeña de Controles no se puede ejecutar de una sola vez, por lo que deberá desarrollar un plan de evaluación, implementación y administración de procesos.


Los Controles CIS 1 a 6 son esenciales para el éxito y deben considerarse entre las primeras cosas que se deben hacer. Nos referimos a estos como "Higiene cibernética": las cosas básicas que debes hacer para crear una base sólida para tu defensa. Este es el enfoque adoptado por el Programa de Diagnóstico y Mitigación Continuo de DHS (CDM), por ejemplo, uno de los socios en los Controles CIS. Un enfoque similar es recomendado por nuestros socios en la Dirección de Señales de Australia (ASD) con sus "Ocho Esenciales"1 - un conjunto de acciones cibernéticas de defensa bien conocidas y demostrablemente efectivas que se relacionan muy de cerca con los Controles CIS. Esto también se corresponde estrechamente con el mensaje del US-CERT (Computer Emergency Readiness Team).

Comentarios

Entradas más populares de este blog

Ventajas y Usos Frecuentes con Routers Mikrotik

VentajasPrecio: Cuenta con una gran variedad de precios, contando con equipos muy económicos para un usuario de casa hasta para una micro y mediana empresa, también existen alternativas para virtualizar en los siguientes posts estaré hablando de cómo realizar tu propio laboratorio.
Calidad: Mediante ha ido evolucionando Mikrotik han fabricado equipos mas duraderos y con un software mas robusto.
Aprendizaje: Este es una de las ventajas más importantes, es fácil de aprender para usuarios con conocimientos básicos en redes, y se cuentan con un sinfín de cursos y foros por internet.
Diversidad: Mikrotik es un producto que cuenta con una variedad de modelos que nos permiten realizar múltiples soluciones conducirán a su empresa en un ejemplo de administración y productividad.
Usos Frecuentes Por el Precio y Calidad del equipo, Mikrotik se ha manifestado en mayor parte para administradores de WISP, Hostpot una recomendación seria combinar con antenas Ubiquiti.
Se puede administrar anchos de banda…

Protección de correo electrónico y navegador web

Protección de correo electrónico y navegador web
Minimizar la superficie de ataque y la oportunidad para atacantes de manipular el comportamiento humano a través de su interacción con navegadores web y sistemas de correo electrónico.

¿Por qué es importante este control? Los navegadores web y los clientes de correo electrónico son puntos de entrada y ataque muy comunes debido a su complejidad técnica, flexibilidad y su interacción directa con los usuarios y con los otros sistemas y sitios web. El contenido puede diseñarse para atraer o engañar a los usuarios para que tomen medidas que aumenten en gran medida el riesgo y permitan la introducción de códigos maliciosos, la pérdida de datos valiosos y otros ataques. Dado que estas aplicaciones son el principal medio para que los usuarios interactúen con entornos que no son de confianza, estos son objetivos potenciales tanto para la explotación del código como para la ingeniería social.

Sub-controlTipo de activoFunción de seguridadControlD…

Conociendo a Mikrotik

Mikrotik es una empresa de Latvian que se fundó en los años 90’s para desarrollar Routers y Sistemas Inalámbricos para ISP. Mikrotik ahora proporciona hardware y software para la conectividad hacia internet en gran mayoría de los países del mundo, en el año 1997 crean su propio Software basado en el nucleo de Linux llamandolo RouterOs proporcionando gran estabilidad, controles y flexibilidad para todo tipo de datos y enrutamiento. Para el año 2002 deciden hacer su propio hardware creando el RouterBoard. Se tiene revendedores en gran parte del mundo en México teniendo como Principal a MikrotikMéxico(https://www.mikrotik-mexico.com.mx/). La fabrica se encuentra en Riga Capital de Latvian contando con mas de 280 empleados.