Ir al contenido principal

Introducción a los CIS controls

Introducción

CIS Controls es un conjunto de acciones priorizadas que colectivamente forman un conjunto de mejores prácticas de defensa que mitigan los ataques más comunes contra sistemas y redes. Los Controles CIS son desarrollados por una comunidad de expertos en TI que aplican su experiencia de primera mano como defensores cibernéticos para crear estas mejores prácticas de seguridad aceptadas globalmente. Los expertos que desarrollan los Controles CIS provienen de una amplia gama de sectores que incluyen retail, fabricación, salud, educación, gobierno, defensa y otros.


Estamos en un punto fascinante en la evolución de lo que ahora llamamos defensa cibernética. Pérdidas masivas de datos, robo de propiedad intelectual, violaciones de tarjetas de crédito, robo de identidad, amenazas a nuestra privacidad, denegación de servicio: se han convertido en una forma de vida para todos nosotros en el ciberespacio.


Y, como defensores, tenemos acceso a una extraordinaria variedad de herramientas de seguridad y tecnología, estándares de seguridad, entrenamientos y clases, certificaciones, bases de datos de vulnerabilidad, orientación, mejores prácticas, catálogos de controles de seguridad e innumerables listas de verificación de seguridad, puntos de referencia y recomendaciones. Para ayudarnos a comprender la amenaza, hemos visto la aparición de feeds de información de amenazas, informes, herramientas, servicios de alerta, estándares y frameworks de intercambio de amenazas. Para colmo, estamos rodeados de requisitos de seguridad, marcos de gestión de riesgos, regímenes de cumplimiento, mandatos regulatorios, etc. La información disponible para los profesionales de seguridad sobre lo que deberían hacer para proteger su infraestructura no es escasa.


Pero toda esta tecnología, información y supervisión se ha convertido en una verdadera "nebulosa": diferentes opciones, prioridades, opiniones y afirmaciones que compiten entre sí y que pueden paralizar o distraer a una empresa de una acción vital. La complejidad del negocio está creciendo, las dependencias se están expandiendo, los usuarios se están volviendo más móviles y las amenazas están evolucionando. La nueva tecnología nos brinda grandes beneficios, pero también significa que nuestros datos y aplicaciones ahora se distribuyen en múltiples ubicaciones, muchas de las cuales no están dentro de la infraestructura de nuestra organización. En este mundo complejo e interconectado, ninguna empresa puede pensar en su seguridad como un problema aislado.


Entonces, ¿cómo podemos, como una comunidad, la comunidad en general, así como dentro de las industrias, sectores, asociaciones y coaliciones, unirnos para establecer la prioridad de acción, apoyarnos mutuamente y mantener nuestro conocimiento y tecnología al día ante un problema en rápida evolución y un número aparentemente infinito de posibles soluciones? ¿Cuáles son las áreas más críticas que debemos abordar y cómo debe una empresa dar el primer paso para madurar su programa de gestión de riesgos? En lugar de perseguir cada nueva amenaza excepcional y descuidar los fundamentos, ¿cómo podemos encaminarnos con una hoja de ruta de fundamentos y una guía para medir y mejorar? ¿Qué pasos defensivos tienen el mayor valor?


Estos son los tipos de problemas que provocaron y ahora conducen los controles CIS. Comenzaron como una actividad de base para atravesar la "Niebla de más" y enfocarse en las acciones más fundamentales y valiosas que toda empresa debería emprender. Y el valor aquí está determinado por el conocimiento y los datos: la capacidad de prevenir, alertar y responder a los ataques que afectan hoy a las empresas.


Dirigidas por CIS, los controles de CIS han sido madurados por una comunidad internacional de personas e instituciones que:


  • comparten información sobre ataques y atacantes, identificar causas raíz y traducir eso en tipos de acciones defensivas;
  • documentan historias de adopción y compartir herramientas para resolver problemas;
  • dan seguimiento a la evolución de las amenazas, las capacidades de los adversarios y los vectores actuales de intrusiones;
  • mapean los Controles de CIS a los marcos regulatorios y de cumplimiento, y dar prioridad colectiva y centrarse en ellos;
  • comparten herramientas, ayudas de trabajo y traducciones; y
  • identifican problemas comunes (como la evaluación inicial y los mapas de ruta de implementación) y resolverlos como una comunidad.


Estas actividades aseguran que los Controles CIS no son solo otra lista de buenas prácticas, sino un conjunto de acciones priorizadas y altamente focalizadas que tienen una red de soporte comunitario para hacerlas implementables, utilizables, escalables y compatibles con todos los requerimientos de seguridad gubernamental o industrial.




Por qué los Controles CIS funcionan: metodología y contribuyentes



Los Controles CIS se nutren de información de ataques reales y defensas efectivas y reflejan el conocimiento combinado de expertos de cada parte del ecosistema (empresas, gobiernos, individuos); con cada rol (respondedores y analistas de amenazas, tecnólogos, buscadores de vulnerabilidades, fabricantes de herramientas, proveedores de soluciones, defensores, usuarios, responsables de políticas, auditores, etc.); y dentro de muchos sectores (gobierno, poder, defensa, finanzas, transporte, academia, consultoría, seguridad, TI) que se han unido para crear, adoptar y respaldar los Controles. Los principales expertos de las organizaciones combinaron su extenso conocimiento de primera mano para defenderse de los ciberataques reales y evolucionar la lista de controles consensuados, representando las mejores técnicas defensivas para prevenir o rastrearlos. Esto asegura que los Controles CIS son el conjunto más efectivo y específico de medidas técnicas disponibles para detectar, prevenir, responder y mitigar el daño desde el más común al más avanzado de esos ataques.


Los controles CIS no están limitados a bloquear el compromiso inicial de los sistemas, sino que también abordan la detección de máquinas ya comprometidas y la prevención o interrupción de las acciones de seguimiento de los atacantes. Las defensas identificadas a través de estos Controles tratan de reducir la superficie de ataque inicial reforzando las configuraciones del dispositivo, identificando máquinas comprometidas para abordar amenazas a largo plazo dentro de la red de una organización, interrumpiendo el comando y control de los atacantes del código malicioso ya implantado y estableciendo un sistema adaptativo de capacidad de defensa y respuesta continuo, que puede mantenerse y mejorarse.


Los cinco principios fundamentales de un sistema efectivo de defensa cibernética como se refleja en los controles CIS son:


  1. La ofensa informa a la defensa: utilice el conocimiento de los ataques reales que han comprometido los sistemas para proporcionar la base para aprender continuamente de estos eventos y construir defensas efectivas y prácticas. Incluya sólo aquellos controles demostrados para detener ataques conocidos del mundo real.
  2. Priorización: invierta primero en los controles que proporcionarán la mayor reducción de riesgos y protección contra los actores más peligrosos y que se pueden implementar de manera viable en su entorno informático.
  3. Mediciones y métricas: establezca parámetros comunes para proporcionar un lenguaje compartido para ejecutivos, especialistas en TI, auditores y funcionarios de seguridad para medir la efectividad de las medidas de seguridad dentro de una organización, de modo que los ajustes necesarios se puedan identificar e implementar rápidamente.
  4. Diagnóstico y mitigación continuos: realice mediciones continuas para probar y validar la efectividad de las medidas de seguridad actuales y para ayudar a dirigir la prioridad de los siguientes pasos.
  5. Automatización: automatice las defensas para que las organizaciones puedan lograr mediciones confiables, escalables y continuas de su adhesión a los controles y las métricas relacionadas.


Cómo empezar:



Los Controles CIS son un número relativamente pequeño de acciones de seguridad priorizadas, bien consensuadas y respaldadas que las organizaciones pueden tomar para evaluar y mejorar su estado de seguridad actual. También cambian la discusión de "qué debería hacer mi empresa" a "qué deberíamos estar haciendo TODOS" para mejorar la seguridad a gran escala.


Pero esta no es una solución única para todos, ni en contenido ni en prioridad. Aún debe comprender qué es fundamental para su negocio, datos, sistemas, redes e infraestructuras, y debe considerar las acciones adversas que podrían afectar su capacidad de tener éxito en el negocio o la operación. Incluso una cantidad relativamente pequeña de Controles no se puede ejecutar de una sola vez, por lo que deberá desarrollar un plan de evaluación, implementación y administración de procesos.


Los Controles CIS 1 a 6 son esenciales para el éxito y deben considerarse entre las primeras cosas que se deben hacer. Nos referimos a estos como "Higiene cibernética": las cosas básicas que debes hacer para crear una base sólida para tu defensa. Este es el enfoque adoptado por el Programa de Diagnóstico y Mitigación Continuo de DHS (CDM), por ejemplo, uno de los socios en los Controles CIS. Un enfoque similar es recomendado por nuestros socios en la Dirección de Señales de Australia (ASD) con sus "Ocho Esenciales"1 - un conjunto de acciones cibernéticas de defensa bien conocidas y demostrablemente efectivas que se relacionan muy de cerca con los Controles CIS. Esto también se corresponde estrechamente con el mensaje del US-CERT (Computer Emergency Readiness Team).

Comentarios

Entradas más populares de este blog

Inventario de Software autorizados y no autorizados

Gestione activamente todo software en la red (inventario, seguimiento y corrección), de tal manera que solo software autorizado esté instalado y pueda ejecutarse, y que el software no autorizado y no gestionado sea encontrado y se prevenga su instalación y ejecución. ¿Por qué es importante este control? Los atacantes escanean continuamente a las organizaciones objetivo en busca de versiones vulnerables de software que pueden explotarse de forma remota. Algunos atacantes también distribuyen páginas web, archivos de documentos, archivos multimedia y otros contenidos hostiles a través de sus propias páginas web o sitios de terceros de confianza. Cuando las víctimas desprevenidas acceden a este contenido con un navegador vulnerable u otro programa del lado del cliente, los atacantes comprometen sus máquinas, a menudo instalando programas de puerta trasera y bots que le dan al atacante un control a largo plazo del sistema. Algunos atacantes sofisticados pueden usar exploits d

Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores

Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores Establezca, implemente y gestione activamente (rastree, informe, corrija) la configuración de seguridad de dispositivos móviles, computadoras portátiles, servidores y estaciones de trabajo utilizando una rigurosa gestión de configuraciones y un proceso de control de cambios para evitar que los atacantes exploten servicios y configuraciones vulnerables. ¿Por qué es importante este control? Las configuraciones predeterminadas entregadas por los fabricantes y revendedores de sistemas operativos y aplicaciones normalmente están orientadas a la facilidad de implementación y la facilidad de uso, no a la seguridad. Controles básicos, servicios y puertos abiertos, cuentas o contraseñas predeterminadas, protocolos antiguos (vulnerables), preinstalación de software innecesario - todos pueden ser explotables en su estado predeterminado. Desarrollar