Skip to main content

CERT.at sobre niveles de alerta de ciberseguridad

mayo 29, 2024


La semana pasada me invitaron a realizar aportaciones a un ejercicio práctico para gestores de crisis a nivel de ciudad sobre los riesgos de seguridad cibernética y el papel de los CSIRT. Los organizadores trajeron una hoja de nivel de amenaza codificada por colores (basada en el Niveles de alerta CISA) al debate y preguntó si en Austria también realizamos alertas codificadas por colores y qué pienso de estos sistemas.

Mi respuesta fue negativa a ambas preguntas y creo que podría ser útil explicar aquí mis razones. El primero era bastante obvio y fácil de explicar, el segundo necesitaba pensar un poco para estar seguro de por qué mi reacción inicial al documento fue tan negativa.

Trinquete de escalada

El primer problema con los niveles de amenaza codificados por colores es su tendencia a ser un mecanismo de escalada unidireccional: fácil de escalar, pero difícil de reducir. Ese mecanismo me golpeó antes durante un incidente del mundo real y eso me llevó a desconfiar de ese efecto. Básicamente, la persona que da la alerta corre muy poco riesgo: si sucede algo malo, es que hizo lo correcto, y si el peligro no se materializa, entonces se proclama “más vale prevenir que lamentar” y, aun así, todos están contentos. En otras palabras, elevar el nivel de amenaza es una decisión segura.

Por otro lado, reducir el nivel de amenaza es una decisión intrínsecamente arriesgada: si después no pasa nada malo, puede haber algunas notas de agradecimiento, pero si la amenaza se materializa, entonces la culpa recae directamente sobre los hombros de la persona que dio la amenaza. la señal de que el peligro había pasado. Por lo tanto, en un entorno dominado por la CYA como el servicio público, no es un buen paso profesional dar luz verde a una desescalada.

Hemos visto este proceso desarrollarse en el mundo no cibernético durante los últimos años, los ejemplos incluyen

  • Nivel de amenaza terrorista después del 11 de septiembre
  • Controles fronterizos en la zona Schengen tras la ola migratoria de 2015
  • Bajando de la emergencia pandémica

Es por eso que siempre he estado presionando para que se implementen reglas claras de desescalada cada vez que elevamos el nivel de alarma.

Costo de escalada

Para que los niveles de amenaza tengan sentido, cualquier nivel por encima de “verde” debe incluir una guía clara de lo que debería hacer el destinatario de la advertencia en este nivel de amenaza. En el ejemplo que vi, había mucho «Identificar y parchear sistemas vulnerables». Bueno, ¡oh! Esto es lo que deberías hacer también en el nivel verde.

Por lo tanto, la orientación relevante a un nivel superior debe ser más que «proteger sus sistemas y prepararse para ataques». Esa es una orden permanente para cualquiera que realice operaciones de TI, este es un consejo inútil. Lo que la gente necesita saber es qué costos deberían pagar a cambio de una mejor preparación contra la amenaza actual.

Esto podría ser algo simple como «Esperamos que se lance un parche para un sistema relevante esta noche fuera de nuestro horario de oficina, necesitamos tener un equipo en espera para reaccionar lo más rápido posible y estamos dispuestos a pagar por ello». el trabajo de horas extras para implementar el parche lo antes posible”. O el consejo podría ser «Necesita parchear esto fuera de su cadencia habitual de parches, planificar una interrupción del negocio y/o turnos nocturnos para el personal de TI». En el extremo, incluso podría ser «estamos sacando de producción el servicio X, los cambios en la ecuación de riesgo significan que sus beneficios ya no pueden justificar los mayores riesgos».

En resumen: si una medida de seguridad preventiva no implicara costos importantes, entonces debería haberla implementado hace mucho tiempo, independientemente del nivel de amenaza.

Contrapunto

Definitivamente es valioso categorizar un específico incidente o vulnerabilidad en algún tipo de esquema de nivel de amenaza: un día de parche particularmente malo, o algún lanzamiento de parche fuera de banda por parte de un proveedor importante, sin duda es una buena razón por la que la respuesta a la amenaza también debería ser más que lo habitual.

¿Pero un aumento del nivel de amenaza genérico sin vulnerabilidades concretas enumeradas o TTP contra los cuales protegerse? Ésa es sólo una forma elegante de decir “ten miedo” y tiene pocos beneficios.

Posdata: Justo después de publicar este artículo, me topé con una publicación diversa haciendo casi el mismo argumento, sólo que con el 1 de abril frente a la avalancha diaria de desinformación.



Source link

Saber más  La entrega de malware a través de servicios en la nube aprovecha el truco Unicode para engañar a los usuarios
Translate »