¿Por qué no los compartiríamos con otros CSIRT?

La Ley de Resiliencia Cibernética (Regulación (UE) 2024/2847) Define los requisitos de seguridad para productos con elementos digitales y requiere que los proveedores se informen a CSIRT nacionales si se explota activamente una vulnerabilidad en uno de sus productos.

Este informe se realiza a través de una «plataforma de informes individuales» (como se define en el artículo 16), que actualmente está siendo construido por ENISA, después de múltiples rondas de consultas con la red CSIRTS.

Un aspecto interesante es el artículo 16 (2) que establece:

Después de recibir una notificación, el CSIRT designado como coordinador inicialmente que reciba la notificación, sin demora, difundirá la notificación a través de la plataforma de informes únicos a los CSIRT designados como coordinadores en el territorio del cual el fabricante ha indicado que el producto con elementos digitales se ha puesto a disposición.

Pero también:

En circunstancias excepcionales y, en particular, a pedido por el fabricante y a la luz del nivel de sensibilidad de la información notificada como lo indica el fabricante bajo el Artículo 14 (2), el punto (a), de este reglamento, la difusión de la notificación puede retrasarse en función de los terrenos justificados relacionados con la ciberseguridad durante un período de tiempo que es estrictamente necesario necesario […]

El artículo 14 (9) se expande sobre esto y los estados:

Para el 11 de diciembre de 2025, la Comisión adoptará los actos delegados de acuerdo con el artículo 61 de este Reglamento para complementar esta regulación especificando los Términos y condiciones para aplicar los motivos relacionados con la seguridad cibernética en relación con la retrasación de la difusión de notificaciones como se menciona en el Artículo 16 (2) de este Reglamento. La Comisión cooperará con la Red CSIRTS establecida de conformidad con el Artículo 15 de la Directiva (UE) 2022/2555 y ENISA en la preparación del borrador de los actos delegados.

Por lo tanto, la Comisión de la UE debe crear un conjunto de criterios para nosotros que definan cuando tiene sentido retrasar la transmisión de una notificación de vulnerabilidad a los CSIRT de pares. Además, la comisión necesita hablar con nosotros, por lo que tiene sentido que pensemos en esto.

Entonces, ¿qué criterios sería útil tener? Elegamos algunas ideas y las discutamos.

Tenga en cuenta que estamos hablando de transmitir la información a otros CSIRT en la red de CSIRT, y no de publicar la información. Esto hace una gran diferencia. Esto nos lleva a la primera razón:

• Si existen serias dudas sobre la confiabilidad de un CSIRT, por ejemplo, porque tienen un incidente de seguridad en vivo allí o ha habido filtraciones de información no resueltas allí, entonces tiene sentido cortar a ese equipo del círculo compartido.

En nuestro trabajo diario de CSIRT, Compartir información no es una decisión binaria. Rara vez es «toda la información sin restricciones» o «no compartir en absoluto». Hay mucho gris entre esos extremos. En una dimensión, se trata de lo que compartes. A veces retenemos información, porque no es necesario que el CSIRT reciba su misión, o queremos proteger nuestras fuentes o la identidad de la víctima inicial. Compartir el código de exploit a menudo no es necesario, entonces, ¿por qué hacerlo? Y la otra dimensión son las restricciones de uso de información y manejo de la información que se comparte. Para este propósito, se aplican marcas de PAP (protocolo de acciones permisibles) y marcas TLP (protocolo de semáforo). Por ejemplo, es posible que deseemos compartir detalles de una simple explotación de prueba de concepto que se puede diseñar en un oráculo de escaneo para encontrar sistemas vulnerables a todos los demás CSIRT: de esa manera pueden identificar qué constituyentes necesitan advertir con urgencia sobre la vulnerabilidad. Pero pasar ese guión de escaneo a actores maliciosos podría conducir rápidamente a la explotación masiva. Este es un ejemplo perfecto para compartir en TLP: Amber+Strict.

Una forma de formular esto es:

• No comparta la notificación de vulnerabilidad si los riesgos inherentes de compartir no pueden mitigarse colocando restricciones en el manejo y el intercambio de la notificación mediante el uso de marcas de PAP (protocolo de acciones permisibles) y TLP (protocolo de semáforo).

Esto mitiga cualquier temor de que la notificación pueda permitir que el receptor cree una exploit. Por lo tanto, cualquier cosa como «esta información es demasiado sensible» no debería ser una excusa para no difundir.

La siguiente razón por la que puedo pensar es que la notificación de vulnerabilidad como recibida a través del SRP no proporciona información útil adicional a lo que ya está disponible en la red CSIRTS. Por ejemplo, escribiendo

• La diseminación puede retrasarse si toda la información necesaria para los CSIRT relevantes para asesorar y proteger su circunscripción se ha compartido independientemente de la notificación del proveedor.

O la notificación podría ser parte de una respuesta de incidentes de alto riesgo que se ha clasificado según la ley nacional. Eso podría impedir legalmente al CSIRT de discutir aspectos de este caso con equipos extranjeros. P.ej,

• Si la notificación de vulnerabilidad está vinculada a un incidente de preocupaciones de seguridad nacional, entonces la difusión puede retrasarse.

Por otro lado, no creo que las preocupaciones de tiempo puro sean una razón válida para un retraso. Hemos sido engañados con demasiada frecuencia por el «Vendedor de un proveedor» Lanzaremos nuestro asesoramiento público mañana «. Creer esas promesas en primer lugar, y pensar que un aviso público inminente es una razón válida para retrasar el intercambio de todos modos.

Resumen

La red CSIRTS es un grupo confiable de equipos de seguridad, que comparte incluso trabajos de información altamente confidenciales, porque tratar con datos etiquetados con TLP es nuestro negocio diario.

Lo que deja básicamente dos razones para no compartir la notificación original:

• Hay un problema conocido con la seguridad de un CSIRT.
• No es necesaria la difusión porque ya se ha transmitido suficiente información