Establecimiento de madurez de seguridad a través del marco de defensa cibernética de la CEI


Introducción: elección del marco de controles de seguridad adecuado

El panorama de la amenaza cibernética está evolucionando a un ritmo astronómico; Estamos viviendo en una época en la que los cuatro pilares clave de la ciberseguridad: confidencialidad, integridad, disponibilidad y garantía de los sistemas de información ya no se consideran agradables, sino que son una métrica para la resistencia empresarial y la existencia operativa de las empresas en todo el mundo.

En este blog, nos propusimos ver cómo elegir el marco de control de seguridad correcto puede ser de gran ayuda para establecer una base segura, lo que luego permite a los diseñadores de seguridad / tomadores de decisiones empresariales tomar decisiones de solución más informadas mientras seleccionan los controles y las arquitecturas de los proveedores.

Las organizaciones se encuentran cada vez más atrapadas en el "guerra de seguridad de más”Donde los regímenes de Gobierno, Riesgo y Cumplimiento, agravados por la fragmentación de la solución del proveedor, han resultado en una casilla de seguridad. A veces, esto ha dejado a las organizaciones con capacidades de seguridad superpuestas o que faltan por completo los controles críticos de seguridad. Los adversarios continúan aprovechando esta situación de la industria como lo demuestran los 4 mil millones de registros perdidos a través de violaciones de datos y ataques de malware en 2019 (Fuente: Verizon)

Para ganar esta batalla, se debe construir un enfoque estructurado y homogéneo en toda la industria. Aquí es donde los marcos de seguridad entran en escena. Los marcos de control de seguridad desempeñan un papel fundamental que puede servir de base en múltiples leyes y regímenes de cumplimiento para proporcionar capacidades clave para una organización. El marco CIS (Centro de Seguridad de Internet) CSC (Control Crítico de Seguridad) proporciona precisamente eso: los fundamentos fundamentales de una fuerte defensa cibernética organizacional. Este blog es una continuación del documento técnico de CIS publicado aquí donde presentamos los controles de CIS y las capacidades del producto McAfee. CIS CSC proporciona un camino para que una organización comience su programa de defensa cibernética; Proporciona una opción para las organizaciones que no saben por dónde empezar y las organizaciones de nivel de madurez media para aumentar sus capacidades para "Optimizar y Ejecutar" en sus necesidades de Ciberseguridad. CIS proporciona una lista de controles críticos de seguridad que han sido seleccionados para ser más efectivos contra los ataques más comunes. Ofrece protección por capas a través de un enfoque de defensa en profundidad de la seguridad cibernética y se ha desarrollado utilizando experiencias de primera mano de defensores cibernéticos en varios sectores verticales de la industria, como el comercio minorista, la fabricación, la atención médica, el gobierno, etc. Los controles CIS CSC se basan en una métrica de riesgo; cada control se pondera en función de la probabilidad y el impacto de un incidente que representa una amenaza significativa para una empresa. Se basa en los elementos fundamentales de la gestión de riesgos y la protección continua, no solo protegiendo contra el compromiso inicial, sino también buscando detectar y proteger contra la actividad adversa existente dentro de un entorno. Esto ofrece flexibilidad para que una organización pueda comenzar a implementar CIS CSC independientemente de su ciclo de vida de seguridad.

Arquitectura de ciberdefensa empresarial con CIS

Esta sección destaca cómo los controles CIS aseguran una empresa utilizando su enfoque de defensa en profundidad en capas, pasando de los controles básicos, que se centran principalmente en los puntos finales, a los límites de la empresa y luego combinándolos a través de la tríada de personas, procesos y tecnología a nivel organizacional .

La lista completa de los controles CIS CSC y el mapeo detallado de nuestros productos se puede encontrar aquí. Aquí está disponible un documento similar que muestra el uso de los productos de McAfee para admitir los controles de seguridad NIST 800-53.

Grupos de implementación CIS y madurez organizacional

El marco de control CIS ofrece a las organizaciones maduras la oportunidad de mejorar y optimizar aún más sus controles mediante la implementación de los subcontroles CIS. La lista completa de 148 sub-controles se puede encontrar aquí. Los subcontroles se agrupan en 3 grupos de implementación. Los grupos de implementación permiten a las organizaciones adaptar el marco basado en la autoevaluación de su madurez de seguridad y los recursos disponibles para ellos. El marco CIS divide los subcontroles en 3 grupos:

Figura: Grupos de implementación de CIS – Fuente CIS

Cada grupo se basa en las capacidades del grupo anterior, p. IG2 se basa en los controles en IG1. El mapeo de los controles a las necesidades y deseos puede vincularse libremente de la siguiente manera:

Grupo de implementación 1: Este grupo está dirigido principalmente a pequeñas empresas que utilizan software comercial, los requisitos de sensibilidad de datos suelen ser muy bajos.

Grupo de implementación 2: Este grupo está dirigido a la empresa que almacena información comercial confidencial y que tiene recursos de ciberseguridad razonables para la implementación de los controles.

Grupo de implementación 3: Este grupo está dirigido principalmente como una defensa contra adversarios sofisticados, como los actores de los Estados Nacionales que utilizan vulnerabilidades de día cero.

La arquitectura de soluciones de McAfee está alineada con los principios CSC de CIS

Los controles CSC aprovechan 6 principios clave y las soluciones y servicios de McAfee abordan estos principios de manera efectiva

  1. Ofensa Informa Defensa – Considera las Tácticas, Técnicas y Procedimientos del adversario del mundo real (TTP) como los utilizados en la matriz MITER ATT & CK y establece controles que se han defendido con éxito contra los TTP adversarios. Por lo tanto, cada control ofrece capacidades probadas en las que se puede confiar.

Los productos de McAfee como MVISION EDR, ESM y servicios comunes de inteligencia de amenazas como GTI se adaptan continuamente a las últimas tácticas adversarias para detectar y proteger contra amenazas conocidas y desconocidas e implementan la matriz MITER ATT & CK para analizar y aplicar el contexto a los COI detectados. MVISION Insights pone el panorama de amenazas empresariales en contexto al proporcionar inteligencia específica de la industria sobre campañas de ataque existentes o en desarrollo.

  1. Priorización – Las organizaciones están lidiando con una amplia variedad de superficies de ataque, así como desafíos en torno a los recursos, por lo que es importante que cualquier empresa establezca prioridad en sus esfuerzos defensivos, también conocido como "Necesitamos contener el fuego que tiene el potencial de quemar la casa primero antes de salvar el jardín ”

Los equipos de arquitectos de soluciones de McAfee tienen acceso a una amplia variedad de herramientas, incluidas las capacidades de evaluación de control CIS. Esto nos permite explorar los desafíos de los clientes dentro de su perímetro Cloud, Endpoint o Enterprise y ayudar a identificar brechas y riesgos en los entornos de los clientes. El equipo de servicios profesionales de McAfee puede ofrecer evaluaciones de madurez de operaciones de seguridad (SecOps) y ayudar a los clientes a desarrollar, ajustar y desarrollar sus capacidades de SecOps. Los productos de McAfee también han incorporado capacidades de evaluación que mapean la madurez de seguridad de su empresa con pares similares de la industria, es decir, el Asesor de seguridad en la nube (CSA) dentro de MVISION Cloud. El CSA le permite asignar su viaje de madurez de seguridad en la nube con recomendaciones guiadas.

  1. Métrica – Cualquier esfuerzo de seguridad debe proporcionar claros beneficios cuantitativos y cualitativos que permitan a los Empresarios comprender el perfil de riesgo cibernético de una empresa y establecer necesidades y deseos claros. Las métricas establecen una homogeneidad lingüística entre propietarios de negocios, propietarios de sistemas y entidades externas. Al calificar los controles y procesos faltantes y existentes dentro de una organización, se puede calcular un puntaje de referencia de seguridad claro que, a su vez, puede establecer la madurez de seguridad de la organización.

Varios productos de McAfee permiten a los clientes establecer una vista consolidada de sus métricas de seguridad clave, por ejemplo:

  • McAfee ePO: proporciona varios paneles de seguridad que recopilan métricas de varias extensiones de ePO. ePO Protection Workspace, por ejemplo, ofrece un solo panel de vista de cristal en su dispositivo para medir el riesgo en la nube y las métricas de amenazas. Varios paneles integrados aprovechan aún más las extensiones de ePO como Policy Auditor y Control de aplicaciones para establecer métricas en torno a su inventario de software e integridad del sistema de punto final, proporcionando así métricas en torno a los Controles CIS 2 y 5.
  • McAfee ESM: proporciona paquetes de contenido que abren vistas normalizadas de métricas clave, como eventos de amenazas de punto final o de red, y ofrece una forma de visualizar fácilmente las métricas de riesgo asociadas con estos activos y se alinea estrechamente con los requisitos de métricas en torno a CIS 6, 16 y 19.
  • McAfee MVISION Cloud: MVISION Cloud proporciona métricas clave sobre los riesgos en su nube SaaS, PaaS, IaaS, CaaS, FaaS, así como los riesgos que se originan de servicios en la nube no autorizados, alineándose así estrechamente con los requisitos métricos para CIS 1,2,16 y 18 (consulte a CIS e infraestructura de la nube para mas detalles)
  1. Diagnóstico continuo y mitigación – Las amenazas cibernéticas evolucionan continuamente, por lo que la seguridad cibernética debería ser un esfuerzo continuo. Cualquier implementación de controles de seguridad requiere una validación continua en el contexto de los procesos de negocios, herramientas y personas involucradas dentro de la organización, y los controles CIS introducen mecanismos para un monitoreo continuo efectivo y reducción de riesgos.

Las plataformas McAfee ePO, ESM, NSP y MVISION, junto con varias soluciones de socios de SIA, brindan capacidades de monitoreo continuo, diagnóstico y respuesta para amenazas cibernéticas. Por ejemplo, nuestra arquitectura de referencia integrada para la protección de TI en la sombra utiliza el registro de riesgos en la nube de TI en la sombra de MVISION Cloud para descubrir servicios de Enterprise Cloud potencialmente riesgosos y luego utiliza grupos de servicios para actualizar la defensa de la red, como McAfee Web Gateway u otros 3rd soluciones de filtrado web para bloquear y proteger a los usuarios contra esos servicios. Del mismo modo, hemos integrado arquitecturas de referencia que proporcionan detección y mitigación de riesgos continuos para sistemas de control industrial (ICS), contención basada en phishing, inteligencia de amenazas y muchos más, cuyos detalles están disponibles a través de los talleres de arquitectura de defensa cibernética.

  1. Automatización – La automatización de la seguridad es clave para lograr la escalabilidad en torno a la detección, protección y respuesta ante amenazas. Los entornos de TI en rápida evolución, como el acceso a la nube y BYOD, requieren monitoreo automatizado y correlación continua de eventos de seguridad y análisis de comportamiento.

McAfee ESM, MVISION EDR, ATD y TIE, junto con una combinación de integraciones con plataformas de inteligencia de amenazas como MISP, ThreatQ y herramientas de orquestación de seguridad como Swimlane, proporcionan una arquitectura que puede proporcionar seguridad adaptativa a un panorama de amenazas en constante evolución.

  1. Mitigación continua de riesgos – Los controles CIS pueden proporcionar los pilares para soportar muchos de los marcos de gestión de riesgos bien conocidos, como el NIST RMF como se documenta en SP800-37. El siguiente ejemplo describe los controles de CIS como base para NIST RMF.

Figura: NIST RMF según lo soportado por CIS CSC

Controles CIS dentro de la infraestructura de la nube

Esta sección destaca los casos de mapeo y uso para CIS dentro de la infraestructura de nube pública. Los controles CIS en el contexto de infraestructuras de nube públicas, privadas e híbridas son en gran medida aplicables; Los desafíos aparecen en torno al modelo de responsabilidad compartida dentro de la infraestructura de nube pública, donde los consumidores deben renunciar al control sobre la infraestructura subyacente y confiar en el proveedor de servicios en la nube (CSP) para asegurar la infraestructura.

La siguiente tabla asigna los controles CIS contra su aplicabilidad en las 4 categorías clave de Infraestructura de la Nube de IaaS, SaaS, PaaS y FaaS.

Tabla 1: Cobertura de controles CIS en la infraestructura de la nube

CIS y endurecimiento del sistema

Los puntos de referencia de CIS proporcionan orientación sobre el fortalecimiento de los activos desde el dispositivo a la nube en más de 140 tecnologías. Estas pautas de mejores prácticas permiten a las organizaciones configurar estos dispositivos en la configuración más segura posible. Los puntos de referencia también proporcionan varias herramientas preconfiguradas para el análisis de la configuración de la línea de base y el monitoreo continuo de las líneas de base para rastrear cualquier desviación. El CIS Herramienta CAT se puede usar para realizar análisis posteriores a la implementación para una mayor confirmación y mediciones contra la implementación de los controles CIS de una organización.

Más detalles sobre los puntos de referencia se pueden encontrar aquí:

https://learn.cisecurity.org/benchmarks

Las soluciones de McAfee como ePO, control de aplicaciones y MVISION Cloud proporcionan características que aprovechan los puntos de referencia de CIS para evaluar la postura de seguridad y proporcionar una métrica medible para un cliente.

Conclusión

En resumen, los controles CIS proporcionan un marco integral para la seguridad adaptable basado en conceptos de seguridad básicos de lo siguiente:

Figura 3: CIS continúa el ciclo de mitigación de riesgos

por lo tanto, brinda resultados de seguridad reales al enfocarse en las prioridades del negocio, los recursos de la organización y proporcionar métricas para la reducción de riesgos medibles. Al implementar los controles CIS, las empresas pueden alinearse fácilmente con otros marcos como GDPR, CCPA, HIPAA, PCI-DSS, etc.

McAfee es parte de la alianza CIS que nos permite utilizar sus marcos dentro de nuestros productos, así como ofrecer nuestras soluciones a través del Cibermercado CIS https://www.cisecurity.org/services/cis-cybermarket/software/

Referencias

  1. https://www.cisecurity.org/controls/ – Controles CIS
  2. https://www.cisecurity.org/white-papers/cis-controls-cloud-companion-guide/ – Guía de CIS Cloud Companion.
  3. https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final NIST RMF 800-37
  4. https://Enterprise.verizon.com/en-gb/resources/reports/dbir/ – Informes de investigación de violación de datos de Verizon





Enlace a la noticia original