red seguridad 075

red seguridad cuarto trimestre 2016 25 especial La ciberseguridad debe entenderse como un proceso, dado que no podemos instalar un único producto que satisfaga todos los requerimientos de seguridad en un sistema de sistemas como es una infraestructura crítica ciberseguridad PIC opinión expertos en continua formación que den respuesta a los incidentes de una forma procedimentada. Los procedimientos garantizan un vocabulario común, una opti- mización del proceso en sí y for- malizan la definición de los indi- cadores de compromiso 3 críticos, que son la base de la plataforma de inteligencia de amenazas y APT (amenazas persistentes avanza- das, por sus siglas en inglés) en el ámbito de infraestructuras críticas. Los indicadores de compromiso indican cualquier tipo de intrusión (URL, IP, firmas, etc.) y tienden a convertirse en indicadores cada vez más sofisticados, orientándose al proceso de la operación y del comportamiento en la infraestruc- tura críticas. Todos ellos confor- man una base de conocimiento que dota de inteligencia al proceso de defensa activa. La base de la inteligencia de ame- nazas es utilizada junto con la vigi- lancia activa para dar respuesta a los diferentes incidentes. El proceso garantiza que una infraestructura crí- tica no sólo sea monitorizada sino que se dé una respuesta adecuada si un incidente ocurre. Se deben tener en cuenta las siguientes premisas: - La seguridad cien por cien no existe. Sobre todo la infraestructura seguridad. También se esgrime que desde las infraestructuras críticas se debe conocer y poseer visibilidad de lo que acontece en estos términos en sus sistemas. La defensa activa es un proceso que ayuda a aportar dicha visibilidad de forma constante. Es por ello que la visibilidad y moni- torización de la ciberseguridad son artefactos factibles y reales que satisfacen los requerimientos regula- torios, como las necesidades del operador para conocer y actuar sobre incidencias en sus infraestruc- turas críticas. Referencias 1. https://en.wikipedia.org/wiki/ Secure_by_design 2. https://en.wikipedia.org/wiki/ One_size_fits_all 3. Abreviatura IoC en inglés ( Indicator of Compromise ). 4. Industrial Cyber Kill Chain . https:// www.sans.org/reading-room/ whitepapers/ICS/industrial-control- system-cyber-kill-chain-36297 5. Ley PIC (BOE): https://www.boe . es/buscar/pdf/2011/BOE-A-2011- 7630-consolidado.pdf debe prepararse para ser resiliente. La resiliencia es un concepto hacia al que los sistemas críticos y complejos deben orientarse, puesto que debe asimilarse que un sistema, por su complejidad y por los altos niveles de conexión, tiene un alto grado de ries- go a ser atacado (si no lo ha sido ya). - Este proceso, además de pre- pararse para la resiliencia, también aporta mecanismos de aprendizaje para agregar nuevos indicadores de compromiso críticos que permitan tomar acciones preventivas y pro- activas en la denominada cyber kill chain 4 . Esta visión, que puede cons- tituir una visión ortogonal al anterior, determina nuevos mecanismos de seguridad para la continuidad de negocio de la infraestructura crítica. - En términos técnicos, la vigi- lancia activa debe comprender los protocolos industriales (MODBUS, S7, Profinet, IEC104, OPC, CAN, etc.) y cómo conocer ( fingerprinting ) las estaciones, hosts y dispositivos industriales. La Ley por la que se establecen medidas para la protección de las infraestructuras críticas (Ley 8/2011) 5 estipula las acciones a desarrollar para poder gestionar mejor la ciberseguridad y la seguri- dad física, dotando a las infraestruc- turas de una visión integral de la Dimensiones de la defensa activa para infraestructuras críticas.