SOC
Manuel Estévez GRC Manager

SOC, CERT, CSIRT: ¿Tú de quién eres?

En 1988, Robert Tappan liberó a la Internet de entonces el llamado “gusano Morris”. Seguramente no era consciente de que estaba haciendo historia. En 24 horas, el gusano había infectado el 10% de los sistemas entonces conectados, dejando inútiles buena parte de ellos.

Los equipos de respuesta a incidentes han sido denominados de diferentes formas y se han especializado o diversificado

A raíz de este ataque, surgió uno de los conceptos que más de 30 años después sigue vigente y evolucionando: el de Equipo de Respuesta ante Emergencias Informáticas (CERT).

Desde entonces, los equipos de respuesta a incidentes han sido denominados de diferentes formas, y, en cierto sentido, se han especializado o diversificado, provocando la aparición entre ellos de metodologías, procedimientos, capacidades, e incluso objetivos variados y diferentes. CERT es una marca registrada por la Universidad Carnegie Mellon (CMU), mientras que CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) es un concepto taxonómico y sin restricciones de uso.

Un CERT recopila y difunde información de seguridad, un CSIRT responde a los incidentes

Por acudir a una definición formal, la propia CMU explica que un CSIRT es “una unidad organizativa a la que se asigna la responsabilidad de coordinar y respaldar la respuesta a un incidente de seguridad informática”, frente a lo que considera un CERT, que relaciona con “el estudio de problemas que tienen implicaciones de ciberseguridad generalizadas y desarrollan métodos y herramientas avanzados”.

En decir, mientras un CERT recopila y difunde información de seguridad, un CSIRT responde a los incidentes.

Mucho más recientes son los SOC (Centro de Operaciones de Ciberseguridad), unidades encargadas de monitorizar, detectar y analizar amenazas supervisando de manera continua red, sistemas, aplicaciones y dispositivos.

Así pues, inicialmente, cada servicio debería focalizarse (especializarse) en un área concreta:

  • CERT: prevención, por ejemplo, buscando vulnerabilidades concienciando a los empleados, compartiendo información de amenazas o incidentes. En definitiva, evitar que los incidentes de seguridad ocurran.
  • SOC: detección, identificando cualquier actividad sospechosa o anómala que pueda indicar un incidente de seguridad, y priorizando el análisis y la respuesta según la criticidad del evento detectado.
  • CSIRT: reacción, acciones que se toman en respuesta a un incidente de seguridad una vez ha sido detectado. 

Con el tiempo, agentes del mercado y cierto sesgo de confirmación por parte de algunos clientes han ido contaminando esta orientación y, a menudo, se ofertan servicios que aparecen como la combinación de todas estas capacidades en una suerte de piedra filosofal de la seguridad.

¿Recuerdas el episodio de El Quijote en el que las capuchas terminan siendo dedales?

O estás en una acera o en la otra, pero si te quedas en medio, te atropellan

Separar las funciones de prevención, detección y reacción en equipos o proveedores diferentes es la estrategia más efectiva por varias razones:

  • Especialización y foco:
    • Prevención: conocer las últimas vulnerabilidades y técnicas de ataque, y en cómo mitigar esos riesgos antes de que se conviertan en problemas.
    • Detección: análisis de datos, patrones de comportamiento, detección de intrusiones y, en definitiva, identificar rápidamente cualquier actividad sospechosa o anómala.
    • Reacción: habilidad para la coordinación de incidentes y crisis, gestión de la comunicación, contención de amenazas, recuperación de sistemas y capacidad de tomar decisiones rápidas y efectivas en escenarios de crisis.
  • Eficiencia:
    • Cada equipo opera de manera independiente pero coordinada, lo que reduce el tiempo de respuesta ante incidentes y mejora las capacidades de detección.
    • Los equipos que se enfocan en la prevención no se ven distraídos por la necesidad de responder a incidentes en curso, lo que permite que implementen controles y mejoras sin interrupciones.
  • Reducción de conflictos de intereses:
    • Si una sola unidad o equipo maneja todas las funciones, puede haber conflictos de interés, especialmente cuando se trata de identificar y reportar fallos en las medidas de prevención que ellos mismos implementaron. La separación permite una visión más objetiva y crítica de los controles de seguridad.
    • Un equipo de detección que es independiente del equipo de prevención puede evaluar con mayor imparcialidad la efectividad de las políticas y tecnologías implementadas.
  • Mejora de la capacidad de respuesta:
    • En el caso de un incidente, un equipo de reacción especializado puede actuar de inmediato sin necesidad de esperar a que los mismos recursos que están manejando la prevención o detección se liberen. Esto reduce el tiempo de contención y minimiza el impacto de los incidentes.
    • Además, tener un equipo de reacción separado permite la ejecución de simulacros y ejercicios de respuesta a incidentes sin interrumpir las actividades preventivas o de monitorización.
  • Desarrollo de estrategias complementarias:
    • La separación permite que los equipos de prevención y detección desarrollen y mejoren estrategias que se complementen mutuamente sin solaparse. Por ejemplo, mientras el equipo de prevención puede enfocarse en mejorar las configuraciones de seguridad, el equipo de detección puede afinar las alertas para identificar cualquier brecha que pueda haber sido pasada por alto.
    • Esto crea una "defensa en profundidad", donde múltiples capas de seguridad funcionan en conjunto para proteger la organización.
  • Claridad en las funciones y responsabilidades:
    • Con funciones claramente definidas y separadas, es más fácil asignar responsabilidades y rendir cuentas. Cada equipo sabe exactamente qué se espera de ellos, lo que facilita la evaluación del rendimiento y la implementación de mejoras continuas.
    • Esto también ayuda a evitar la "culpa compartida", donde un incidente puede ser mal gestionado debido a la confusión sobre quién debería haber actuado en un determinado momento.

El primer paso no te lleva a donde quieres ir, pero te saca de donde estás

Izertis cuenta con un equipo de respuesta a incidentes (CSIRT) altamente experimentado y capacitado

Comenzar con la contratación de servicios de respuesta a incidentes (CSIRT) a un proveedor especializado será la mejor estrategia para una empresa en la mayoría de los casos, especialmente cuando se busca establecer una estrategia de seguridad sólida y reactiva desde el inicio.

Nuestro equipo, además, está preparado para intervenir de inmediato en caso de incidente

Izertis cuenta con un equipo de respuesta a incidentes (CSIRT) altamente experimentado y capacitado que se mantiene al día de las últimas amenazas, técnicas y procedimientos. Nuestros clientes acceden inmediatamente a esta experiencia sin necesidad de desarrollar internamente un equipo con esas capacidades.

  • Apoyamos a las organizaciones a determinar su idoneidad para poder activar sus capacidades de respuesta.
  • Facilitamos capacidad de respuesta de acción rápida ante incidentes de nivel crítico, enfocada a la contención y expulsión.
  • Prestamos apoyo en el análisis de situaciones, participamos en comités de crisis y asesoramos a la dirección en la toma de decisiones.
  • Realizamos los procesos de investigación en el marco de un incidente y en base a los niveles de criticidad del impacto.

Nuestro equipo, además, está preparado para intervenir de inmediato en caso de incidente, minimizando el tiempo de inactividad y el impacto del incidente. Las primeras horas tras un ataque son las más críticas.

Por último, a veces, ¿por qué lo llaman incidente cuando (no) quieren decir crisis?