3 dic. 2019

Defense Chain (DC) vs Kill Chain (KC)

Ya hemos hablado varias veces de Kill Chain (KC), el modelo creado por Lockheed Martin basado en las etapas por las que tiene que pasar un adversario para llevar a cabo un ataque dirigido. Ha existido durante varios años y se vuelve cada más popular con el tiempo.

El experto ha estado pensando en el proceso que tienen que pasar los defensores para proteger las redes contra ataques (dirigidos o no). Se han escrito muchos artículos sobre el tema, y ​​la mayoría de nosotros probablemente conocemos los aspectos más destacados: hacemos políticas, las intentamos hacer cumplir utilizando medios técnicos y no técnicos, monitoreamos nuestras redes y respondemos a incidentes. Sin embargo, ese proceso es bastante complejo y era necesario crear un modelo visual para mostrarlo efectivamente.

Es decir, ya conocemos las etapas por las que tiene que pasar un atacante para llevar a cabo un ataque; ahora necesitamos un modelo que muestre las etapas por las que debe pasar un defensor para protegerse contra estos ataques. Una de las razones por las que KC es tan popular es que es muy sencillo, literalmente, es una línea. ¿Cómo sería si se aplicara el mismo modelo a la defensa? David esencialmente creo la contraparte del defensor para la KC y la denominó Defense Chain (DC).

La Defense Chain (DC)

Al igual que KC, la Cadena de Defensa tiene siete fases (pura coincidencia, pero se agradece la simetría). DC no solo se trata de detección y respuesta, también incluye todos los controles de gestión y protección. Hay que subrayar que no se puede llegar al final de la cadena si falta un enlace.


Planear

Antes de que pueda comenzar a proteger la red, primero debemos descubrir algunas cosas clave, como qué es exactamente lo que se desea proteger y de qué se está tratando de protegerla. En esta fase se identifican los activos y se crean las políticas de seguridad y respuesta a incidentes para ayudar a protegerlos. Aquí también es donde se comienza a decidir qué tipos de controles de protección se necesitan (firewall, protecciones en el punto final, proxy de red, etc.), cómo se implementarán, se supervisará todo el sistema (porque la prevención siempre falla) y quién va a hacer todo este trabajo.

Si alguna vez ha estado involucrado en la creación de un programa de seguridad, sabrá que hay muchas cosas que planificar. La fase de planificación es probablemente la pieza más importante de la Cadena de Defensa, porque todo lo demás depende de ello.

Construir

En comparación con la planificación, la construcción suele ser bastante sencilla. Durante esta fase, reúnes equipos, aprendes habilidades y creas o adquieres las herramientas técnicas necesarias para llevar a cabo los planes.

Es de vital importancia construir equipos y habilidades antes de intentar construir las partes técnicas de las soluciones. No todo el mundo necesita ser un experto, aunque ciertamente necesita algunos de ellos para guiarlo, pero todos los involucrados deben tener suficiente experiencia para saber qué están haciendo y por qué lo están haciendo.

También vale la pena señalar que la fase de "Construcción" no es algo que solo se hace una vez y luego se olvida. Por el contrario, se deben aumentar constantemente las habilidades y la experiencia de sus equipos. También se necesita que alguien revise sus controles para asegurarse de que funcionan de manera eficiente y para actualizarlos y mejorarlos según sea necesario.

Monitorear

La fase de monitoreo es donde realmente operan las soluciones técnicas y se realizan revisiones y simulacros periódicos para ejercitar las políticas y planes. Esto podría incluir simplemente asegurarse de que la solución de seguridad de punto final eligida esté funcionando bien, garantizar que la pérdida de paquetes en los sistemas NSM (Network and System Management) esté dentro de niveles aceptables, o ejecutar ejercicios de respuesta ante incidentes para asegurarse de que todos sepan qué hacer.
Esta fase es probablemente donde se pasará la mayor parte del tiempo.

Detectar

La fase de detección es donde se verifica la salida de los sistemas NSM, se validan las alertas o se realiza una búsqueda proactiva en los datos para encontrar algo malicioso. Esto también podría incluir consultas de usuarios sobre cosas "extrañas" en sus computadoras o correos electrónicos sospechosos que recibieron.

Responder

Una vez que se haya encontrado algo "raro", se debe ejecutar los planes de respuesta a incidentes que se desarrollaron en la fase de Planificación. ¡Investigar, contener y remediar! Se debe sacar a los malos y devolver los activos afectados a la operación normal.

Informar

La fase del Informe se trata de recopilar información sobre los éxitos y fracasos, analizarla para hacer recomendaciones de mejora y comunicarla a las personas adecuadas. Por lo general, la presentación de informes es el seguimiento y respuesta a un incidente, pero también se puede hacer por otros motivos (por ejemplo, para revisar un compromiso realizado por el Red Team o los hallazgos de un auditor).

No todo es un informe formal. A veces el "informe" puede ser una presentación, una publicación en un blog interno o incluso un correo electrónico. La clave es que se comuniquen los hallazgos y las recomendaciones a las personas adecuadas, de la manera que les resulte más fácil digerirla.

Mejorar

¡Los programas de seguridad no son estáticos! Se necesita mejorar constantemente las habilidades, las herramientas y los procedimientos para mantenerse delante de los malos.

Después de que los éxitos, los fracasos y las recomendaciones se hayan documentado e informado, debe asegurarse de actuar de acuerdo con ellos.

Conclusión

No se pretender que el modelo de la Cadena de Defensa realmente contenga algo nuevo, más bien, proporciona una guía visual simple de todas las cosas que se deben hacer, en orden aproximado, y presentadas de una manera ordenada que facilite visualizar cómo fluyen y funcionan todas las fases de defensa juntas.

Fuente: David Bianco

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!