Consejos relacionados con CDM para una mejor monitorización y gestión de las ciberamenazas

En noviembre de 2018, el Congreso aprobó un proyecto de ley que creó la Agencia de Seguridad Cibernética y de Infraestructura (CISA). CISA, parte del Departamento de Seguridad Nacional, ofreció una respuesta federal a la creciente amenaza de los ataques cibernéticos, una amenaza que salió a la luz después de la filtración masiva de datos de la Oficina de Administración de Personal (OPM) en 2015 , que dejó comprometidos los datos personales de 22 millones de empleados federales.

Un componente clave para mejorar la ciberseguridad federal es la visibilidad, que se está abordando a través del Programa de Diagnóstico y Mitigación Continua (CDM) de CISA. El año pasado, el Congreso aumentó la financiación del CDM en 53,5 millones de dólares , reservando un total de 213,5 millones de dólares para el programa.

Los objetivos del programa incluyen reducir la superficie de amenaza de las agencias, aumentar la visibilidad de sus posturas cibernéticas, mejorar sus capacidades de respuesta y agilizar los informes. A medida que estos fondos se canalizan hacia inversiones en tecnología, las agencias deben reconocer el hecho de que ningún proveedor por sí solo es capaz de resolver todo el rompecabezas del MDL.

Con esto en mente, analicemos algunas tecnologías que pueden ayudar a hacer realidad la visibilidad y consideremos cómo se relacionan entre sí.

Visibilidad de SSL

Para comenzar con algo aparentemente obvio, las agencias federales necesitan tener visibilidad del tráfico que entra y sale de sus redes para asegurarse de que no sea malicioso. Si bien muchos dispositivos de seguridad pueden analizar el tráfico y detectar amenazas, no pueden hacerlo si el tráfico está cifrado, como lo está el 90% de los datos de Internet.

Esto representa una especie de paradoja. Si bien el cifrado puede proteger la privacidad de los datos, también puede ocultar malware. Este enigma se puede resolver mediante productos de visibilidad SSL , que descifran y vuelven a cifrar el tráfico antes de dirigirlo a herramientas de seguridad basadas en el contexto, como la reputación de IP, el puerto/protocolo y la categorización de URL.

Las herramientas de visibilidad SSL permiten que los dispositivos de seguridad hagan lo que mejor saben hacer (analizar el tráfico) en lugar de desperdiciar recursos valiosos en el intensivo proceso de descifrado y reencriptado. No es posible lograr una visibilidad completa de las amenazas cibernéticas sin este paso crucial.

Mejorar la monitorización

Si las agencias no pueden abrir el tráfico que entra y sale de su red, no pueden registrarlo correctamente, y el registro y los informes son componentes clave de los requisitos del CDM. Solo descifrando adecuadamente el tráfico las agencias pueden enviarlo a una ubicación central para registrarlo, monitorearlo, informarlo y analizarlo más a fondo.

Por ejemplo, con un descifrado y registro adecuados, las agencias pueden usar análisis de comportamiento, inteligencia artificial y aprendizaje automático para realizar un análisis del comportamiento del tráfico. Actualmente, el 88 por ciento de las agencias civiles federales están utilizando una herramienta llamada Einstein para hacer precisamente eso.

Pero una vez más, todas estas piezas del rompecabezas deben encajar. El análisis avanzado no puede realizarse sin el descifrado mencionado anteriormente.

Protección de activos

La visibilidad de SSL abre flujos cifrados para permitir que los dispositivos de seguridad ayuden a registrar y proteger esos activos. Pero hay muchas maneras de abordar la protección. Para empezar, las agencias necesitan protegerse de las diez principales amenazas de OWASP y de los ataques de día cero emergentes. Otra estrategia de mitigación es registrar y monitorear el tráfico para poder analizarlo, resaltando aún más la interconexión de estos diferentes componentes de la ciberseguridad.

De manera similar, muchas plataformas de protección de aplicação multiservicio también pueden y deben proteger contra el tráfico de bots maliciosos. Toda industria se enfrenta a ataques automatizados como apropiación de cuentas, reconocimiento de vulnerabilidades o denegación de servicio, y el gobierno federal no es la excepción.

Todo en uno

El programa CDM de CISA plantea un problema complejo pero importante que las agencias no pueden resolver a través de un único proveedor. La protección de activos en sí misma requiere múltiples soluciones, ya que las agencias se defienden contra una lista cada vez mayor de ataques. Pero esa protección no puede lograrse sin verificar otras casillas, como descifrar y registrar el tráfico.

Al final del día, las agencias no pueden proteger lo que no pueden ver. Si bien esa es la fuerza impulsora detrás del programa CDM, las agencias deben asegurarse de tener las herramientas adecuadas para garantizar la visibilidad. Abrir el tráfico cifrado, enviarlo a un registro central, ejecutar análisis de comportamiento y configurar una protección de activos adecuada representa un buen punto de partida.

Por Ryan Johnson, líder de ingeniería de soluciones federales, F5