CIS Control 13: Monitoreo de Red y Defensa

La ciberseguridad hoy en día parece una carrera armamentista: las empresas implementan cada vez más herramientas de seguridad para intentar defender sus redes contra ataques cada vez más frecuentes y sofisticados. Pero simplemente aumentar el número de herramientas en su arsenal no es una estrategia de ciberseguridad efectiva. Más bien, lo que las organizaciones necesitan es un marco que proporcione pautas comprobadas para la gestión segura de sus recursos digitales para que puedan implementar herramientas y procesos que realmente protejan su negocio, clientes y socios.

El Centro para la Seguridad en Internet (CIS) proporciona justo ese marco de referencia: los CIS Critical Security Controls. Implementar estos controles puede ayudarlo a proteger su infraestructura, aplicaciones de software, servicios y datos, de manera efectiva y eficiente.

El marco de CIS Controls se actualiza periódicamente para enfrentar las amenazas que evolucionan. En particular, el mundo ha cambiado drásticamente desde que se lanzó la versión 7 en 2019, gracias a la adopción generalizada del trabajo remoto y híbrido durante la pandemia. En consecuencia, CIS lanzó la versión 8 en 2021. Incluye un nuevo control importante, Network Monitoring and Defense, y elimina otros tres, incluyendo Boundary Defense. Veamos este cambio y lo que significa para su estrategia de ciberseguridad.

CIS Control 13: Monitoreo y Defensa de Red

Hubo un tiempo en el que una fuerte defensa perimetral era la principal prioridad en una estrategia de ciberseguridad. Hoy, sin embargo, el tráfico fluye hacia y desde una multitud de sitios fuera del perímetro de red tradicional. Por lo tanto, es esencial saber qué dispositivos están conectados a tu red en todo momento y monitorear continuamente los intentos de acceso a datos sensibles y otros recursos de alto valor. El objetivo es identificar rápidamente patrones de tráfico sospechosos o eventos para que puedas detectar amenazas antes de que resulten en una data breach o interrumpan las operaciones.

El Control 13 en la versión 8 de los CIS Control cambia el enfoque estratégico de 'cercar' la organización hacia un enfoque 'entrelazado' para la monitorización y defensa que se adapta a los procesos modernos utilizados en las conexiones de la cadena de suministro, por ejemplo el intercambio de datos establecido con ellos.

Para ayudar a las organizaciones a alcanzar este objetivo, CIS Control 13 recomienda las siguientes 11 salvaguardas:

1. Centralice las alertas de eventos de seguridad

El monitoreo manual de amenazas es insuficiente ante las metodologías de ataque modernas. Por ejemplo, el ransomware puede encriptar datos a la velocidad de la máquina, y detectar ciberataques sofisticados implica correlacionar datos a través de múltiples sistemas. Afortunadamente, existen herramientas avanzadas que utilizan automatización e inteligencia artificial para analizar rápidamente datos a través de redes híbridas complejas. CIS Control 13 recomienda usar una solución SIEM para agregar, correlacionar y analizar datos de registros de eventos de múltiples sistemas y alertar al personal adecuado sobre amenazas en tiempo real.

2. Implemente una solución de detección de intrusiones basada en host

Aplicación de software que se instala localmente en la infraestructura informática que analizará. Su función es detectar, registrar y alertar sobre comportamientos sospechosos, tráfico malicioso y violaciones de políticas.

3. Implemente una solución de detección de intrusiones en la red.

Una solución de detección de intrusiones en la red (NID) es un dispositivo de seguridad que analiza el tráfico de red entrante y saliente para identificar anomalías, patrones de tráfico sospechosos y posibles amenazas de paquetes. Un NID puede ser un componente con licencia dentro de un dispositivo de firewall de próxima generación (NGFW), o puede utilizar sensores o agentes de aplicación colocados estratégicamente a lo largo de la red.

4. Realice filtrado de tráfico entre segmentos de red

El filtrado de tráfico restringe el flujo de tráfico entre segmentos de red según el origen, destino o tipo de tráfico. Por ejemplo, todas las máquinas de RRHH pueden segmentarse del resto de la organización para asegurar que solo el tráfico que proviene de usuarios prescritos pueda dirigirse a las máquinas de RRHH. Puedes utilizar routers o firewalls para segmentar áreas; un router filtrará utilizando listas de control de acceso (ACLs) mientras que un firewall usará políticas para filtrar.

5. Gestione el control de acceso para activos remotos

El acceso remoto debe otorgarse únicamente a las cuentas de usuario que realmente lo necesiten, de acuerdo con el principio de privilegio mínimo. Las políticas de acceso remoto también deben estar alineadas con cualquier regulación industrial o gubernamental requerida.

6. Registre los logs de flujo de tráfico de red

Los registros de flujo de tráfico de red pueden utilizarse para solucionar problemas de conectividad y determinar si el flujo de tráfico funciona como se anticipaba. También se utilizan para investigar tráfico sospechoso y acceso a recursos en caso de un incidente de ciberseguridad.

7. Implemente una solución de prevención de intrusiones basada en host

Una solución de prevención de intrusiones (IPS) es similar a un sistema de detección de intrusiones (IDS) en que ambos buscan tráfico sospechoso y código malicioso. Sin embargo, mientras que un IDS estrictamente analiza el tráfico y emite una alerta, un IPS local puede prevenir proactivamente que los paquetes identificados accedan al dispositivo local al descartarlos.

8. Implemente una solución de prevención de intrusiones en la red

Un IPS de red reside en un dispositivo de red y descartará el tráfico que considere una amenaza antes de que pueda entrar o salir de un segmento de red específico.

9. Implemente el control de acceso a nivel de puerto

El control de acceso a nivel de puerto utiliza protocolos como 802.1x o similares para asegurar que solo los dispositivos autorizados puedan conectarse a la red. Por ejemplo, puede evitar que un visitante conecte una computadora portátil a una red mediante un cable ethernet, obligándolos así a utilizar la red inalámbrica proporcionada. El acceso puede otorgarse mediante el uso de certificados, direcciones MAC o autenticación de usuario.

10. Realice filtrado en la capa de aplicación

El filtrado en la capa de aplicación garantiza que los usuarios no puedan comunicarse mediante aplicaciones que no cumplan con las políticas corporativas. Por ejemplo, algunas organizaciones pueden impedir que los usuarios utilicen ciertas aplicaciones de redes sociales, de transmisión de medios o de proxy.

11. Ajuste los umbrales de alerta de eventos de seguridad

Si el personal de TI o seguridad está saturado de alertas, comenzarán a ignorarlas. Una manera de prevenir esto es asignar umbrales a diferentes tipos de eventos de modo que una alerta se active solo cuando se haya superado un umbral. Los eventos pueden ser automáticamente descartados utilizando umbrales también.

Cómo Netwrix puede ayudar

Netwrix ofrece soluciones que pueden ayudarte a implementar muchas de las salvaguardas en el Control 13 de CIS, de manera rápida y efectiva. Las soluciones de seguridad de Netwrix te empoderan para identificar y corregir brechas en tu postura de seguridad, así como detectar amenazas en sus etapas iniciales y responder con prontitud. En particular, nuestras capacidades de detección de amenazas internas te alertan sobre comportamientos anómalos en todo tu entorno para que puedas defender tu red contra internos maliciosos y atacantes que se apoderan de sus cuentas.