Metodología NIST: Sustento para los analistas de ciberseguridad
Tabla de contenidos
El Instituto Nacional de Estándares y Tecnología (NIST) es una organización pública estadounidense dedicada a generar conocimiento, desarrollar recursos y organizar programas de formación en múltiples áreas. Desde la química a la energía, pasando, como no podía ser de otra forma en un mundo plenamente digitalizado, por la ciberseguridad. Así, las guías NIST y sus frameworks se han convertido en estándares globales en lo que respecta a la seguridad de los software y hardware que empleamos todos los días. De ahí que el papel del NIST como generador de conocimiento sea de gran ayuda para las organizaciones y los analistas de ciberseguridad.
1. ¿Qué son las guías NIST?
Las guías NIST aportan un conjunto de buenas prácticas en multitud de ámbitos de la ciberseguridad. Desde la gestión de riesgo, hasta el sistema de gobierno de ciberseguridad. Pasando por la realización de pentesting o la gestión de incidentes.
La literatura elaborada por el NIST en el terreno de la ciberseguridad es amplísima. Puesto que está conformada por cientos de documentos. Todo el conocimiento acumulado en la recopilación de buenas prácticas ha producido que las guías NIST y los frameworks asociados sean reconocidos como un estándar a nivel global, no solo en Estados Unidos.
Si bien estas publicaciones de referencia no entran de lleno en cuestiones técnicas extremadamente específicas como sí hacen, por ejemplo, las guías de OWASP; son fundamentales como sustento metodológico. Además, como se elaboran y publican de manera recurrente, amplían y actualizan constantemente la base de conocimiento del NIST.
Estos documentos ofrecen una visión global de múltiples áreas de la ciberseguridad, proponiendo metodologías basándose en buenas prácticas. Así, estipulan, por ejemplo, qué fases hay que llevar a cabo cuando se realiza un test de intrusión. Y establecen recomendaciones genéricas, pero que garantizan que el procedimiento se lleva a cabo de manera óptima. Como, por ejemplo, guardar un histórico de los comandos que se han ejecutado, de cara a garantizar que se puede llevar a cabo la trazabilidad del proceso, en caso de que se produzca alguna incidencia en su ejecución.
A continuación, vamos a analizar sucintamente tres guías NIST que nos permiten observar su importancia como estándar a nivel global: NIST 800-115, NIST 800-94 y NIST 800-61.
2. NIST 800-115: Guía técnica para evaluaciones y pruebas de seguridad de la información
La primera de las guías NIST ofrece una base metodológica para diseñar y poner en marcha servicios de pentesting o test de intrusión avanzados. A pesar de no entrar en aspectos técnicos y quedarse en un plano más general, esta guía es de obligada consulta. Puesto que establece las fases de estas metodologías y hace un amplio repaso de las características de las diferentes técnicas que se pueden emplear para evaluar la seguridad de la información. Funciona así, nunca mejor dicho, como una guía en el proceso, sobre la que desarrollar y planificar metodologías concretas, que se ajusten a los sistemas que van a ser estudiados y a los objetivos establecidos.
El documento analiza las diversas técnicas que se deben realizar, así como las fases de una evaluación de seguridad.
2.1. Técnicas de revisión
Estas técnicas son pasivas y consisten en la revisión sistematizada de sistemas, aplicaciones, redes y procedimientos para detectar vulnerabilidades de seguridad. Además, son fundamentales para recopilar información de cara a desarrollar técnicas proactivas como los test de intrusión avanzados. Por su propia naturaleza, suponen un riesgo mínimo para los sistemas y redes analizados. De entre las diversas técnicas de revisión, la guía del NIST destaca:
- Revisión de la documentación. Su objetivo es evaluar los detalles técnicos de políticas y los procedimientos analizando la documentación disponible.
- Revisión de registros: Permite evaluar que los controles de seguridad implementados registran información de forma adecuada y detallada de acuerdo con las políticas establecidas.
- Revisión del conjunto de reglas. Mediante esta técnica se analizan deficiencias en los controles de seguridad analizando principalmente reglas de control de acceso y firmas, en dispositivos de red y sistemas IDS/IPS respectivamente
- Revisión de configuración de sistemas. Se evalúa la correcta configuración de medidas de seguridad en sistemas (hardening) de acuerdo con políticas establecidas.
- Escaneo de la red. Supervisa el tráfico de red en el segmento local para obtener información. Además, sirve para verificar el cifrado de las comunicaciones.
- Comprobación de la integridad de los archivos. Se emplea para detectar posibles manipulaciones en los archivos importantes e identificar archivos no deseados, que pueden ser herramientas de los atacantes. Este tipo de características son ofrecidas por soluciones HIDS (Host Based Instrusion Detections Systems).
2.2. Técnicas de identificación y análisis de objetivos
Mediante estas técnicas, los analistas de ciberseguridad identifican dispositivos activos y sus puertos y servicios asociados, y los analizan de cara a detectar vulnerabilidades. La información recopilada servirá para planificar e implementar técnicas que validen la vulnerabilidad del objetivo, como los servicios de pentesting o test de intrusión avanzados. La guía del NIST destaca cuatro técnicas de identificación y análisis de objetivos:
- Descubrimiento de la red. Se emplea para identificar los dispositivos en la red, determinar modelos de comunicación entre los mismos y ofrecer una visión de la arquitectura de red.
- Identificación de puertos de red, servicios y detalles de los mismos.
- Escaneo de vulnerabilidades. Incluye distintas técnicas para el análisis de vulnerabilidades en sistemas y servicios tanto mediante el uso de herramientas automatizadas como manuales.
- Escaneo inalámbrico. Mediante esta técnica se identifican dispositivos inalámbricos no autorizados, se detectan señales inalámbricas fuera del perímetro de la organización y posibles backdoors que pueden ser explotadas por actores maliciosos.
2.3. Técnicas de validación de la vulnerabilidad del objetivo
La guía del NIST establece que estas técnicas emplean la información generada en la identificación y análisis del objetivo, para explorar a fondo la existencia de vulnerabilidades. Estas técnicas permiten demostrar que la vulnerabilidad existe y qué ocurre cuando se explota. De ahí que estas técnicas tengan un mayor potencial de impacto sobre el sistema o red en el que se está trabajando que las técnicas anteriores. Dentro de estas técnicas, el NIST incluye el crackeo de contraseñas, las técnicas ingeniería social como el phishing y las pruebas de intrusión.
2.3.1. Pruebas de intrusión
Si bien a las dos primeras, la guía se aproxima de forma sucinta, las pruebas de intrusión se detallan en mayor profundidad a nivel metodológico. Así, por una parte, establece las fases para desarrollar y ejecutar este tipo de pruebas:
- Planificación. Se establecen los protocolos de actuación, se fijan los objetivos y se crean las condiciones técnicas pertinentes para que el test tenga éxito.
- Descubrimiento. En esta fase son de gran ayuda las técnicas que abordamos anteriormente. Puesto que consiste en recopilar toda la información sobre el sistema o la red objetivo, de cara a descubrir vulnerabilidades a partir de los datos recogidos.
- Ejecución. Es la fase clave del proceso. Dentro de esta fase se ejecutan las siguientes acciones de ataque:
- Obtener acceso. Incluye la explotación de vulnerabilidades para obtener acceso a los sistemas.
- Escalar privilegios. Se analizan los privilegios de acceso obtenidos en los sistemas comprometidos y se analizan vías para lograr un acceso privilegiado como administrador.
- Movimientos laterales. Se inicia otro proceso de descubrimiento para identificar mecanismos y explotar vulnerabilidades que permitan obtener acceso a otros sistemas adicionales de la infraestructura.
- Instalación de herramientas adicionales. Incluye tareas de post explotación como herramientas para obtener información o mantener la persistencia.
- Comunicación y generación de informes: Esta fase es transversal y ocurre de forma paralela con las demás, puesto que es fundamental documentar todo el proceso, e informar de los avances de las pruebas durante la ejecución. Al final del proceso se genera un reporte en el que se describen las vulnerabilidades identificadas, el procedimiento de explotación, así como el nivel de riesgo asociado y la proposición medidas para mitigarlas y/o subsanarlas.
A continuación, se detallan las vulnerabilidades más comunes explotadas como parte de un test de intrusión según la publicación NIST 800-115:
- Configuraciones erróneas.
- Fallos en el kernel.
- Desbordamiento de buffer.
- Validación de entrada insuficiente.
- Enlaces simbólicos.
- Ataques a descriptores de archivos
- Condiciones de carrera.
- Permisos incorrectos de archivos y directorios.
2.4. Evaluación de seguridad
La guía del NIST dedica dos secciones a las evaluaciones de seguridad de la información. La primera centrada en la planificación y la segunda en la ejecución. Esta actividad compleja, debe tener en cuenta las características de la organización, el número de sistemas y sus especificaciones y las técnicas que se van a emplear para realizar el análisis de ciberseguridad. Desde el punto de vista de la planificación, el documento establece como prioritario:
- Desarrollar una política de evaluación de la seguridad.
- Priorizar y programar las evaluaciones que se van a llevar a cabo.
- Seleccionar y personalizar las técnicas de prueba, ajustándose a las características de la organización y los objetivos fijados.
- Determinar los aspectos logísticos de la evaluación.
- Desarrollar el plan de evaluación.
- Tener en cuenta los aspectos legales.
Por su parte, la ejecución de la evaluación de seguridad se sustenta sobre cuatro fases, definidas en la guía del NIST:
- Coordinación
- Evaluación
- Análisis
- Gestión de los datos: recolección, almacenamiento, transmisión y destrucción.
3. NIST 800-94: Guía para la prevención y detección de intrusiones en sistemas
La segunda de las guías NIST gira en torno a los sistemas de detección y prevención de intrusiones (IDS/IPS), software que automatiza el proceso de detección de intrusiones.
Los cuatro IDS/IPS principales
A lo largo de la Guía, el NIST establece una serie de recomendaciones para diseñar, implementar, configurar, securizar, monitorizar y mantener cuatro tipos de sistemas IDS/IPS:
- Basado en la red (NIDS/NIPS). Supervisa el tráfico de la red para determinados segmentos o dispositivos y analiza la actividad de la red y los protocolos de las aplicaciones, con el objetivo de identificar actividades sospechosas.
- Análisis inalámbrico (WIDS/WIPS). Este tipo de sistema supervisa y analiza el tráfico de la red inalámbrica, de cara a detectar actividades sospechosas que impliquen a los protocolos de red inalámbricos.
- Análisis del comportamiento de la red (NBA). Examina el tráfico de la red para poder detectar amenazas que generan flujos de tráfico inusuales, como formas de malware y violaciones de políticas.
- Basado en el host (HIDS/HIPS). Este sistema supervisa las características de un único host, así como los eventos que acaecen en dicho host, con la misión de identificar actividades sospechosas.
La guía cuenta con una introducción a los conceptos básicos de la detección y prevención de intrusiones. Así como una visión general sobre los componentes típicos de estas tecnologías, las metodologías generales de detección de intrusiones y unas recomendaciones de implementación y operación.
Posteriormente, se centra a analizar de manera pormenorizada cada una de las tecnologías IDS/IPS que venimos de señalar. Se realiza una descripción general del sistema y, posteriormente se analizan:
- Componentes y arquitectura.
- Capacidades de seguridad.
- Gestión.
De esta manera, se ofrece a las organizaciones un sustento metodológico a la hora de diseñar e implementar tecnologías IDS/IPS seguras, que contribuyan a detectar posibles intrusiones.
Integración de tecnologías IDS/IPS
Estos cuatro tipos principales de IDS/IPS difieren entre sí en cuestiones como el tipo de intrusiones que pueden detectar, el nivel de precisión a la hora de realizar dicha detección o la capacidad de realizar un análisis en profundidad sin afectar al rendimiento de los sistemas que protegen. Por ello, la guía NIST recomienda a las organizaciones emplear varios tipos de tecnologías IDS/IPS a la vez, logrando, así, una detección y prevención de los ataques maliciosos más completa.
Para ello, lleva a cabo una comparativa entre los cuatro sistemas IDS/IPS principales y establece una serie de recomendaciones a la hora de combinarlos.
La guía advierte de que en la mayoría de entornos se necesita una combinación de IDS/IPS basados en la red y en host. Asimismo, los sistemas de análisis inalámbrico también pueden ser fundamentales si la organización considera que sus redes inalámbricas necesitan ser supervisadas. Mientras que la tecnología NBA es extremadamente útil si se quiere contar con capacidades de seguridad adicionales frente a, por ejemplo, ataques de malware.
La integración entre varios tipos de tecnologías IDS/IPS puede ser directa o indirecta. La primera facilita que los sistemas compartan datos y, así, puedan acelerar el proceso de análisis de la información y ayudar a que la organización priorice las amenazas a las que tiene que hacer frente. Es común cuando la organización emplea sistemas IDS/IPS de un solo proveedor.
La segunda, por su parte, se realiza con un software de gestión de eventos e información de seguridad (SIEM). Este software permite correlacionar eventos registrados por diferentes tecnologías, ayudando a los usuarios a verificar las alertas de IDS/IPS.
Más allá de las cuatro tecnologías IDS/IPS principales, existen otros sistemas que los complementan como las herramientas de análisis forense de la red, las tecnologías anti-malware o los cortafuegos.
Si bien las distintas publicaciones del NIST todavía no incluyen los sistemas EDR/xEDR en ninguna de sus publicaciones estos terminarán siendo contemplados como sistemas de defensa adicionales.
4. NIST 800-61: Guía para la gestión de incidentes de ciberseguridad
La gestión de los incidentes es una cuestión crucial en el ámbito de la ciberseguridad. No basta con realizar pruebas de intrusión para detectar de manera preventiva problemas o contar con sistemas automatizados de detección y prevención de intrusiones. Además, en caso de producirse un incidente, la organización debe contar con las herramientas necesarias para gestionarlo con éxito.
Para ello, el NIST pone a disposición de los equipos de repuesta ante incidentes de ciberseguridad, administradores de sistema, equipos de seguridad, CISOs, CIOs y demás profesionales relacionados con esta cuestión, esta guía estructurada en torno a tres temáticas centrales: planes de respuesta, gestión de los incidentes y coordinación.
4.1. Planes de respuesta
En este sentido, las guías NIST abordan cómo deben ser las políticas y planes de respuesta frente a incidentes. Así como la estructura, el personal y los servicios de los equipos de respuesta de las organizaciones. Sus recomendaciones en esta área son:
- Establecer un plan de respuesta formal ante incidentes, de cara a poder responder de manera rápida y eficaz cuando se vulneran las ciberdefensas.
- Diseñar una política de respuesta a incidentes, que defina qué eventos se consideran incidentes y cuáles son las funciones y responsabilidad de cada equipo y persona.
- Desarrollar un plan de respuesta que cuente con una hoja de ruta clara para ser implementado con éxito. Debe incluir objetivos y métricas para ser evaluado.
- Desarrollar procedimientos de respuesta a incidentes, con pasos detallados y que cubran toda la fase del proceso.
- Políticas y planes de respuesta frente a incidentes y estructura, personal y servicios de los equipos de respuesta.
- Estipular los procedimientos de intercambio de información relacionada con los incidentes. Desde medios, hasta autoridades.
- A la hora de establecer el modelo de equipo de respuesta hay que tener en cuenta todas las ventajas y desventajas, así como los recursos y necesidades de la organización.
- Es imprescindible seleccionar a los profesionales de estos equipos valorando sus habilidades, conocimientos técnicos, capacidad de comunicación y de pensamiento crítico. Prestarles formación es, también, fundamental.
- Identificar otros grupos dentro de la organización que deban participar en la gestión de los incidentes. Como, por ejemplo, un equipo de apoyo jurídico o el personal de gestión.
- Determinar el catálogo de servicios que debe ofrecer el equipo más allá de la respuesta a incidentes. Como la supervisión de los sistemas de detección de intrusiones de los que hablamos en el capítulo anterior. O la formación de todo el personal en lo que respecta a la ciberseguridad.
4.2. Gestión de incidentes
La guía del NIST establece las cuatro grades fases en la gestión de incidentes: preparación; detección y análisis, contención, erradicación y recuperación; y actividad post-incidente. Todas ellas están fuertemente interrelacionadas y la progresión no es meramente lineal, sino más bien circular. Puesto que el análisis que se efectúa tras un incidente es clave para fortalecer la preparación. Pasos básicos a la hora de gestionar incidentes y optimización de la detección y el análisis de incidentes.
En lo que respecta a las recomendaciones que efectúa el instituto podemos destacar:
- Contar con herramientas y software útiles para la gestión de incidentes.
- Evaluar de manera recurrente los riesgos, de cara a prevenirlos.
- Identificar indicios de incidentes gracias al uso de varios sistemas de seguridad.
- Establecer mecanismos para que actores externos informen a la organización sobre incidentes.
- Imponer un nivel base de auditoría de todos los sistemas. Reforzándolo en los sistemas críticos.
- Perfilar redes y sistemas, lo que facilita la detección de cambios en los patrones y con ellos los incidentes.
- Conocer los comportamientos normales de las redes, los sistemas y las apps, de cara a detectar con facilidad cualquier otro tipo de comportamiento anormal.
- Crear una política de registro de la información sobre los incidentes. Comenzar a registrar todos los datos desde que exista la sospecha de que se ha producido uno. Y salvaguardarlos, puesto que incluyen información sensible sobre vulnerabilidades, fallos de seguridad y usuarios.
- Correlacionar eventos empleando diversas fuentes para obtener toda la información posible. En este sentido es importante mantener sincronizada la hora de los hosts.
- Emplear una base de conocimientos de información, fiable y consistente.
- Establecer un mecanismo para priorizar la gestión de los incidentes, basándose en factores clave como el impacto en el funcionamiento de la organización o la probabilidad de recuperación.
- Establecer estrategias de contención de los incidentes de manera rápida y eficaz.
4.3. Coordinación y compartición de la información
La guía NIST pone el foco en cómo se coordinan los diferentes equipos dentro de una organización para ofrecer una respuesta coordinada ante un incidente. Así como en las técnicas empleadas para compartir los datos sobre el mismo. Entre sus recomendaciones podemos destacar:
- Planificar previamente la coordinación de los incidentes con los actores externos, como otros equipos de respuesta ante incidentes, autoridades o proveedores de servicios. De esta manera cada actor conocerá su función y la comunicación será mucho más eficiente.
- Contar con el asesoramiento permanente del equipo legal, para garantizar que todas las acciones de coordinación se ejecutan cumpliendo con el marco normativo.
- Intercambiar información sobre los incidentes a lo largo de todo su ciclo de vida. Desde la preparación hasta la actividad post-incidente.
- Automatizar el intercambio de información, en la medida de lo posible, de cara a que sea más eficaz y consuma menos recursos humanos.
- Analizar con precisión las ventajas e inconvenientes de compartir información sensible con otros actores.
- Compartir la mayor cantidad de información posible con otras organizaciones, teniendo en cuenta, siempre, los intereses de la organización y las razones de seguridad.
5. Guías NIST, una garantía metodológica y regulatoria
Como hemos ido apuntando a lo largo del capítulo, las guías NIST son documentos generalistas que ofrecen un sustento metodológico sobre el que diseñar, planificar e implementar diversas estrategias o acciones del ámbito de la ciberseguridad. A diferencia de otras guías, su contenido es genérico y, por ende, no se puede aplicar directamente sobre un determinado sistema o aplicación. Sino que sus recomendaciones, fases y conceptualizaciones sirven para que los profesionales cuenten con un procedimiento estandarizado al que adherirse.
En este sentido, emplear las guías NIST funciona como una garantía de las acciones que se ejecutan, convirtiéndose en un requisito a nivel metodológico.
Además, en lo que respecta a las regulaciones, muchas de ellas establecen como requisito que prácticas como los servicios de pentesting estén avalados por una metodología concreta como la que ofrecen las guías del NIST.
La conformidad con las distintas metodologías del NIST por parte de empresas proveedoras de servicios de ciberseguridad mejora la cobertura y facilita el cumplimiento de regulaciones para aquellas organizaciones e instituciones que contratan servicios de ciberseguridad.
De esta manera, la ingente documentación generada por el NIST sirve para sentar unas bases metodológicas estándar reconocidas y empleadas a nivel mundial. Una auténtica guía en la prevención, detección y subsanación de vulnerabilidades.
Este artículo forma parte de una serie de articulos sobre NIST
- Metodología NIST: Sustento para los analistas de ciberseguridad
- Marco de ciberseguridad del NIST: Una brújula para navegar en el océano de los ciber riesgos
- Marco de ciberseguridad del NIST como estrategia de prevención de ataques de ransomware
- Las 4 claves del Marco de Ciberseguridad del NIST v2