¿Has oído hablar del TIBER-EU?

Una iniciativa ejemplar para evaluar y proteger sistemas

Blog ¿Has oído hablar del TIBER-EU?

| 4 min de lectura

Contáctanos

En 1988, algunos países europeos decidieron crear una unión económica que permitiera la libre circulación de capitales entre ellos y tuviera una autoridad compartida y una política monetaria única. Años más tarde, definieron y adoptaron una moneda común, el euro, que surgió junto con la eurozona, que ahora incluye a 19 de los 27 países miembros de la Unión Europea (UE). Hoy, la institución que rige esa moneda es el Banco Central Europeo (BCE). Es sobre una iniciativa relacionada con la ciberseguridad dentro de esta organización de lo que hablaremos en este artículo del blog.

Además de ayudar a mantener estables los precios en la eurozona, el BCE realiza importantes esfuerzos para contribuir a la seguridad de la banca europea Desde 2014, supervisa la solidez y resistencia de los bancos de la zona, exigiéndoles que realicen ajustes siempre que aparezca alguna irregularidad. En el contexto digital, el BCE busca firmemente proteger el dinero de los usuarios frente a las ciberamenazas y actúa de forma preventiva con la comunidad financiera. En concreto, ponen a prueba la seguridad y la ciberresiliencia de sus entidades. Como ellos dicen, la ciberresiliencia se refiere a la capacidad de proteger los datos y sistemas electrónicos de los ciberataques, así como de reanudar rápidamente las operaciones comerciales en caso de que un ataque tenga éxito. Esta ciberresiliencia la ponen a prueba con la ayuda de hackers éticos, siguiendo procedimientos que se basan en el TIBER-EU.

¿Qué es TIBER-EU y cómo funciona?

El TIBER-EU (Threat Intelligence-based Ethical Red Teaming) es un marco común desarrollado por los bancos centrales nacionales de la UE y el BCE, publicado en 2018. Este, orienta a las autoridades, entidades y proveedores de inteligencia de amenazas (TI por sus iniciales en inglés) y red teaming (RT) en ciberataques controlados y en la mejora de la ciberresiliencia de las entidades. Siguiendo el enfoque de un red team, como el de Fluid Attacks, sus pruebas buscan imitar las tácticas, técnicas y procedimientos de los atacantes maliciosos. Pretenden simular ataques reales a los sistemas de sus entidades, especialmente a sus operaciones críticas, para determinar sus debilidades y fortalezas e impulsar así el crecimiento de su nivel de madurez en ciberseguridad. (Esto nos recuerda al SAMM de OWASP, que puedes emplear, por ejemplo, para evaluar la madurez de tus pruebas de seguridad.)

En las pruebas TIBER-EU participan varios equipos. Del lado de la entidad (generalmente del sector financiero) que va a ser evaluada están los equipos azul y blanco. El primero es el que desconoce que va a ser objeto de ataques simulados destinados a evaluar sus capacidades de prevención, detección y respuesta. El segundo es un grupo reducido de personas que conoce acerca del procedimiento y contribuye a su ejecución. Por otro lado, están los proveedores de TI y RT. La primera empresa analiza el espectro de amenazas potenciales y realiza un reconocimiento de la entidad. La segunda empresa se encarga del hacking ético o ataques deliberados contra los sistemas de la entidad y sus operaciones críticas. Por último, está el equipo cibernético TIBER. Este grupo pertenece a la autoridad y se encarga de la supervisión de la prueba para garantizar el cumplimiento de los requisitos del marco.

Inicia ahora con la solución de red teaming de Fluid Attacks

El TIBER-EU también gestiona los requisitos para los proveedores de TI y RT. La entidad a ser examinada debe comprobar que esos requisitos se cumplen antes de trabajar con aquellas empresas. Se trata de estándares de selección de los que hablaremos en un próximo artículo. De momento, conozcamos un poco el procedimiento de las pruebas. Las autoridades de los países europeos, en acuerdo con las entidades bajo su responsabilidad, determinan en qué casos y cuándo llevarlas a cabo. Para ser reconocido como prueba TIBER-EU, este proceso debe ser realizado por proveedores externos independientes y no por los equipos internos de las entidades. El marco estipula que esta prueba debe dividirse en tres fases: preparación, prueba y cierre.

TIBER-EU Process

Imagen tomada de ecb.europa.eu.

Antes de la fase de preparación, TIBER-EU ofrece una fase opcional: el panorama genérico de amenazas. Este paso consiste en realizar una evaluación genérica del panorama de amenazas del sector financiero nacional. Esto implica mapear el rol de la entidad e identificar a los actuales actores de amenazas de alto nivel para el sector junto con sus métodos contra este tipo de entidades. En la fase de preparación, se definen los equipos responsables de la prueba junto con el alcance de la misma. La autoridad valida lo anterior y la entidad contrata a los proveedores de TI y RT.

En la fase de prueba, la empresa de TI elabora un "Informe de inteligencia sobre amenazas específicas", presentando escenarios de amenazas e información relevante sobre la entidad. (El panorama genérico de amenazas de la fase opcional serviría de base para esta etapa). La empresa de RT utiliza todo esto para desarrollar escenarios de ataque y ejecutar ataques controlados contra determinados sistemas críticos de producción, personas y procesos que sustentan las funciones críticas de la entidad.

En la fase de cierre, el proveedor de RT ofrece un "informe de prueba del red team" con detalles de los métodos empleados, así como las hallazgos y evidencias de la prueba. En función de cada caso, este informe puede incluir recomendaciones para que la entidad sometida a prueba mejore en áreas como: políticas, operaciones, controles o consciencia. Las personas interesadas revisan y debaten la prueba y los problemas descubiertos. Después, la entidad, que recibe pruebas técnicas detalladas sobre sus puntos débiles o vulnerabilidades, acuerda y completa un "Plan de remediación".

Para todos los implicados, debe quedar claro que las pruebas TIBER-EU conllevan riesgos. Por ejemplo, las pruebas pueden dar lugar a pérdida, alteración y divulgación de datos, caída y daños al sistema y casos de denegación de servicio. Por eso el marco TIBER-EU es estricto y da prioridad al establecimiento de controles rigurosos de gestión de riesgos a ser empleados a lo largo de todo el proceso. El marco establece que, para que las pruebas sean seguras, deben definirse y comprenderse adecuadamente los roles y responsabilidades de todas las partes interesadas. Además, de acuerdo con lo que hemos mencionado antes, y de lo que hablaremos más adelante, los proveedores de TI y RT deben cumplir requisitos específicos. Y es que se espera garantizar que solo el personal mejor cualificado realice pruebas tan delicadas en funciones críticas.

Algo fundamental que hace esta sofisticada y robusta iniciativa es contribuir a proporcionar un nivel de garantía adecuado de que los activos y sistemas clave de los servicios financieros están protegidos contra ataques de agresores técnicamente competentes, dotados de recursos y de carácter persistente. Las autoridades europeas confían en las metodologías de los proveedores de TI y RT para evaluar la seguridad de sus entidades y reducir los riesgos. ¿Por qué será que tantas organizaciones siguen enfrascadas en confiar únicamente en herramientas de escaneo automatizadas y poco precisas? Ya lo hemos dicho antes: Para ir un paso adelante de los hackers maliciosos, necesitas a alguien que piense como ellos. Necesitas hackers éticos. ¿Te gustaría contar con la ayuda de los hackers éticos de Fluid Attacks? ¡Contáctanos!

Suscríbete a nuestro blog

Recibe el boletín semanal de Fluid Attacks.

Blog posts recomendados

Quizá te interesen los siguientes posts similares.

Foto por Jasmin Egger en Unsplash

Si tu capa esencial de seguridad es vulnerable, estás frito

Foto por Christian Wiediger en Unsplash

La necesidad de mejorar la seguridad en el sector fintech

FOto por Claudio Schwarz en Unsplash

¿Es tu servicio financiero tan seguro como crees?

Foto por mitchell kavan en Unsplash

Poniendo en práctica el modelo zero trust

Foto por Brian Kelly en Unsplash

Te necesitamos, pero no podemos darte dinero

Foto por Sean Pollock en Unsplash

Los robos de datos que dejaron su huella para siempre

Foto por Roy Muz en Unsplash

Lecciones aprendidas de los cisnes negros

Inicia tu prueba gratuita de 21 días

Descubre las ventajas de nuestra solución Hacking Continuo, de la cual ya disfrutan cientos de organizaciones.

Inicia tu prueba gratuita de 21 días
Fluid Logo Footer

Hackeando software durante más de 20 años

Fluid Attacks analiza aplicaciones y otros sistemas, abarcando todas las fases de desarrollo de software. Nuestro equipo ayuda a los clientes a identificar y gestionar rápidamente las vulnerabilidades para reducir el riesgo de ciberincidentes y desplegar tecnología segura.

Copyright © 0 Fluid Attacks. We hack your software. Todos los derechos reservados.