| 5 min de lectura
¿Has oído hablar del TIBER-EU? Esta pregunta es el título que dimos a un artículo del blog la semana pasada, presentando esa iniciativa liderada por el Banco Central Europeo principalmente para evaluar y proteger los sistemas financieros de la eurozona. En este nuevo artículo, nos centramos explícitamente en los requisitos del TIBER-EU para los proveedores de inteligencia de amenazas (TI por sus iniciales en inglés) y red teaming RT. Estas empresas son las encargadas de analizar las amenazas potenciales y realizar hacking ético contra las entidades financieras europeas para poner a prueba su ciberseguridad y ciberresiliencia. Las partes interesadas no deben hacer una elección improvisada de los proveedores. Para ello existen las pautas de contratación de servicios (Services Procurement Guidelines) del TIBER-EU, que tomamos como referencia para este segundo artículo de la serie. Te invitamos a revisar el documento completo para más detalles sobre lo que presentamos aquí.
¿Qué encontramos en las pautas de contratación de servicios?
Como se indica en las pautas de contratación de servicios, debido a la naturaleza sensible de las pruebas TIBER-EU, las entidades deben seleccionar cuidadosamente a proveedores de TI y RT que puedan proporcionar un nivel adecuado de experiencia profesional y apoyo para la realización de la prueba. Estas pautas indican los requisitos y estándares que deben cumplir los proveedores de TI y RT para realizar las pruebas TIBER-EU. Ofrecen orientación y criterios de selección para las entidades que deseen contratar proveedores. Y también ofrecen preguntas y listas de verificación de acuerdos que ayudan a formalizar el proceso de contratación. El TIBER-EU Knowledge Centre se encarga de hacer un seguimiento del mercado de TI y RT y de introducir cambios en los requisitos de las pautas siempre que sea necesario.
Pautas relacionadas a los proveedores de inteligencia de amenazas
El proveedor de TI tiene la misión de proporcionar una imagen clara de la superficie de ataque de la entidad evaluada y generar escenarios de amenazas que imiten la realidad. Estos sirven de base para los escenarios de ataque que utilizará el proveedor de RT. El proveedor debe conocer a los actores de amenaza, sus capacidades, motivos y metodologías, especialmente en lo que respecta al tipo de entidad del que se trate. En cuanto a este objetivo de pruebas, el proveedor de TI debe conocer sus operaciones, funciones críticas y personal, así como sus puntos débiles.
Entre los requisitos para el proveedor de TI está tener al menos tres referencias de asignaciones previas relacionadas con pruebas de red team dirigidas por inteligencia de amenazas. Además, TIBER-EU menciona un seguro de indemnización adecuado con el que el proveedor pueda responder a situaciones comprometedoras, como las que podrían derivarse de la negligencia. Debe haber un responsable de TI que dirija y supervise las actividades. Este debería tener al menos cinco años de experiencia en el área, de los cuales al menos tres deberían ser en proyectos del sector financiero. Adicionalmente, debería poseer certificaciones como el CREST Certified Threat Intelligence Manager (CCTIM) y el Offensive Security Certified Expert (OSCE).
Por parte de los miembros del equipo de TI, cada uno debería poseer al menos dos años de experiencia en inteligencia de amenazas. Se requiere un equipo multidisciplinar con un amplio espectro de conocimientos, incluyendo OSINT, HUMINT y conocimientos geopolíticos. Entre la amplia gama de certificaciones que podrían haber obtenido se encuentran la CREST Certified Simulated Attack Specialist (CCSAS), la Cybersecurity Nexus (CSX), la Certified Information Systems Security Professional (CISSP) y la Systems Security Certified Practitioner (SSCP). Se espera que el equipo haya proporcionado inteligencia de amenazas para pruebas de red team en el pasado.
La entidad receptora de la prueba TIBER-EU es la encargada de verificar que el proveedor de TI cumpla estas y otras normas establecidas en las pautas. No obstante, puede encomendar esta responsabilidad a organismos de acreditación y certificación de la Unión Europea. La entidad debería buscar un proveedor de TI con expertos técnicos que puedan explicar su metodología y con personal de apoyo. Debería ser una compañía con un dominio maduro de los estándares éticos y adscrita a un código de conducta reconocido. Debería ser un proveedor que garantice que gestionará adecuadamente los sistemas y los riesgos de información de la entidad. Además, la entidad debería solicitar evidencia de las políticas de seguridad de la información del posible proveedor.
Pautas relacionadas con los proveedores de red teaming
De acuerdo con el Marco TIBER-EU, la entidad debe asegurarse de que el proveedor de RT llevará a cabo una prueba de red team dirigida por inteligencia y no solo una prueba de penetración. La principal distinción entre estos dos métodos de prueba es la siguiente: el primero incluye un escenario completo con personas, procesos y tecnologías en la evaluación. El segundo suele centrarse en los sistemas y sus vulnerabilidades técnicas y de configuración. Siguiendo los esfuerzos del proveedor de TI, este otro proveedor toma escenarios de amenazas y los convierte en ataques. El proveedor de RT debería tener como objetivo evaluar la postura de ciberresiliencia de la entidad en función de la amenaza a la que se enfrenta. Siempre debería haber una estrecha relación entre los proveedores para estructurar y actualizar los planes de prueba y generar y entregar el informe final.
Como en el caso del proveedor de TI, el proveedor de RT debe contar con varios años de experiencia, un seguro de indemnización y un gestor competente y cualificado. Aparte de la mencionada OSCE, el director de pruebas de red team también debería poseer un certificado como el CREST Certified Simulated Attack Manager (CCSAM). Los miembros del equipo deberían poseer al menos dos años de experiencia en pruebas de red team. Entre los conocimientos y aptitudes que debe tener el red team, TIBER-EU sugiere los siguientes: conocimientos empresariales, pruebas de red team, pruebas de penetración, reconocimiento, inteligencia de amenazas, gestión de riesgos, desarrollo de exploits, penetración física, ingeniería social y análisis de vulnerabilidades.
Las certificaciones que puede obtener un miembro de un red team son múltiples. TIBER-EU sugiere algunas de ellas que podrían estar entre las que certifiquen al equipo del proveedor de RT. Por supuesto, cuantas más tengan, mejor. Además de destacar varias certificaciones de GIAC y Offensive Security, mencionan la eLearnSecurity Certified Professional Penetration Tester (eCPPT) y la Certified Ethical Hacker (CEH), entre otras. En Fluid Attacks, tenemos algunas de estas y más. Recientemente hemos incluido en nuestra lista de certificaciones varias de Mile2. Estrechamente asociadas al red teaming, tenemos, por ejemplo: la Certified Red Team Operator, la Certified Red Teaming Expert y la Certified Red Team Professional.
Una vez más, el cumplimiento de los requisitos por parte del proveedor es algo que la entidad o los organismos de acreditación y certificación deben verificar antes de iniciar la prueba TIBER-EU. Tres de los criterios más importantes para un comprador de servicios de pruebas de red team son la reputación y el historial del proveedor de RT y la conducta ética que adopta y hace cumplir. La entidad necesita encontrar en el proveedor un plan adecuado de gestión de riesgos y confidencialidad. Este último debe ofrecer metodologías avanzadas, innovadoras y de alta calidad. Todo ello, con la expectativa de una simulación adecuada de ataques reales contra la entidad como objetivo global.
El red teaming evalúa a las organizaciones y sus estrategias de mitigación de riesgos, detección y respuesta ante amenazas y resiliencia. También identifica sus debilidades y vulnerabilidades para que las corrijan y mejoren sus medidas preventivas. Aunque TIBER-EU es una iniciativa para proyectos con entidades europeas, puede servir de referencia para muchos en todo el mundo. Tanto para quienes ofrecemos servicios como los mencionados, como para quienes los requieren. Fluid Attacks, por ejemplo, es un red team altamente experimentado y cualificado que puede actuar en favor de la ciberseguridad de tu organización. Te invitamos a descubrirlo. ¡Contáctanos!
Blog posts recomendados
Quizá te interesen los siguientes posts similares.
Protegiendo tus TPV de las ciberamenazas
Los siete ciberataques más exitosos contra esta industria
Retos, amenazas y buenas prácticas para los comerciantes
Sé más seguro aumentando la confianza en tu software
En qué consiste y cómo mejora tu postura de seguridad
Ataques complejos basados en la web y medidas proactivas
La importancia de las API seguras en este mundo dominado por apps