CIS presenta el Community Defense Model 2.0

El CIS o Center for Internet Security es un organismo internacional que se encarga de estudiar fenómenos relacionados con la seguridad informática (ciberataques, patrones de comportamiento, nuevas tecnologías…) y, en base a ellos, desarrolla una serie de guías para ayudar a los defensores a mejorar la solidez de sus programas e implementar medidas eficaces de protección.

Quizá conozcas (y si, no, deberías) frameworks como CIS Controls v8, cuyo objeto es presentar una serie de medidas que implementar para proteger nuestros activos empresariales. El modelo de defensa del que hablo hoy, bebe en parte de este framework, aunque persigue otro objetivo:

El CIS Community Defense Model v2.0 puede utilizarse para diseñar, priorizar, implementar y mejorar un programa de ciberseguridad corporativa. […]El CDM aprovecha la disponibilidad de resúmenes de eventos de ataque y otros elementos de la industria como el modelo MITRE ATT&CK.

Center for Internet Security

Así que tenemos la combinación de un framework como CIS Controls, con otro como el archiconocido MITRE ATT&CK, que recoge tácticas de adversario, técnicas y procedimientos, además de conocimiento común).

Este modelo se enfoca de forma concreta en las tácticas o pasos llevados a cabo por un atacante en cada fase de la conocida como Kill Chain (cyber kill chain)

CIS Defense Model, un pilar para tu plan de ciberseguridad

Este recurso está destinado a administradores de programas de ciberseguridad, CISO y consultores que tomen partido en la otma de decisiones y evaluación de efectividad del mismo.

Según expresa CIS, se persigue el objetivo de aportar más rigor, análisis y transparencia a las recomendaciones clásicas de CIS Controls. Está claro que combinar técnicas y tácticas de ataque con los respectivos patrones defensivos era el siguiente paso natural.

CIS Safeguards

El framework ATT&CK ya incorpora lo que denominan Mitigations (mitigaciones), sin embargo, la cobertura ofrecida en el trabajo del CIS es bastante mayor, dado que ATT&CK ofrece 42 mitigaciones, frente a los 153 CIS safeguards.

El Community Defense Model se basa en CIS Controls v8 (empezó con 7.1) y tiene una división según el grado de complejidad y cobertura:

• IG1 o Essential Cyber Hygiene: Defensa frente a los 5 principales ataques (según estadística confiable) movilizando los procesos y herramientas acorde. Es el nivel de entrada para cualquire empresa, especialmente recomendado para aquellas sin personal en ciberseguridad o con escasos recursos.
• IG2: enfocado a empresas de tamaño promedio y con otras necesidades, sobre todo en cuanto a distintos departamentos con perfiles de riesgo heterogéneos, más complejidad en su implementación y diseño.
• IG3: destinado a organismos con departamentos con solvencia en cyberseguridad, presupuesto y necesidades más concretas o exigentes, sobre todo a nivel de compliance.

¿Cómo se ha llegado a este modelo?

El CDM fue construido siguiendo unos pasos, descritos a continuación.

1. Tomando informes de dominio público como Verizon DBIR y otras fuentes similares, para identificar las 5 principales categorías de ataque: malware, ransomware, hacking de aplicaciones web, mala utilización y ataques tipo Insider e Intrusiones dirigidas.
2. Para cada tipo de ataque, se revisó el patron correspondiente (conjunto de técnicas del modelo ATT&CK halladas) para desplegar las tácticas empleadas.
3. Luego, se identificó el valor en cuanto a la seguridad para cada uno de los CIS Safeguards en los CIS Controls, frente a las técnicas encontradas en cada ataque..
4. Por último, se regresó para examinar el valor en términos de seguridad (mitigaciones de ataque) tras implementar los sub-contorles comprendidos en los Controles CIS.

Puedes descargar el CDM 2.0 en cualquiera de los enlaces a continuación.