Volvemos con otro post de la serie sobre monitorización de entornos no cooperativos (Introducción, Desarrollo, Procesamiento, Correlación). No nos habíamos olvidado de la serie, sino que no publicábamos el siguiente post para crear interés (a decir verdad, porque no nos había dado tiempo a cerrarlo ;). Esperamos que os guste…
Como decíamos en el anterior post de la serie, aunque ya casi ni nos acordamos de él, una vez hemos analizado las alertas generadas y hemos determinado la presencia de una situación que puede representar un riesgo para la organización, llega el momento de darle valor a nuestro trabajo generando y diseminando una alerta temprana que permita a los actores que deben responder a la amenaza hacerlo lo mejor y antes posible. Debemos ser conscientes de que todo lo que hemos hecho hasta ahora en monitorización de entornos no cooperativos ha sido con la finalidad de detectar situaciones, incidencias, anomalías… que introduzcan o puedan introducir riesgos en nuestro negocio (información, sistemas, personas, reputación…), por lo que la diseminación de información y la respuesta adecuada son especialmente importantes para mitigar estos riesgos; de hecho, esta respuesta es el objetivo final no sólo del sistema de alerta temprana, sino en realidad de todo lo que estamos haciendo para monitorizar entornos no cooperativos.
Según Naciones Unidas y su International Strategy for Disaster Reduction (ISDR), se denomina early warning a “the provision of timely and effective information, through identified institutions, that allows individuals exposed to hazards to take actions to avoid or reduce their risk and prepare for effective response“. Este “early warning” es la integración de cuatro elementos principales:
- Conocimiento del riesgo.
- Monitorización y predicción.
- Diseminación de información.
- Respuesta.
Si somos conscientes de los peligros y evaluamos correctamente los riesgos podremos planificar y priorizar correctamente qué debemos monitorizar para detectar situaciones que puedan comprometer nuestra seguridad (aquí es donde estamos nosotros, monitorizando entornos no cooperativos); si logramos detectar estas situaciones a tiempo, podremos hacer llegar la información necesaria a quien la debe conocer para emprender acciones de respuesta. Si cualquiera de los cuatro puntos anteriores no funciona correctamente, el sistema de alerta temprana en su totalidad deja de ser útil.
¿Cómo generar alerta temprana? Toda información proveniente de entornos no cooperativos que ha sido ya procesada (por ejemplo, normalizada, correlada…) debe ser analizada por un equipo humano. Buena parte de la información en bruto habrá sido eliminada (o sencillamente, reducida) de una u otra forma antes de que llegue a este equipo, con lo que las personas deben analizar un volumen asequible de datos para extraer de ellos lo más significativo; si no somos capaces de llegar a este volumen asequible al que hacemos referencia, o al menos a priorizar convenientemente los datos a analizar, tendremos un problema: la información realmente importante se perderá en un conjunto mucho mayor, con lo que el sistema de alerta temprana disminuirá su calidad hasta dejar de ser eficaz.
Una vez el equipo analista, con los procedimientos e instrucciones técnicas definidas en cada caso (los que sean, pero correctos y ágiles) determina que la información resultado del análisis es constitutiva, con una alta probabilidad, de una alerta temprana, llega el momento de proceder a su diseminación. Hago hincapié en lo de “con una alta probabilidad”, ya que muchas veces estamos trabajando con predicciones que, por supuesto, pueden fallar; como siempre, trataremos de minimizar el número de falsos positivos… pero alguno habrá, y si ese número es lo suficientemente bajo, yo siempre he sido de la opinión -cada maestrillo tiene su librillo- de que es preferible algún falso positivo a un solo falso negativo, en el que la información no llegue a diseminarse y por tanto no se lance una respuesta adecuada.
La diseminación de la alerta debe estar correctamente regulada y normalizada; dicho de otra forma, no podemos permitir que sea el propio analista quien, bajo su punto de vista exclusivo, decida qué hacer en cada caso. Debemos establecer claramente qué información debemos diseminar y a quién y cómo debemos hacerlo mediante los procedimientos operativos correspondientes en cada caso, teniendo siempre presente que para que el sistema de alerta temprana funcione correctamente la información diseminada debe cumplir tres requisitos: debe ser, como su nombre indica, temprana, proporcionando así el tiempo necesario para lanzar una respuesta, fiable (si el receptor no confía en nuestra información, poco tendremos que hacer) y, finalmente, lo más sencilla posible, para que se procese adecuadamente en un tiempo mínimo.
Cuando la generación de alerta temprana se contempla en marcos de intercambio de información globales entre organizaciones, es necesaria la definición de un protocolo de diseminación aceptado por todos los actores; por ejemplo entre CSIRT acreditados en Trusted Introducer es obligatorio aceptar ISTLP, Information Sharing Traffic Light Protocol, que simplemente define un código determinado para la clasificación de la información intercambiada entre centros. Sin embargo, estos protocolos, por supuesto necesarios y muchos de ellos de reconocida eficacia, no siempre entran al detalle suficiente y a veces ni siquiera son de aplicación: no tenemos más que pensar en alerta temprana unidireccional, por ejemplo desde un SOC hacia sus clientes. Por este motivo, y con independencia de cualesquiera protocolos, la organización generadora debe normalizar, como se ha indicado antes, el proceso de alerta temprana.
Una vez definida y diseminada convenientemente la alerta, esperamos una respuesta de nuestros destinatarios: de hecho, pocas alertas se diseminan “para general conocimiento”, sino que cuando las remitimos esperamos que quien las recibe actúe en consecuencia; incluso muchas veces la alerta diseminada va acompañada de instrucciones para actuar al respecto o al menos de directrices para hacerlo. Esta respuesta será, como hemos dicho antes, la pieza clave y el objetivo final de todo el sistema de alerta temprana: a fin de cuentas, trabajamos para evitar problemas, y si los destinatarios de la alerta no son capaces de aprovechar la información que les remitimos (ojo, teniendo la voluntad de hacerlo) algo mal hemos hecho por el camino…
Referencias:
Veronica F. Grasso. Early Warning Systems. State of the art analysis and future directions. United Nations Environment Programme (UNEP). 2009.
ISTLP. https://www.trusted-introducer.org/links/ISTLP-v1.1-approved.pdf