Cuando hablamos de Ciberseguridad Defensiva nos referimos a la labor de los equipos BlueTeam, pero pocas veces se explica en qué consiste su trabajo o cómo trabajan. Así que en este artículo vamos a explicar qué es un CSIRT, por qué son tan importantes, y en qué consiste el trabajo de Blueteam en un CSIRT.
¿Qué es un CSIRT?
CSIRT (Computer Security Incident Response Team) es el acrónimo en inglés de Equipo de Respuestas ante Incidentes de Seguridad en Ordenadores. Originalmente se definieron con el término CERT (Computer Emergency Response Team), pero como los norteamericanos son tan listos, registraron ese término y sólo lo pueden usar ellos a través del CERT Coordination Center o CERT/CC. Por ese motivo, en Europa adoptamos el término CSIRT, que es como los conocemos. Ambos términos son lo mismo.
Debido a la cantidad de ataques informáticos, nuevas amenazas, fallos de seguridad tanto de sistemas como de aplicaciones, que dan origen a paradas de sistemas o/y robos de información, fueron creados los CSIRT precisamente para dar respuesta a todos esos incidentes de seguridad informática. Su labor principal es, por tanto, recibir, analizar y responder ante los incidentes recibidos desde las comunidades colaboradoras, otros CSIRT, empresas o personas que lo soliciten, coordinando las diferentes respuestas.
Como su nombre indica, coordinan las respuestas ante incidencias de seguridad. Esta labor es reactiva, porque se actúa cuando el hecho ha sucedido. Entre las acciones a realizar, están el análisis del malware, investigar cómo se produjo el ataque, ayudar a restituir el sistema caído, y gestionar las vulnerabilidades detectadas.
Sin embargo, en los últimos años las amenazas se han convertido en auténticos ataques y esto ha provocado que se pase a un plano mucho más preventivo. Así, nos encontramos que los CSIRT además se encargan de buscar y analizar vulnerabilidades, realizar auditorías de seguridad, desarrollar herramientas que ayuden a incrementar la seguridad informática de las empresas y organizaciones, y por supuesto, comunicar y avisar de cualquier evento o información relacionada con la seguridad informática.
En España, los CSIRT se engloban bajo CSIRT-ES e incluyen diferentes grupos que gestionan las incidencias en las diferentes comunidades y en ámbito estatal. Así, nos encontramos al CCN-Cert del Centro Criptológico Nacional, el BCSC (Centro Vasco de Ciberseguridad), CESICAT-CERT en Catalunya, CNPIC para infraestructuras, CSIRT.gal en Galicia, CSIRT-CV en la Comunidad Valenciana, CSIRT CARM en la región de Murcia, el OSSI-CERT SERMAS del servicio madrileño de Salud. Así mismo, tanto la Guardia Civil como demás FFCC de seguridad del Estado disponen de sus propias unidades CSIRT, como la UIT de la Policía Nacional. El propio Ministerio del interior dispone del Instituto nacional de Ciberseguridad INCIBE a través de INCIBE-CERT.
La importancia del BlueTeam
Dada la naturaleza del CSIRT y su gestión de respuestas ante incidencias, nos encontramos que esta es un área donde los técnicos Blueteam tienen mucho que aportar. Como hemos mencionado anteriormente, se ha pasado del análisis y respuesta una vez se producía la incidencia, a un papel más preventivo. No sólo se limitan a crear avisos de seguridad y gestionar los incidentes, sino que diseñan herramientas de seguridad, dan recomendaciones para prevenir ataques y ponen a disposición de la comunidad la información recogida para que otros puedan saber reconocer y mitigar ataques futuros.
Y es que la importancia de la ciberseguridad es cada vez mayor en una sociedad cada vez más informatizada y dependiente de la tecnología. Por ese motivo, en CODE SPACE Academy formamos a nuestros alumnos tanto en saber proteger y monitorizar sistemas informáticos, como saber dar respuesta a incidentes de seguridad y prevenir ataques informáticos, como es el caso de nuestro curso de seguridad informática BlueTeam para defensa y respuesta ante incidentes de seguridad.
Si quieres más información sobre este Bootcamp puedes contactarnos.
¿Estas preparado?