Habitualmente ocurre en las organizaciones que se implantan varias soluciones de seguridad de diferentes fabricantes. Cada fabricante construye su propio ecosistema de interrelación entre los dispositivos de su propia marca. De esta forma, crean una “isla” difícil de comunicarse con otros ecosistemas de otros fabricantes. La situación ideal sería que si, por ejemplo, se detecta una amenaza tras la detonación de un ejecutable en el sandbox, el hash del archivo se bloquee en la protección de endpoint para que ningún equipo de la organización pueda ejecutarlo, así como que la IP origen de la misma se bloquee en los diferentes niveles de cortafuegos de la organización, el hostname del servidor de command and control se bloque en el proxy, el NAC coloque en una VLAN de cuarentena al equipo afectado, etc.

A esto lo llamamos retrointeligencia: el uso de los Indicadores de Compromiso (IoC) detectados en un elemento de seguridad concreto para alimentar el resto de plataforma, que, por sus diferentes características, tecnología, fabricante, lugar en la red, etc. no ha podido detectar dicha amenaza, y que a partir de ese momento sea capaz de bloquearla.

P3-CERT, el equipo de respuesta ante incidentes de ciberseguridad de Perseus, recoge los diferentes IoC en su formato origen, los normaliza, agrega, elimina duplicados y obsoletos, y los exporta en diferentes formatos de salida para que puedan ser consumidos por los diferentes dispositivos de seguridad en un formato que cada uno de ellos pueda entender. De este modo, estos IoCs se utilizan para bloquear directamente una amenaza, automatizando así la respuesta ante incidentes y evitando infecciones.

Equipo P3-CERT

Nuestro Equipo de Respuesta ante Emergencias de Ciberseguridad (CERT, del inglés Computer Emergency Response Team) es el responsable del desarrollo de medidas preventivas y reactivas ante incidentes de seguridad en los sistemas de información.

Nuestro CERT estudia el desarrollo del estado de la ciberseguridad y seguridad de la información. Además, proporciona servicios de respuesta ante incidentes a víctimas de ataques en la red, publica alertas relativas a amenazas y vulnerabilidades, y ofrece información que ayude a mejorar la seguridad de estos sistemas.

CERT es un término protegido registrado en EEUU por CERT Coordination Center (CERT/CC). PERSEUS cuenta con la acreditación indicada para la prestación de este tipo de servicios.

Las funciones básicas de un CERT consisten en:

  • Punto de contacto de confianza ante incidentes de ciberseguridad
  • Fuente de información y conocimiento ante incidentes
  • Coordinación de incidentes
  • Actuar como proxy en el reporte de incidentes