• Tweet

CERTs miembros de la comunidad europea, aún no son lo suficientemente proactivos para detectar y prevenir amenazas, requieren mejorar el intercambio transfronterizo de datos y la cooperación para ser más eficaces en el futuro, señala el más reciente informe de la Agencia de Seguridad de la Unión Europea, Enisa.

El reporte de "Detección proactiva de incidentes de seguridad de red", resaltó varias deficiencias de muchos CERT's de la región, los cuales han estudiado, incluyendo los informes no reportados de DDoS y ataques dirigidos, la falta de automatización, análisis de sandbox, despliegues de honeypots y problemas de calidad de datos.

"El estudio ha identificado que actualmente los CERT's no utilizan todas las posibles fuentes externas a su disposición, a pesar de su amplia disponibidad y relativa facilidad de uso,  y del hecho de que muchos CERT's declaran estar dispuestos a adoptar nuevas fuentes de información", encontró el reporte.

"Similarmente, un gran número de CERT's no recopilan datos de incidentes de otros grupos. Incluso aquellos que lo hacen, comúnmente no comparten la información con otros CERT's. Esta es un área de interés, en el que el intercambio de información es la llave para el combate efectivo del malware y actividades maliciosas, además es extremadamente importante hacerlo en un ambiente transfronterizo".

El reporte hace recomendaciones para cada una de las 16 deficiencias que rsobresalen en el proceso de detección de incidentes, incluyendo la mejora de la calidad de los datos mediante la detección de falsos positivos; asignando indicadores de validez a los flujos de información.

Junto con las cuestiones técnicas, también se descubrieron cuestiones legales y organizacionales.

Datos como direcciones IP, URL's y marcas de tiempo, las cuales son parte importante en cualquier reporte de incidente, son en muchas jurisdicciones y contextos consideradas como información personal, y por tal motivo sujetas a ciertas condiciones legales, de acuerdo con Enisa.

"Esto no solamente impacta la posibilidad de compartir información con otros, sino que en algunos casos significa que los CERT's no son capaces de recibir información de terceros", dijo el reporte.

"De hecho, durante la junta del grupo de expertos, algunos proveedores reportaron que ellos han experimentado casos donde los CERT's se niegan a recibir datos de incidentes concernientes a sus áreas debido a consideraciones legales."

Enisa dijo que pronto hará otro estudio en esta área específica.