domingo, 16 de marzo de 2008

CERTs, CSIRTs, etc


Al ver los videos del post anterior, pensé en buscar un poco más de información sobre CERTs. He usado muchas veces este término, he tenido noticia de algunos de ellos, pero nunca me había puesto a hurgar para buscar información en profundidad. Este post es una introducción, a modo de artículo, a lo que hacen, cuáles son conocidos, qué organizaciones hay a nivel europeo y mundial, etc.

De qué hablamos

Hoy día se utilizan los términos CERT (Computer Emergency Response Team) y CSIRT (Computer Security and Incident Response Team) de forma indiferente, para denominar a aquellos grupos dedicados a estudiar problemas de seguridad (vulnerabilidades) en Internet, proporcionar servicios a entidades que han sido atacadas, así como divulgar avisos de seguridad. Además, proporcionan información que contribuye a mejorar la seguridad de los equipos y redes de las comunidades a las que prestan servicio.

Los servicios concretos que da un CERT, cómo contactar con él, de quién depende, a qué comunidad se dirigen sus servicios etc, está definido en una "carta de constitución", que tiene cada uno. El RFC 2350 es un modelo a seguir para una organización que constituye un CERT. Se puede ver un ejemplo aquí.

CERTs en España

Existen ya varios de estos centros de este tipo en España, tanto públicos como privados. Entre los públicos, destacan los universitarios IRIS-CERT y esCERT. También dos creados en el año 2007, que son el CCN-CERT del Centro Criptológico Nacional, con el fin de dar servicios a las Administraciones Públicas, y el creado por INTECO (Instituto Nacional de Tecnologías de la Comunicación), dirigido a particulares así como a pequeñas y medianas empresas. También existen centros a nivel autonómico.

Los privados corresponden a empresas del sector de la seguridad informática, o a entidades privadas grandes, como es ejemplo el Cert de La Caixa (e-LC CSIRT). Este cert cubre aquellos problemas que podrían afectar a la propia entidad y a sus clientes, en transacciones realizadas online.

¿Y en el mundo?

La labor de un CERT no sería efectiva sin la colaboración con los demás. Ya en 1989, cuando se creó el primer cert del mundo, el CERT/CC, quedó clara la necesidad del trabajo en equipo, por lo que en 1990 fue creado el Forum of Incident Response and Security Teams (FIRST).



Asociados en el FIRST hay ahora mismo 192 equipos de respuesta a incidentes, en 41 países, principalmente en Europa (Alemania tiene 16, Reino Unido 17) y Estados Unidos (62). La mayoría de los países está más o menos al nivel de España, que tiene registrados 4 equipos.

Con este organismo suele colaborar otro a nivel europeo, TERENA, con varias iniciativas, como son su grupo de trabajo TF-CSIRT, y Trusted Introducer. Esta última proporciona servicios a equipos acreditados, como son foros y listas de discusión, compartición de información, etc.

A nivel gubernamental en la UE, la ENISA (Agencia y Red Europea para la Seguridad de la Información), está planificando la creación de un programa, denominado “Sistema Europeo de Alertas e Información Compartida” (EISAS), que aúne los esfuerzos que realizan los centros de alerta de los países de la UE, así como los hechos por los departamentos de delitos informáticos de la Policía de cada país.

Esta misma organización tiene otros proyectos interesantes, como es una guía para poner en marcha tu propio CERT, ejemplos incluidos.



Conclusión

Los servicios de los centros de respuesta a emergencias son aún poco conocidos por los profesionales de la informática, y menos aún por otros tipos de usuarios, debido a que hasta hace poco tiempo, los únicos que había españoles eran de ámbito universitario. Queda aún mucho trabajo por divulgarlos, por ejemplo entre PYMEs, como es el objetivo de Inteco. Las iniciativas realizadas a nivel español y europeo, hacen pensar que este tipo de servicios tendrá un crecimiento elevado a medio plazo.

Referencias

RFC 2828: Internet Security Glossary
RFC 2350: Expectations for Computer Security Incident Response
Forum of Incident Response and Security Teams (FIRST)
ENISA: European Network and Information Security Agency



Intentaré ampliar la información puesta aquí, con lo que vea en la guía antes mencionada, y con lo que lea en este otro libro que he encontrado: "Handbook for security incident response teams (CSIRTs)".

Slds!

1 comentario:

Anónimo dijo...

Hola,

Si te interesa, puedes encontrar más información sobre los CERTs/CSIRTs españoles en http://www.csirt.es/.

Saludos