NIST Cybersecurity Framework v2.

0
En el año 2022 el NIST cumplió 50 años de investigación en materia de ciberseguridad,
desarrollando guías de buenas prácticas, estándares, guías de privacidad entre otros recursos. Esto
ha permitido asegurar mejor la tecnología existente y proporcionar una plataforma para el
desarrollo seguro de las tecnologías del futuro.

Dentro de estos recursos podemos encontrar “Cybersecurity Framework” (CSF), una herramienta
muy útil para la reducción de los ciber-riesgos en las organizaciones. El CSF proporciona un
lenguaje común y simplificado, se adapta a muchas tecnologías, fases del ciclo de vida, sectores y
usos. Tiene un enfoque basado en riesgos y se conforma a partir de estándares internacionales,
esto es en parte lo que lo hace altamente reconocido en todo el mundo.

El CSF también está respaldado por múltiples perspectivas, incluyendo la del sector privado y
público, y aportes del sector académico, esto garantiza en cierta forma que se tenga en cuenta
una amplia gama de opiniones y necesidades. Además, ayuda a alinear los requisitos
legales/regulatorios con las prioridades de gestión de riesgos y organizacionales. En resumen nos
ayuda a mejorar la seguridad de los sistemas, datos y operaciones en general.
¿Cómo se utiliza el CSF v1.1?

Un proceso típico de implementación de este framework está conformado por los siguientes
pasos:

Evaluación de riesgos

La organización identifica los activos críticos, amenazas y vulnerabilidades relevantes para sus
operaciones.

Creación de un perfil actual

Se releva el estado actual de las actividades realizadas en materia de ciberseguridad (Procesos,

controles, operaciones) y se vuelca en un “perfil actual”.

Creación de un perfil objetivo

Se crea un perfil que describe los objetivos de ciberseguridad.

Planificar la mejora

Identificada la brecha entre ambos perfiles, se establecen prioridades para mejorar la postura de
seguridad de la organización. Se diseña un plan de mejora según los objetivos de la organización y
la evaluación de riesgo anterior.

Implementación

Se implementa el plan de mejora, se asignan recursos y realizan las actividades planificadas.

Monitoreo continuo y mejora

Se realiza un seguimiento de la postura de seguridad, mejoras continuas a medida que sea

necesario y se repite el proceso.

Este Framework es una herramienta flexible que se puede adaptar a las necesidades de cualquier
organización, independientemente de su tamaño, sector o complejidad. El proceso de
implementación variará según la organización, pero los principios del marco pueden aplicarse en
cualquier contexto para mejorar la postura de seguridad.
Versión 2
NIST ha comenzado el proceso de actualización del CSF, desde el 2018 existe la versión 1.1. En esta
nueva actualización 2.0 se está trabajando sobre la evolución de las amenazas, el mapeo contra
estándares y pretende un formato más simple para permitir a las organizaciones abordar los
riesgos.

En este proceso, nuevamente, se está confiando activamente en la retroalimentación de los

interesados (Comunidad, industria, academia) y buscando diversas opiniones en el proceso de
actualización.

Actividades propuestas y realizadas en el marco de la actualización

Estos son algunos de los potenciales cambios de la nueva versión:

⦁ Reconocer explícitamente el amplio uso del CSF

Sabiendo el amplio uso y relevancia que ha tomado este framework en los últimos años, se
pretende realizar un cambio en el enfoque sobre las organizaciones a las que está dirigido. Desde
el cambio de título, cambio de alcance para no solo incluir infraestructuras críticas o un mercado
en particular sino para todo tipo de organizaciones independientemente del tipo o tamaño de la
misma.

De la misma forma se pretende aumentar la colaboración y el compromiso internacional del

framework.
⦁ Permanecer como un marco, proporcionando contexto y conexiones con estándares y recursos
existentes.

Para la versión 2.0 del CSF no solo se mantendrá el nivel de detalle, también se hará énfasis en
relacionarlo claramente con otros marcos del NIST. Se mantendrán referencias entre estos y otros
marcos de ciberseguridad reconocidos de forma actualizada y disponibles en línea.

Como en la versión actual, se hará especial hincapié en permanecer neutral en cuanto a tecnología
y proveedores, pero reflejando los cambios en las prácticas de ciberseguridad más reconocidas.

https://csrc.nist.gov/projects/olir/informative-reference-catalog

⦁ Incluir orientación actualizada y ampliada sobre la implementación del marco.

Para apoyar a las organizaciones a la introducción del framework, se pretende agregar ejemplos
de implementación para las distintas Subcategorías y el desarrollo de plantillas de Perfiles.

Se prioriza la necesidad de mejorar el sitio web del CSF para destacar los recursos de
implementación y facilitar su uso.

https://www.nist.gov/cyberframework/getting-started

⦁ Enfatizar la importancia de la gobernanza de la ciberseguridad.

Con el objetivo de resaltar la importancia de las tareas de gestión y gobierno alrededor de todo el
proceso de implementación del framework, se propone agregar una nueva Función de
Gobernanza que sea transversal. Se espera que esto también mejore la discusión sobre la relación
con la gestión de riesgos.
⦁ Destacar la importancia de la “Gestión del riesgo de la cadena de suministro”

Para esta nueva versión se pretende poner especial foco e incorporar específicamente la gestión
sobre la cadena de suministros (Cybersecurity Supply Chain Risk Management o CSRC), agregando
subcategorías o categorías completas que lo incluyan.

⦁ Avanzar en la comprensión de la medición y evaluación de la ciberseguridad.

No es fácil para las organizaciones generar mediciones claras alrededor de la ciberseguridad, esta
nueva versión pretende aclarar de que forma el CSF puede respaldar la medición y evaluación de
los programas de ciberseguridad implementados.

Proporcionando ejemplos de medición y evaluaciones, actualizando la guía de medición de

rendimiento NIST en materia de Seguridad de la Información. Además de proporcionar orientación
sobre los distintos niveles de Implementación del Marco.

CONCLUSIONES

Se puede notar que la actualización del Framework de Ciberseguridad (CSF) busca acompañar la
evolución de las amenazas. La priorización de la función de gobierno, la expansión de la cobertura
de la cadena de suministro (impulsada por el notorio foco de los atacantes). Además, se resalta la
importancia mantener la neutralidad tecnológica y de mejorar la relación entre el CSF y otros
marcos de ciberseguridad.

Se espera que estos cambios permitirán a las organizaciones de diferentes sectores, tipos y
tamaños implementar el CSF de manera más óptima y adaptarlo a sus necesidades específicas,
aumentando así la seguridad de todo el ecosistema
 Prueba Hacking Ético Ingeniería en Ciberseguridad – AIEP

Eduardo Alarcón Leal

18.211.910-5

Parte I: Conceptos teóricos del hacking.

1. Un ataque de fuerza bruta es un tipo de ataque que tiene como objetivo la vulneración
criptográfica de las claves de un sistema mediante el ingreso iterativo de todas las posibles
combinaciones de caracteres hasta coincidir con la contraseña buscada.
Los pasos por seguir son (i) determinación del nombre de usuario o usuarios del sistema a
atacar, (ii) determinar si se posee algún hash derivado de un algoritmo de encriptación, (iii)
si el ataque es online (contra login y password) se deben probar todas las combinaciones de
caracteres posibles (considerando las restricciones de caracteres o de longitud). Esto por lo
general posee el inconveniente de que es fácilmente detectado por IDS y excede la cantidad
de intentos permitidos por la mayoría de las aplicaciones. Por otro lado (iv) si el ataque es
offline, es requerido el archivo de nombres de usuario y contraseña y se realiza la fuerza
bruta hasta obtener el hash correcto asociado al usuario.
De todas maneras, siempre es recomendable cotejar el hash con alguna rainbow table para
no sacrificar tiempo y poder de computación en estas tareas.
Algunos tipos de ataques de fuerza bruta son los ataques de diccionario (listas de
contraseñas más comunes).
Ejemplos de herramientas de Kali para este tipo de ataques son John The Ripper y HashCat.
Yo recomiendo John The Ripper si es necesario tener una gran variedad de algoritmos de
encriptación, y HashCat en caso de que se requiera utilizar la GPU en el crackeo de las
constraseñas.
2. BurpSuite es una herramienta que tiene como objetivo analizar, encontrar y explotar
vulnerabilidades en aplicaciones web. Dentro de sus usos encontramos el análisis y
explotación de vulnerabilidades, la interceptación de mensajes HTTP, cambiar el contenido
de los mensajes, entre otros. Esto es posible ya que contiene varias funcionalidades
diferentes que le permiten ofrecer distintos tipos de ataques para testeo de aplicaciones.
Es en ese contexto en que es útil.
3. Una wordlist, como su nombre lo dice, es una lista de palabras utilizada para realizar ataques
de fuerza bruta de diccionario vía iteración.
4. Una reverse shell es conseguir iniciar una sesión de consola remota, explotando alguna
vulnerabilidad para ese efecto por ejemplo el famoso EternalBlue que se aprovecha de la
vulnerabilidad del servicio SMB del sistema operativo Windows para obtener una conexión
remota vía los puertos 139 y 445. Para conseguir una reverse shell en un sitio web podemos
escanear los puertos del servidor víctima cargar un payload .PHP que contenga un puerto
vulnerable y la IP del servidor víctima para luego establecer una conexión vía Netcat.
5. Información útil puede ser sistema operativo del servidor y versión, puertos abiertos,
lenguajes de programación involucrados, subdominios, DNS utilizados, contenidos de los
requerimientos HTTP, datos de las páginas de error, etcétera.
Parte II.

1. Keylogger usando Python.

Es un código malicioso porque al dejar registrada las pulsaciones de teclado puede

comprometerse la confidencialidad de activos de información críticos, dependiendo del
host al que este tenga acceso (como historial de navegación, contraseñas,
conversaciones privadas para extorsión, etcétera). Este simple ejemplo podría
incorporar tecnologías más avanzadas como el ocultamiento de procesos y el
establecimiento de un envío automatizado del archivo de texto keylogs.txt a una red o
mail remoto. Técnicas de ingeniería social podrían ser, por ejemplo, esconder el
ejecutable en un enlace enviado vía sms (smishing) o suplantar la identidad de un
supuesto “empleado de TI” para realizar un mantenimiento del equipo de la secretaria
de una autoridad empresarial.
2. Análisis de inicio de sesión con Burp Suite. El resultado es un desglose de la
comunicación HTTP entre aiepvirtual.cl y el proxy de Burp Suite, para luego constatar
que en la intercepción el proxy toma en texto plano la contraseña, el password y el hash
y se cae.