Red Seguridad 103

red seguridad cuarto trimestre 2023 107 caso práctico diante la tecnología Sirena, y las alertas son traducidas al lenguaje sanitario y atendidas por el CyberSOC de Nunsys. Resultados Uno de los principales logros fue la reali- zación previa de un inventario íntegro en tiempo real de todos los componentes mediante Nozomi y Sirena, autoetique- tando y caracterizando el 95 por ciento de los activos detectados. Con ello se ofrece una primera versión de riesgos y anomalías muy útiles para realizar un análisis de riesgos que refleja la realidad. Tanto el inventario de activos como las amenazas previstas por el Esquema Na- cional de Seguridad y las reales se han configurado en Sirena. Nozomi analiza protocolos (incluido el de equipos médicos como DICOM) y ha permitido detectar equipos no aisla- dos, comunicaciones indebidas y las de mala calidad, uso de dispositivos, hora- rios, anomalías en la operación y tráfico sospechoso, entre otras cosas, a través de múltiples reglas preexistentes, reglas YARA (permite incorporar las que comu- nica el Centro Criptológico Nacional) e indicadores STIX. Infraestructura Con todo ello, se define una infraes- tructura que se puede sintetizar de la siguiente forma: Implantación de tres sondas de captu- ra y envío remoto del tráfico desde dos sedes remotas a través de la tecnolo- gía de Opscura, que complementa la infraestructura reactiva integrada por firewalls , endpoints y otras barreras que impidan la ejecución de ataques sobre la infraestructura. El equipamiento de Nozomi permite, además del análisis y el modelado, la detección de anomalías y vulnerabili- dades. Por ello, la infraestructura se complementa con una capa adicional de software (tecnología Sirena) para incrementar las funcionalidades de la plataforma anterior, “traduciendo” y añadiendo contexto a activos con un lenguaje natural sanitario. La integración se lleva a cabo en la plataforma SIEM centralizada de OSI, en este caso Gloria, para la gestión centralizada de cualquier alerta. Dicha integración permite también investigar las incidencias provenientes de Gloria mediante el sistema especializado de ciberseguridad Nozomi para el estudio y resolución de las incidencias, con todo el contexto extra que proporcio- na Sirena. En último lugar, los equipos de ope- ración de OSI dan el control de toda la infraestructura necesaria para la protección de las infraestructuras bajo el alcance, y Nunsys da apoyo en la administración de las plataformas pro- pias del proyecto, así como el soporte de alto nivel y el servicio mensual de soporte al CISO. ¿Por qué Nunsys? Nunsys Group participa en el consor- cio adjudicatario del reto del Instituto Nacional de Ciberseguridad de crear un CyberSOC para Sanidad, valorado en 1,8 millones de euros, lo que le permite desarrollar tecnología nacio- nal puntera. Además, dispone de una amplia ex- periencia en este tipo de tecnologías, dado que ha conseguido adelantarse a las necesidades del sector, creando un bundle único de soluciones que trabajan en común: Opscura más Nozomi más Si- rena más ERIS-CERT. Caso de éxito La Conselleria de Sanitat ha consegui- do ampliar de forma considerable las capacidades de su tecnología existen- te, aumentando la seguridad para el intercambio de información. La implan- tación de las sondas y el CyberSOC ver- tical han dotado de una automatización industrial el sistema anterior, para con- tar así con una detección y alerta tem- prana de alto nivel. Como señala el dicho popular, “no hay más ciego que el que no quiere ver”. Aplicado a este caso, podemos decir que, si no analizas el tráfico IT/OT/ IoMT, nunca sabrás lo que pasa en tus sistemas.