En esta tribuna, Juan de la Vara, Senior Manager Solution Architects de EMEA SEUR, Infoblox, explica por qué la seguridad DNS supone una parte esencial de la reducción de riesgos de NIS2.
La mayoría de los sectores de la economía a nivel mundial, incluidos los de salud, finanzas, energía, y muchos otros, se han vuelto extremadamente dependientes de las tecnologías digitales. La transformación digital ha aumentado la amplitud, profundidad y velocidad de la penetración de las tecnologías digitales en la vida cotidiana, al tiempo que las ciberamenazas continúan aumentando, con ataques cada vez más sofisticados, perpetrados por organizaciones muy poderosas, a menudo respaldadas por estados.
Para hacer frente a estos nuevos retos, la Unión Europea ha promulgado recientemente la Directiva NIS2, que sustituye a la anterior Directiva NIS e introduce un nuevo estándar de ciberseguridad en toda la Unión Europea. Los Estados miembros tienen hasta octubre de 2024 para aplicar esta directiva en sus respectivos territorios, y afecta a una gama muy amplia de sectores y servicios que son vitales para la economía y la sociedad, como la energía, el transporte, la salud, la banca y las infraestructuras digitales.
¿Como puede DNS Detection & Response ayudar a cumplir NIS2?
La directiva NIS2 tiene como objetivo reforzar la postura de seguridad de determinados sectores, servicios e infraestructuras críticas que proporcionan o de los que dependen redes de comunicaciones y sistemas de información, que están cada vez más expuestos a ciberamenazas e incidentes de seguridad. Para ello, NIS2 contempla una serie de medidas de gestión de riesgos de ciberseguridad y obligaciones de presentación de informes que estas organizaciones deben cumplir, así como mecanismos de supervisión y aplicación por parte de los Estados miembros, así como determinadas sanciones por incumplimiento de estas obligaciones.
Las organizaciones de estos sectores deberán adoptar soluciones efectivas y eficientes que ayuden a proteger sus redes y sistemas de información, detectar y responder a amenazas cibernéticas y cumplir con los requisitos regulatorios. Una de esas soluciones es la Detección y Respuesta basada en DNS (DNSDR), que aprovecha el poder de los datos y análisis de DNS para proporcionar información integral y procesable sobre la actividad y la postura de seguridad la organización.
DNSDR permite a las entidades detectar, investigar y responder a amenazas cibernéticas, especialmente aquellas que apuntan a redes y sistemas de información, como malware, ransomware, exfiltración de datos, phishing y otras amenazas. DNSDR también puede ayudar a las entidades a cumplir con sus obligaciones NIS2, como garantizar un alto nivel de seguridad, informar incidentes y gestionar los riesgos de la cadena de suministro, al proporcionar visibilidad mejorada, inteligencia sobre amenazas, automatización y capacidades de integración. Al adoptar DNSDR, las entidades pueden mejorar su resiliencia y rendimiento de ciberseguridad y proteger mejor sus activos y servicios críticos para ayudarlos a cumplir con la Directiva NIS2.
La relevancia de DNS a la hora de lograr una postura de seguridad sólida en estas organizaciones es evidente para los expertos comunitarios en ciberseguridad, como componente crítico de Internet, como demuestra el hecho de que DNS es mencionado 23 veces en el texto de la directiva. Esta norma pone el énfasis en que un sistema de nombres de dominio fiable, resiliente y seguro es esencial para el funcionamiento de Internet, que es la columna vertebral de la economía y la sociedad digitales. Desde una perspectiva de ciberseguridad, DNS ofrece un punto de vista único para la detección de amenazas, ya que permite monitorizar no solo los dispositivos sino también la infraestructura de la red.
La seguridad DNS, parte esencial de la reducción de riesgos de NIS2
El Centro Nacional de Seguridad Cibernética (NCSC) de Reino Unido ha emitido importantes recomendaciones para que las empresas y AA.PP. utilicen DNS para securizar y proteger activos de TI y redes de comunicaciones. Ha recogido todas estas recomendaciones y mejores prácticas en un marco de trabajo de evaluación de riesgos cibernéticos denominado Cyber Assessment Framework (CAF). La Agencia de Seguridad Nacional (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) norteamericanas publicaron un informe conjunto sobre ciberseguridad Informe de información (CSI) que contenía una orientación sólida similar sobre la importancia de seleccionar un sistema de protección de nombres de dominio (PDNS).
Proteger DNS es crítico porque los actores de amenazas utilizan el sistema de nombres de dominio como parte de la cadena de suministro de sus ataques, ya sea para infiltrarse en los sistemas de información, tomar el control remoto de los sistemas o ejecutar otros ataques de malware. Sin embargo, el DNS no ha estado en el foco de atención de los controles de seguridad hasta los últimos años y muchas organizaciones tienen una protección mínima en esta área.
Por ello disponer de inteligencia sobre amenazas es una parte esencial del mix defensivo. La inteligencia sobre amenazas proporciona repositorios actualizados de nombres de host, dominios y direcciones IP maliciosos, que se pueden usar para que los servidores DNS de la organización puedan detectar y bloquear comunicaciones de comando y control (C&C) a destinos maliciosos.
Técnicas avanzadas como análisis de comportamiento y el aprendizaje automático en consultas DNS en tiempo real puede detectar y detener rápidamente una variedad más amplia de tipos de ataques. (incluidos túneles DNS “zero day”, DGA, exfiltración de datos, Fast Flux, dominios similares, etc.). La visibilidad es esencial en todo momento, antes, durante y después de cualquier actividad potencialmente maliciosa. También mencionar que la inteligencia sobre amenazas también es un componente básico de cualquier estrategia de seguridad Zero Trust.
Por último, no se puede olvidar la importancia de la automatización para minimizar el impacto de cualquier ataque. Reducir al mínimo el tiempo que dura el ataque es la clave para minimizar este impacto. Por ello, los departamentos de TI responsables de las operaciones de ciberseguridad necesitan que toda la infraestructura responda de forma ágil y rápida y ello solo es posible mediante automatización.
Volviendo a la directiva NIS2 y como resumen, comentar que su objetivo final es mejorar la postura de ciberseguridad de sectores y servicios críticos, con requisitos y sanciones estrictos en caso de incumplimiento. Como contemplan los textos de la directiva, DNS es una pieza clave en la gestión de la ciberseguridad y las soluciones de detección y respuesta basadas en DNS (DNSDR) útiles, ya que aprovechan los datos y análisis de DNS para detectar, investigar y responder a amenazas cibernéticas, especialmente aquellas que apuntan a redes y sistemas de información.
Por tanto, DNSDR ayuda a abordar la gestión de riesgos NIS2 y a cumplir con las obligaciones de ciberseguridad que marca la directiva, como garantizar un alto nivel de seguridad, informar de incidentes y gestionar los riesgos de la cadena de suministro. Los beneficios que aporta DNSDR incluyen visibilidad mejorada, inteligencia sobre amenazas, automatización e integración, lo que permite a las entidades proteger mejor sus redes y sistemas de información contra ataques cibernéticos y reducir el impacto de un eventual ataque.