Reportes Proactivos de Ciberseguridad

El CERT-PY recibe a diario un gran volumen de feeds de inteligencia de ciberseguridad (threat intelligence feeds) de diversas fuentes de información, tales como Shadowserver, OEA CSIRTAmericas, otros CSIRTs, entre otros. En ese conjunto de datos incluye información sobre indicios de compromiso y de ataques (IoC / IoA)  y de vulnerabilidades, malas configuraciones y/o exposiciones que involucran a IPs y/o dominios paraguayos. Este tipo de indicios son detectados de diversas maneras y compartidos a través de organizaciones de todo el mundo con los CSIRTs nacionales, incluido el CERT-PY.

Las instituciones públicas pueden suscribirse a este servicio, declarando sus IPs públicas, dominios y sub-dominios públicos ante el MITIC, de tal manera a que cuando el CERT-PY reciba algún indicio que involucra a alguna IP o dominio de dicha organización, se envíe una alerta a los responsables de la misma, de manera a que éstos puedan adoptar medidas apropiadas, de manera proactiva.

Es un servicio gratuito; actualmente, sólo está disponible para organismos y entidades del Estado (OEE). Para suscribirse al servicio, el Responsable de Seguridad de la Información (RSI), el Director TIC (DTIC) y/o los funcionarios que éstos designen deben declarar sus IPs públicas (tanto de la DMZ como de salida de navegación de la LAN) y sus dominios y sub-dominios públicos a Internet a través del Módulo de Inventario de Activos TIC del portal https://admin.paraguay.gov.py. OEEs que ya hayan declarado dichos datos, empezarán a recibir automáticamente los reportes.

Los reportes se envían de manera automatizada, con una periodicidad diaria*, a través del Sistema de Gestión de Incidentes del CERT-PY. Cada organización recibirá únicamente los reportes acerca de los eventos que involucren a su propio rango de IPs y dominios. Los reportes se envían por correo electrónico a las direcciones de correo electrónico de los RSI, DTIC y demás funcionarios que tienen acceso al portal Admin-Paraguay

* Obs.: sólo se recibirá un correo si es que en las últimas 24hs se recibió algún evento que involucre a la IP o dominio de la organización.

Es responsabilidad de las organizaciones declarar todas las IPs públicas que corresponden a sus servicios y redes, así como todos los dominios y sub-dominios utilizados. El CERT-PY no podrá enviar reportes de IPs o dominios que no conoce y que no le han sido declarados como activo de una organización en particular. En el caso de servicios alojados en hostings compartidos con terceros, no es recomendable declarar la IP pública, sino únicamente el dominio y sub-dominios.

En general, los tipos de evento que pueden ser reportados son los siguientes:

  • Indicadores de compromiso y/o de ataque: son tipos de reportes que, por lo general, indican que la IP y/o el dominio se vio involucrada en un ataque (o intento de ataque) a terceros, siendo ésto un indicio claro de que existe algún dispositivo comprometido detrás de dicha IP o dominio. Atendiendo que, por lo general, existen múltiples dispositivos detrás de una IP, es necesario realizar un análisis para determinar cuál es el dispositivo afectado y tomar las acciones correspondientes.
  • Vulnerabilidades o exposiciones: son tipos de reportes que indican que algún dispositivo y/o servicio expuesto en la IP o dominio está afectado por alguna vulnerabilidad determinada o por una configuración insegura. No indica que un incidente de seguridad se haya materializado.

A continuación se listan los diferentes tipos de reporte específicos que se puede recibir en el marco de este servicio, así como un enlace con su explicación detallada: