La seguridad de la identidad explicada en la ley belga NIS2

Índice del Contenido

Comparte este artículo:

Bélgica fue el primer país europeo en transponer la NIS2 a la legislación nacional, en abril, a través de su “Ley NIS2”Esto los diferenció, de manera positiva, de sus vecinos franceses, holandeses y alemanes, todos ellos en una fase tardía del proceso de transposición debido a la inestabilidad política.

Paralelamente, el CCB (Centro de Ciberseguridad de Bélgica), la agencia local encargada de hacer cumplir el cumplimiento de NIS2, ha publicado el Seguridad en la web en el trabajo Iniciativa que establece un marco detallado y práctico de todas las medidas que exige la ley, en función del tamaño de la organización y su sector de actividad.

Después de analizar las recomendaciones del CCB, esta entrada del blog analiza los principales requisitos que se aplican a seguridad de identidad, que todas las entidades belgas “esenciales” e “importantes” deberán implementar. También destacaremos cómo Silverfort Puede ayudar a estas organizaciones a lograr el cumplimiento de estas medidas.

El enfoque del CCB se basa principalmente en Marco de trabajo del NIST CSF, que identifica 5 funciones básicas para la seguridad de los sistemas de información: identificar, proteger, detectar, responder y recuperar. La ley NIS2 en Bélgica exige una inversión en cada función proporcional al tamaño e importancia de cada entidad. También encontramos en el marco Safeonweb@work numerosas referencias a las normas ISO27001 e ISO27002, que establecen medidas eficaces para diseñar y reforzar la seguridad de los sistemas de información. Estas normas han alcanzado reconocimiento mundial y constituyen una base sólida sobre la que cualquier organización puede construir un programa de ciberseguridad.

Protección: Requisitos de NIS2

Cada una de las cinco funciones del marco NIST tiene un componente de identidad. Sin embargo, en las recomendaciones del CCB, los capítulos sobre protección y detección son claramente los más relevantes. El primero incluye incluso una sección completa (PR.AC) dedicada a la gestión de identidades. autenticación, y controles de acceso. Los expertos en identidad encontrarán en él las principales medidas relativas a la seguridad de directorios y usuarios.

Cabe destacar que en el nivel de aseguramiento “básico” del anexo A del documento Safeonweb@work, que se aplica a todas las entidades sujetas a la NIS2 independientemente de su tamaño o nivel de importancia, más de la mitad de las medidas “clave” proceden precisamente del apartado PR.AC. Por ello, resulta difícil destacar hasta qué punto la identidad pesa en el marco de aseguramiento de los sistemas de información del CCB.

Por lo tanto, encontramos en estas medidas clave requeridas para todas las entidades sujetas a NIS2:

  • Gestión adecuada de usuarios y credenciales, que abarca la concesión y revocación de derechos de acceso, auditorías periódicas, autenticación sobre sistemas críticos y detección de comportamientos sospechosos (PR.AC-1).
  • Protección de accesos remotos y aplicaciones SaaS con MFA (PR.AC-3).
  • Poner en marcha privilegios mínimos en derechos de acceso, particularmente hacia sistemas sensibles o críticos, y separando cuentas personales y administrativas (PR.AC-4).
  • Seguridad de redes y segmentación de sistemas críticos (PR.AC-5).

También se exigen medidas adicionales para las entidades bajo el nivel de garantía “Importante” o “Esencial” (en los anexos B y C), incluidos requisitos en torno a la identificación y gobernanza de los accesos remotos (PR.AC-3), un monitoreo más estricto de las conexiones y comunicaciones en torno a los límites externos e internos clave (PR-AC-5), una evaluación de riesgos documentada y la implementación de controles de acceso proporcionales al riesgo de cada transacción (PR.AC-7, solo en el nivel de garantía “esencial”).

En concreto, ¿qué implican estas medidas? La respuesta varía según el tamaño y el nivel de importancia de cada entidad. Pero en general, el enfoque del CCB es pragmático y solo requiere herramientas que ya son habituales en los entornos empresariales.AMI Plataformas, firewalls, MFA). Probablemente será necesaria una inversión adicional para las entidades esenciales que operan sistemas heredados, ya que estos no son compatibles de forma nativa con los productos de seguridad modernos. Aparte de eso, solo las empresas rezagadas desde el punto de vista de la ciberseguridad realmente necesitarán adquirir nuevas tecnologías.

Más allá de la sección PR.AC, los controles de acceso también aparecen en medidas diseñadas para proteger los datos en reposo (PR.DS-1), prevenir la pérdida, el uso indebido, el daño o el robo de activos organizacionales (PR.DS-3) y las fugas de datos (PR.DS-5). También se recomiendan auditorías periódicas, con Active Directory mencionado explícitamente (PR.DS-5) – para detectar configuraciones incorrectas de privilegios que podrían abrir una vía de ataque.

Por último, los requisitos relacionados con el mantenimiento de la integridad de los sistemas críticos (PR.DS-6) y la mitigación de los riesgos relacionados con el mantenimiento remoto (PR.MA-2) probablemente implican la grabación de sesiones para accesos privilegiados.

Detección Requisitos de NIS2

La función “Detectar” de la iniciativa Safeonweb@work también incluye varios artículos relacionados con el campo de la identidad. No es de extrañar que estos reflejen con bastante precisión las recomendaciones que aparecían en la función “Proteger”.

La agregación de datos de eventos (DE.AE-1 y 3) aparece en primer lugar como una medida “clave”, con especial atención a los sistemas críticos. Estos datos deben provenir de múltiples fuentes, incluidos los accesos físicos y los informes de usuarios y administradores.

Las organizaciones están especialmente llamadas a monitorear sistemas críticos para detectar conexiones locales, de red o remotas no autorizadas (DE.CM-1), tanto de personal interno como de proveedores de servicios externos (DE.CM-3, DE.CM-6 y DE.CM-7). Estos esfuerzos implican herramientas de vigilancia a nivel de red y endpoint. Algunos podrían incluso sugerir ir un paso más allá con plataformas de protección integral que abarquen puntos de acceso y controladores de dominio, combinando así EDR con ITDR.

En general, estas medidas reflejan los requisitos planteados en la función “Protección” contra actividades maliciosas (PR.DM y PR.MA), diseñada para bloquear fugas o daños en los datos.

¿Cómo le puedo Silverfort ¿Ayuda con el cumplimiento de NIS2?

Silverfort puede ayudar a cumplir con muchos de estos requisitos. En tan solo un mes y sin realizar grandes cambios en su infraestructura, nuestra plataforma puede:

  • PR.AC-1 :
    • Identificar cuentas compartidas
    • Identificar cuentas obsoletas
    • Identificar cuentas con contraseñas antiguas
    • Proteja los accesos a sistemas críticos, incluidos los heredados o locales, con MFA (compatible con Microsoft Authenticator, Okta, Ping, dúo, Yubico y más) o con políticas dinámicas basadas en riesgos

SilverfortLa pantalla ITDR de detecta un Administrador en la sombra, destacando los riesgos de acceso privilegiado ocultos en tiempo real.
  • PR.AC-3 :
    • Alertar o bloquear cualquier intento sospechoso de acceso remoto
    • Proteger accesos remotos (RDP, SSH), interfaces de línea de comandos (Powershell, PsExec, WMI) y aplicaciones SaaS o locales con MFA
  • PR.AC-4 :
    • Identificar y monitorear todas las cuentas genéricas y compartidas
    • Identifique y monitoree todas las autenticaciones a recursos compartidos de archivos, servidores, aplicaciones, bases de datos, etc., incluso cuando se encuentran en las instalaciones.
    • Identificar y monitorear todos cuentas privilegiadas, incluidos administradores de sombra y administradores de dominio
    • Detectar y/o bloquear todas las autenticaciones que infrinjan los principios de niveles (como cuentas personales o dispositivos para tareas administrativas, o viceversa)
    • Establecer políticas de acceso condicional adaptables para cuentas y herramientas administrativas que tengan en cuenta factores geográficos, temporales o de comportamiento.

  • Formulario DS-5 :
    • Establecer políticas de acceso granulares a todos los sistemas y aplicaciones críticos, incluso locales.
    • Supervise y bloquee todos los accesos maliciosos a sistemas críticos, incluidos los locales.
    • Auditoría Active Directory Para detectar el aumento de privilegios y las configuraciones incorrectas
  • Formulario DS-7 :
    • Bloquear autenticaciones que violen la integridad de los entornos de producción o prueba.
    • Restringir los privilegios de las cuentas administrativas a entornos o aplicaciones específicos

Ejemplo de política para detener movimiento lateral mediante la implementación del mínimo privilegio para la gestión remota de servidores de Application X en PROD. 
  • PR.MA-2 :
    • Supervisar y restringir los derechos de acceso de proveedores externos a entornos o aplicaciones específicos
    • Proteja los accesos remotos de proveedores externos o socios con MFA
    • Bloquee todos los intentos de secuestrar cuentas de proveedores o socios externos o cualquier comportamiento inusual

Política de ejemplo en Silverfort Para activar MFA con cuentas de nivel 1 para acceso remoto
  • DE.AE-1 :
    • Registrar todo Active Directory autenticaciones, incluidas sus fuentes, destinos, protocolos y marcas de tiempo
    • Calcular una puntuación de riesgo dinámica para todos Active Directory Cuentas y autenticaciones
  • DE.CM-1 :
    • Detectar y bloquear cualquier autenticación no autorizada en Active Directory o en cualquier otro directorio compatible (PAM, RADIO, Entra ID, Okta, Ping…).
  • DE.CM-7 :
    • Detectar y bloquear cualquier acceso de personal no autorizado a sistemas críticos
    • Detectar y bloquear cualquier acceso de software no autorizado a sistemas críticos

¿Vale la pena superar las expectativas?

A menudo, la iniciativa Safeonweb@work sugiere medidas adicionales que contribuirían a proteger los sistemas de información (mediante el uso habitual de la palabra “considerar”), sin que necesariamente sean obligatorias. También omite algunas medidas de higiene simples y comunes que otros organismos, como La ANSSI en Francia, han insistido con más fuerza.

En esta categoría podemos mencionar la estratificación de sistemas o usuarios críticos. El CCB exige el uso de cuentas separadas para tareas personales y administrativas (PR.AC-4), así como la segmentación de la red (PR.AC-5), pero no obliga a disponer de estaciones de trabajo dedicadas (PAW) o sistemas operativos para acciones administrativas, lo que ayudaría a evitar ciertos tipos de ataques como el Pass-the-Hash.

Otro ejemplo: el CCB recomienda utilizar cuentas de servicio para procesos automatizados (PR.AC-1). Sin embargo, no prohíbe a los administradores ejecutar tareas automatizadas utilizando sus propias cuentas, ni prohíbe utilizar cuentas de servicio para acciones que se desvíen de su propósito previsto.

Estas podrían ser oportunidades perdidas para las organizaciones belgas, en particular las entidades "esenciales" según NIS2, que futuros atacantes podrían explotar con éxito. El CCB claramente intentó sopesar los beneficios de seguridad y la financiero o los costos operativos que implica cada decisión que toma. El resultado sigue siendo sólido y claramente eleva el listón para muchas organizaciones locales que hasta ahora habían descuidado su postura de seguridad. Sin embargo, no inmunizará al país contra los ciberataques más sofisticados que se han multiplicado en los últimos años.

¿Quieres saber más sobre cómo Silverfort ¿Puede ayudarle a abordar los aspectos de seguridad de identidad de NIS2?  Programar una llamada con uno de nuestros expertos o complete este formulario para una cotización de precios.

Nos atrevimos a llevar la seguridad de la identidad aún más lejos.
Descubra lo que es posible.

Configure una demostración para ver el Silverfort Plataforma de seguridad de identidad en acción.

Programe una demostración