Detector de incidentes

¿Qué es Detector de Incidentes?

El servicio consiste en la puesta en marcha de un dispositivo encargado de trasladar la inteligencia en ciberseguridad del CERTSI a la salida a internet de determinados operadores críticos. El objeto del dispositivo consiste en proporcionar una capa de detección que acompañe a las capacidades de protección de la entidad. Si bien el detector de incidentes no protege ante ataques, sí que se encarga de identificar determinados casos en los que una máquina de la entidad haya sido comprometida. 

¿Qué valor aporta el Detector de Incidentes?

El Detector de Incidentes se basa en el modelo de inteligencia en Ciberseguridad puesto en marcha en el seno del CERTSI. Dicho modelo recopila información procedente de distintas fuentes (incluyendo herramientas propias y feeds de inteligencia de terceros) para su posterior correlación e identificación de alertas. La ubicación ideal de la información resultante de este modelo de inteligencia es la salida a internet del operador, ya que por una parte se maximiza la capacidad de detección y por otra parte se evita en gran medida el solapamiento con los sistemas de protección del operador. Es decir, el detector de incidentes se convierte en una barrera adicional en la infraestructura del operador que trata de identificar casos en los que un ataque haya podido tener éxito.
Además de los beneficios del propio dispositivo, el CERTSI ofrece soporte y coordinación con el equipo de seguridad de la entidad, permitiendo filtrar las alertas generadas, de forma que la entidad solo reciba incidentes validados por el equipo técnico del CERTSI. 
El Detector de Incidentes no es intrusivo y preserva la confidencialidad de la información del operador, correlando los patrones de actividad de red con la información disponible del modelo de inteligencia en Ciberseguridad del CERTSI. En este sentido, y para que el operador pueda realizar una auditoría sobre las actividades que lleva a cabo el dispositivo, se proporciona un usuario administrador al contacto técnico en la entidad. 

¿Cómo presta el CERTSI el servicio de sensorización?

Además de los beneficios del propio dispositivo, el CERTSI ofrece soporte y coordinación con el equipo de seguridad de la entidad, permitiendo filtrar las alertas generadas, de forma que la entidad solo reciba incidentes validados por el equipo técnico del CERTSI. 
El Detector de Incidentes no es intrusivo y preserva la confidencialidad de la información del operador, correlando los patrones de actividad de red con la información disponible del modelo de inteligencia en Ciberseguridad del CERTSI. En este sentido, y para que el operador pueda realizar una auditoría sobre las actividades que lleva a cabo el dispositivo, se proporciona un usuario administrador al contacto técnico en la entidad. 

¿A quién va dirigido este servicio?

El Detector de Incidentes va dirigido a operadores de infraestructuras críticas.