Autor: Laura Cano, Security Architect en NeoSecure by SEK
En esta ola descontrolada y abrasiva de la ciberdelincuencia, las ciberamenazas, los ataques informáticos ( Ransomware, virus, troyanos, spyware), las amenazas Zero Day, aumentan crecientemente día tras día con bastante prisa pero sin pausa; el Ciberpeligro sale a relucir una necesidad inmensa de buscar herramientas, servicios de Seguridad Ofensiva para estar preparados, saber defenderse y proteger rápidamente la información (activo más importante y Core de negocio), logrando satisfacer las necesidades de los clientes y de las compañías salvaguardando la imagen y seguridad de la información. Partiendo de esto en este artículo se expondrán las estrategias para fortalecerse exponencialmente ante amenazas y lograr cumplir estándares o regulaciones de seguridad.
La idea, el objetivo es crear concienciación, cultura en las empresas, compañías y empleados de estas, con el fin de que se interesen en buscar aliados, proveedores estratégicos que brinden servicios de Seguridad Ofensiva (Ethical Hacking) y que les permita mejorar su postura de seguridad en la infraestructura o a nivel general, realizando pruebas de Seguridad a tiempo, de manera proactiva y no reactiva, es decir evitar a que sucedan incidentes de seguridad incontrolables que puedan llevar a grandes pérdidas a una organización.
La Seguridad Ofensiva se ha convertido en el enfoque principal que permite a una compañía remediar vulnerabilidades basados en hallazgos críticos, medios y bajos, permitiendo evaluar o auditar la seguridad de manera controlada por medio de pruebas de penetración, explotación e ingeniería social. Su concepto o termino de seguridad, se concentra en la identificación, categorización y mitigación proactiva de las amenazas constantes en el ciberespacio, es importante mencionar la diferencia entre Seguridad Defensiva que es la que se enfoca en proteger a los sistemas de información contra ataques informáticos; mientras que la Seguridad Ofensiva se enfoca en el desarrollo de pruebas, levantamiento, análisis, actividades, exploración, investigación, explotación en general una auditoria o assement de seguridad para encontrar las vulnerabilidades, brechas y debilidades, existentes en la infraestructura, sistemas, redes, entre otras. La finalidad de esta es ser un aliado y ayudar a las organizaciones a mejorar su postura de seguridad luego de encontrar las brechas antes de que puedan ser explotadas por una persona malintencionada.
Las metodologías y estándares más comunes que se utilizan para llevar a cabo estos ejercicios es la ISO/IEC27001, ISO/IEC27002, así mismo el cumplimiento de normativas como las circulares 052, 042 y 022 de la Superintendencia Financiera de Colombia y el estándar de PCI (Payment Card Industry Data Security), también se utilizan las siguientes técnicas que se llevan a cabo en estos ejercicios:
- Recolección de información: En la cual se levanta el alcance de la necesidad para la identificación de los objetivos, esta consta de 4 etapas de análisis: Identificación, Escaneo, Enumeración y Acceso, también es la etapa donde se define la modalidad en la que se realiza la prueba como, Caja Negra (no brindan información), Caja Gris (brindan parte de la información), Caja Blanca (brindan por completo la información);
- Análisis de vulnerabilidades: es donde se ejecutan herramientas que nos permitan determinar que vulnerabilidades existen, la cantidad y su criticidad;
- Definición de objetivos: Basados en el reporte de vulnerabilidades inicialmente se verifican las alertas de criticidad altas, se continua con las medias y bajas, es decir se seleccionan los objetivos que son aptos para una explotación y penetración;
- Ataque Ético: Es la etapa donde se procede a atacar los objetivos seleccionados en el punto anterior con base a las vulnerabilidades detectadas;
- Ingeniería social: Es donde se realizan ejercicios de Phishing personalizados, smishin o Phishing in Situ;
- Pruebas de Seguridad de Aplicaciones: Se enfoca en evaluar e identificar las vulnerabilidades de las aplicaciones Web y móviles;
- Pruebas Wifi: Consiste en realizar pruebas de seguridad a los SSID de la compañía, esto va de la mano de un análisis de resultados y finalmente se presenta un informe técnico y un ejecutivo.
Dentro de todo este conjunto de técnicas mencionadas anteriormente, una de las más TOP personalmente hablando es la que implica que un atacante se presente de manera física (Phishing in Situ), en una organización, compañía, oficina o evento, tratando de sobrepasar el control de acceso no autorizado y tratando de obtener información confidencial, suplantando identidades con el uso de implementos y uniformes aparentemente legítimos, así mismo con implementación de pretextos o excusas convenientes como el olvido del carnet para mentirle a la víctima, por esto mismo también debemos de fijarnos correctamente que botamos a la basura ya que este atacante puede utilizar los deshechos para identificar información valiosa , en la ingeniería social presencial, los atacantes pueden utilizar varias tácticas persuasivas y engañosas para obtener acceso a áreas seguras, información privilegiada o para llevar a cabo actividades maliciosas. La concienciación, evangelización y la capacitación en seguridad son bastante importantes para minimizar estos ataques, garantizando que todo el personal de la compañía esté preparado para saber identificar y actuar en el momento que se presente un escenario de estos.
En esta parte también juega un papel importante la Ética, responsabilidad, confidencialidad e integridad de la información, ya que el personal que realice el ejercicio debe de garantizar la legalidad y por supuesto obtener la autorización para iniciar con las mismas, precisamente por eso se lleva a cabo diferentes acercamientos con el usuario final para determinar los alcances, políticas, requerimientos, responsabilidades, cronogramas, compromisos, entregas, resultados, avances, entre otros que intervienen dentro de un Ethical Hacking.
Para llevar a cabo la implementación de seguridad ofensiva en una compañía u organización y que esta sea efectiva o se reciban los resultados esperados se debe realizar una planificación adecuada con una evaluación de los riesgos, identificando cuales son esos activos más críticos para establecer prioridades y enfocar los esfuerzos, también es importante contar con el personal altamente calificado con una gran trayectoria en experiencia y así mismo con el conjunto de certificaciones que respalden sus conocimientos, esto permitirá eficacia y agilidad en el proceso de ejecución y al mismo tiempo creara una satisfacción al usuario final; la definición de objetivos o alcances antes y durante del proceso es una pieza fundamental ya que permite que ambas partes tengan la claridad para la ejecución, la presentación de informes detallados de los resultados, permitirán a la compañía auditada tomar las acciones y remediar a tiempo sus debilidades o por defecto permitirá que capacite su personal.
Tener presente que la realización de seguridad ofensiva en una empresa ofrece varios beneficios y ventajas destacables para mejorar su postura de seguridad cibernética y proteger los activos digitales, a continuación, se detallan los más primordiales:
- Disminución de costos: Prevenir un ciberataque de manera exitosa es más económico que abordar las terribles consecuencias de un ataque. Las infracciones de seguridad pueden resultar en costos altamente significativos, como la reparación de sistemas, la pérdida de datos, la pérdida de ingresos y daño a la reputación y el buen nombre de una compañía;
- Mejora la credibilidad del cliente: Los clientes confían en que una empresa protegerá sus datos. La inversión en seguridad ofensiva demuestra un compromiso con la protección de la información y puede mejorar la satisfacción del cliente;
- Mejora la postura de seguridad: Al analizar y corregir las vulnerabilidades presentadas, una compañía puede fortalecer sus defensas cibernéticas y reducir los vectores de ataque potenciales. Esto permite que un atacante le sea difícil y complejo encontrar brechas de seguridad en la infraestructura;
- Identificación proactiva y anticipada de vulnerabilidades: La seguridad ofensiva permite identificar y documentar vulnerabilidades antes de que los atacantes las descubran y las exploren, permitiendo a la compañía obtener ventaja y la oportunidad de solucionar los problemas antes de que puedan ser sobrepasados;
- Mejora de la concienciación de seguridad: Los resultados de las pruebas de seguridad ofensiva pueden ayudar a educar a los empleados de la compañía sobre las amenazas cibernéticas, ingeniería social y permiten fomentar una cultura de seguridad. Los empleados se vuelven más conscientes de los riesgos y mejoran sus prácticas de seguridad;
- Preparación contra amenazas ZeroDay: Los atacantes están en constante progreso, y sus tácticas también cambian. La seguridad ofensiva ayuda a una empresa a mantenerse al día con las amenazas emergentes y adaptar sus defensas en consecuencia;
- Evaluación de políticas y procedimientos: La seguridad ofensiva no se limita a tecnología y sistemas; por lo que se puede evaluar políticas y procedimientos internos, incluyendo la revisión de políticas de seguridad, la eficacia de las contraseñas y los protocolos de respuesta a incidentes;
- Identificación de brechas de seguridad en la cadena de suministro: Las compañías tienen contratados servicios de proveedores externos. La seguridad ofensiva permite identificar debilidades en la cadena de suministro que podrían ser explotadas por atacantes accediendo a la red de la empresa;
- Cumplimiento de regulaciones y estándares: La mayoría de las industrias y sectores empresariales, se acogen a regulaciones específicas de seguridad cibernética. Realizar seguridad ofensiva ayuda a garantizar el cumplimiento de estas regulaciones y demuestra un compromiso con la seguridad de los datos y la privacidad de los clientes.
