Ethical Hacking Continuo: las buenas prácticas del rey de la selva

lunes, 7 de marzo de 2016



Ya se ha hablado anteriormente sobre la diferencia entre escaneo de vulnerabilidades, Pentest y Ethical Hacking. Básicamente, existe un problema cuando se ofrece un análisis de vulnerabilidades como Ethical Hacking (en adelante EH), donde claramente el resultado y la calidad de este último serán totalmente distintos. Nos seguimos centrando en el EH, pero yendo a un nivel de madurez superior: Ethical Hacking Continuo. Pocas empresas comienzan a acuñar este término, pero cada vez será más común.

EH Continuo 

Piensa en la foto de navidad con la familia, la de fin de año con la empresa, de graduación de un hijo, etc. Siempre son casi perfectas, porque nos preocupamos de salir bien, con los ojos abiertos, y con la sonrisa perfecta. Pasa lo mismo con el EH. Cuando alguna empresa contrata un EH a demanda, se ejecutará en alguna fecha en particular y esto funcionará como una foto de las mencionadas. Todos se preparan, parchean los servidores, eliminan las cuentas en desuso, cierran los puertos inseguros, piden que se haga el EH fuera de horario de producción y evitando fechas complicadas (inicios o fines de mes…). Por lo tanto, a pesar de ser una muy buena práctica, sigue siendo una foto "manipulada", con un resultado preparado o esperado.

También debemos convenir que las empresas y el mercado actual son muy dinámicos, por lo cual es normal que se realicen cambios constantemente. Esa es la otra razón fundamental por la que el enfoque tradicional está quedando en el pasado. Si le sumamos que a través de este servicio podremos además, descubrir de manera continua nuevas amenazas, cambios inesperados antes que un cibercriminal, hacer descubrimiento continuo de activos, recibir continuamente alertas o anomalías de nuestros activos críticos, saber en el momento cuándo expiró un certificado… se consigue finalmente disponer de una visión inmediata de nuestro nivel de riesgo en todo momento y no tener que esperar al escaneo programado o al servicio de EH. Por lo tanto todo indica que debemos escalar un nivel y dar el paso al EH Continuo. Claro está, la empresa debe tener el nivel de madurez necesario para soportarlo. El objetivo de un EH no es interrumpir la operativa normal.

El EH Continuo nos da la posibilidad de tener el acercamiento más real respecto a cómo está preparada nuestra empresa para enfrentar los actuales ataques cibernéticos. Tiene como objetivo final entrenar de manera continua (basado en el conocido Ciclo de Demming, con la etapa de planificación mínima) a la empresa, sus colaboradores, procesos y tecnología a prevenir este tipo de ataques y responder oportunamente cuando los controles de seguridad sean vulnerados. El EH Continuo consiste en realizar pruebas automáticas de manera continua/persistente a un ámbito, validando de manera manual los hallazgos por un equipo de pentesters para evitar falsos positivos y hacer pruebas de concepto, de esta forma la empresa podrá continuamente conocer sus vulnerabilidades reales, la forma en la que se explotan y cómo se pueden mitigar.

Ya existen tecnologías que colaboran en esta tarea como Faast. Podríamos establecer una metáfora relacionada a Faast y al EH tradicional, en relación con la vida animal salvaje. Los leones (más poderosos) cazan puntualmente las mejores piezas, mientras que las leonas (cazadoras) buscan entre sus objetivos animales heridos, ancianos o enfermos porque serán más fáciles de capturar. Es más eficiente que desgastarse persiguiendo a un animal joven. Con Faast nos preocupamos de cazar todas las gacelas heridas y enfermas, esto es, se detecta de manera continua la falta de parches, versiones desactualizadas de sistemas operativos o servicios, vulnerabilidades conocidas, etc. Así orientamos los servicios especializados de EH a detectar vulnerabilidades mas complejas, más difíciles de detectar, así no desgastaremos a los ethical hackers especialistas en detectar vulnerabilidades de  detección "programable", sino que se orientaran en buscar las vulnerabilidades asociadas al core o a procesos complejos de negocio, lo que significa que la empresa valorará más este servicio porque su ROI será mayor. Te invito a evaluar un servicio de EH Continuo y hacer como el rey de la selva.

Gabriel Bergel
gabriel.bergel@global.11paths.com

2 comentarios:

  1. Gabriel, encuentro muy bueno el post, acá en Chile tenemos el problema de educar a la alta gerencia de la problemática de la seguridad, creo que aún estamos en pañales en esto, y nos falta mucho trabajo por hacer para llegar a un buen nivel de sensibilidad, sobre todo de quienes son los que aprueban los presupuestos.

    ResponderEliminar