redseguridad 079

Red Team, intrusiones "reales" para frenar ataques dirigidos Eduardo Arriols Núñez Red Team Manager de InnoTec (Grupo Entelgy) Desgraciadamente, las organiza- ciones no son conscientes del nivel de detección y la capacidad interna para hacer frente a una amenaza. Destinan inversiones a sistemas y equipos de seguridad, pero si nunca realizan una simulación de intrusión, ¿cómo saben si su equipo detecta- ría una amenaza?, ¿cómo confirman si serían capaces de hacerle frente?, ¿pueden asegurar que se llevarán a cabo los procedimientos estableci- dos para paliar el incidente de forma correcta? La realidad es que no. Todo son suposiciones y las empresas desconocen su preparación para hacer frente a una amenaza diri- gida. Esta situación plantea un reto y un cambio de mentalidad que, afortunadamente, cada vez más organizaciones están consideran- do. Empresas y entidades per- tenecientes al sector bancario, industrial, energético, retail o tec- nológico ya están desarrollando planes para paliar esta proble- mática. Si queremos defendernos frente a un ataque dirigido, debe- mos simular una amenaza real que nos permita incrementar nuestro nivel de madurez y estar totalmente preparados para cuando llegue el ciberataque (que llegará). a un ataque dirigido. Máxime, porque en este tipo de ataques no se siguen pautas predeterminadas, los atacan- tes saben buscar el eslabón más débil que les permita penetrar en la red interna de la organización y son capa- ces de tomar el control de los princi- pales activos de la compañía (control de todo tipo, desde las plantas indus- triales a la infraestructura interna o los planes estratégicos de futuro como inversiones, fusiones, etc.). El problema es que las empre- sas no conocen cómo los atacantes desarrollan sus acciones. Es decir, un intruso nunca iría a por la página principal de una organización porque sabe que ese activo pasa multitud de auditorías y estará monitorizado. Irá a por aplicaciones antiguas que ten- gan vulnerabilidades en las que nadie haya reparado. Buscará un vector de acceso que le permita llegar a la red interna para, en ese momento, saltar y comprometer los activos principales. Vectores de acceso Cuando hablamos de vectores de acceso nos referimos a cualquier posible puerta que permite entrar en una organización, bien sea Internet, las redes y clientes Wi-Fi, intrusión física, phishing , malware o cualquier otro tipo de acción (las modalidades no dejan de crecer). C ada día se producen ciberataques sobre todo tipo de corporaciones, grandes y pequeñas, que previamente habían realizado importantes inver- siones en materia de seguridad. ¿Por qué entonces ocurren estos inciden- tes? Y, lo que es peor, ¿por qué enton- ces alcanzan su objetivo y consiguen penetrar en las organizaciones? Son varios los motivos, pero el fundamental es que las corporacio- nes no simulan un ataque real. No comprenden que un ciberataque no sigue reglas fijas, ni normas prefijadas (a diferencia de las com- probaciones de seguridad que se realizan comúnmente en las orga- nizaciones). Podemos poner un simple ejem- plo: las organizaciones suelen reali- zar comprobaciones técnicas como auditorías de seguridad, cuyo obje- tivo es identificar todas las vulnera- bilidades conocidas de un activo, o un test de intrusión acotado a deter- minados activos. En ambos casos son verificaciones conocidas por la propia entidad sobre activos que ella misma ha considerado críticos. Sin embargo, estas comprobacio- nes no son ejecutadas sobre todos los activos ya que sería inviable en tiempo y presupuesto. Por tanto, no podemos afirmar que se verifique la exposición de la organización frente amenazas opinión red seguridad cuarto trimestre 2017 39