Autor: Gabriel Bergel
Hace un tiempo escribí un articulo indicando la diferencia entre escaneo de vulnerabilidades, Pentest y Ethical Hacking (http://tinyurl.com/j56jcdb) y el problema que existe cuando se ofrece un análisis de vulnerabilidades como Ethical Hacking (en adelante EH), donde claramente el resultado y la calidad de éste serán totalmente distintos. Esta vez quiero profundizar en este tema pero centrándonos en el EH, pero yendo a un nivel de madurez superior, Ethical Hacking Continuo, aun pocas empresas comienzan a acuñar este término, pero cada vez será más común. Entiendo que muchos pensarán que nunca han hecho un EH (espero que sean los menos) y que menos aun tenían pensado o sabían que existían servicios o herramientas que permitían hacer este tipo de pruebas y esa es la razón principal del articulo.
EH Continuo, me gusta hacer la comparación cuando lo estoy explicando a un colega o cliente que piense en la foto de navidad con la familia, la de fin de año con la empresa, de graduación de la hija, etc. Siempre son casi perfectas, porque nos preocupamos de salir bien, de no salir con los ojos cerrados, no tener nada en los dientes o estar con algo indebido abierto, pasa lo mismo con el EH. Cuando alguna empresa contrata un EH a demanda, o sea se ejecutará en alguna fecha en particular, es como una foto de las que mencione antes, todos se preparan, parchan los servidores, eliminan las cuentas en desuso, cierran los puertos inseguros, piden que se haga el EH fuera de horario de producción y evitando fechas complicadas (inicio de mes, fin de mes por pago de sueldos o facturas, etc.). Por lo tanto a pesar de ser una muy buena practica, sigue siendo una foto preparada, con un resultado preparado o esperado, además debemos convenir que las empresas son muy dinámicas, el mercado actual es muy dinámico, por lo cual es normal que se hagan cambios constantemente. Esa es la otra razón fundamental por lo cual el enfoque tradicional está quedando en el pasado, además si le sumamos que a través de este servicio podremos descubrir de manera continua nuevas amenazas (vulnerabilidades día cero), cambios inesperados antes que un cibercriminal, hacer descubrimiento continuo de activos, recibir continuamente alertas o anomalías de nuestros activos críticos, saber en el momento cuando un certificado digital expiró, además cumplir con estándares como el NIST 800-53 que exige monitoreo continuo de cierta plataforma y finalmente tener visibilidad inmediata de nuestro nivel de riesgo en todo momento y no tener que esperar al escaneo programado o al servicio de EH. Por lo tanto todo indica que debemos escalar un nivel y dar el paso al EH Continuo, claro esta, nuestra empresa debe tener el nivel de madurez necesario, nunca el objetivo de un EH es interrumpir la operación normal de una empresa.
El EH Continuo, nos da la posibilidad de tener el acercamiento más real respecto a cómo está preparada nuestra empresa para enfrentar los actuales ataques cibernéticos y tiene como objetivo final entrenar de manera continua (basado en el conocido Ciclo de Demming1, con la etapa de planificación mínima) a la empresa, sus colaboradores, procesos y tecnología a prevenir este tipo de ataques y responder oportunamente cuando los controles de seguridad sean vulnerados. El EH Continuo consiste en realizar pruebas automáticas de manera continua/persistente a un ámbito, validando de manera manual los hallazgos por un equipo de pentesters para evitar falsos positivos y hacer pruebas de concepto, de esta forma la empresa podrá continuamente conocer sus vulnerabilidades reales, la forma como se explotan y como se pueden mitigar.
En el mercado actualmente ya existen tecnologías que colaboran en esta tarea como Qualys Continuos Monitoring (https://www.qualys.com/enterprises/qualysguard/continuous-monitoring/) y FAAST (https://www.elevenpaths.com/es/tecnologia/faast/index.html). Recuerdo muy bien una charla en Chile del año 2015 de Chema Alonso donde hacia una metáfora relacionada a FAAST y al EH tradicional, la metáfora tenía relación con la vida animal salvaje, puntualmente cuando los leones salen de caza, es conocido por todos que las leonas (cazadoras) buscan entre sus objetivos a cazar, animales heridos, ancianos o enfermos ya que serán mas fáciles de capturar, o sea es mas eficiente que desgastarse persiguiendo a un animal joven. En la charla eran las Gacelas los animales escogidos, Chema decía que con FAAST nos preocupamos de cazar todas las gacelas heridas y enfermas, refiriéndose a detectar de manera continua la falta de parches, versiones desactualizadas de SO o App, certificados por expirar, entre otras. O sea vulnerabilidades de simple detección y en ocasiones una solución. Así orientamos los servicios especializados de EH a detectar vulnerabilidades mas complejas, más difíciles de detectar, así no desgastaremos a los ethical hackers especialistas en detectar vulnerabilidades de fácil detección, sino que se orientaran en buscar las vulnerabilidades asociadas al Core o a procesos complejos de negocio, lo que significa que la empresa valorará más este servicio ya que tendrá un ROI mayor. Te invito a evaluar un servicio de EH Continuo y hacer como el rey de la selva ;)
Gabriel Bergel
CSA - Chief Security Ambassador
@gbergel
gabriel.bergel@global.11paths.com
