La ciberseguridad es un elemento de alto riesgo para las compañías, así que la gestión de riesgos empresarial resulta fundamental para su correcto desempeño.
Relacionado con esta necesidad, surge el concepto del hacking ético avanzado, con el que nos referimos a la necesidad de establecer en las empresas prácticas habituales de vulneración de la seguridad realizadas por especialistas con conocimiento previo y con control en previsión de un ataque real.
Para empezar, debemos aclarar cuál es el "círculo del hacking". Constaría de seis pasos:
1) Reconocimiento o footprinting. Puede ser pasivo, buscando en fuentes de información, o activo, cuándo se extrae la información a través de algún tipo de interacción con la compañía. Conviene no perder de vista la Deep Web, que juega un papel determinante.
2) Escaneo. Búsqueda de IPs, sistemas operativos...
3) Obtener acceso. El objetivo principal de un ataque es llegar a conseguir las claves de administrador o llegar al directorio activo.
4) Mantener acceso. Ya dentro del sistema, se busca obtener los máximos beneficios posibles, generalmente a nivel económico, o incluso buscar el cierre total de la compañía (bien de forma provisional o de manera permanente).
5) Borrar huellas. Este es la diferencia entre un hacking ético y uno que no lo es; el ético no necesita borrar sus huellas, el delincuencial sí.
6) Informe. El entregable que se ve y se analiza. Resulta indispensable que sea legible y resulte útil, con resumen ejecutivo, imágenes/vídeos, cuaderno de bitácora, registro hallazgos…
Qué es el hacking ético avanzado
Entonces, ¿cómo definiríamos el hacking ético avanzado?
Debe incluir diversos apartados. De entrada, puede ser de tres tipos diferentes:
- Externo: iniciando la intrusión desde fuera de la compañía.
- Interno: organizar ataques expandiéndose desde dentro.
- Deep Web.
Y también varias modalidades:
- Black Box: sin ningún tipo de información para entrar en la compañía.
- Grey Box: con algo de información, sea de manera interna o externa.
- White Box: con acceso a mucha información, con la colaboración plena de la compañía en cuestión (estructura de la red, servicios activos...)
¿Qué servicios adicionales se pueden contratar? Ingeniería social, wardriving el ataque de las redes wifi del cliente, equipo robado, seguridad física (determinante que esté bien definida por escrito, ya que puede rozar o incurrir en delito).
También conviene aclarar dos conceptos importantes que forman parte del hacking ético avanzado: pentesting, que es un ataque solo desde el punto de vista exterior, y phishing, ataque interno de suplantación a través del correo electrónico, utilizando ingeniería social.
Sacar rendimiento al hacking ético: explotación manual vs explotación automática
Pero, sin duda, lo más importante de todo el "círculo del kacking" es mantener el acceso y ganar control. Y, una vez que lo tienes, cómo rentabilizar esa posición.
Se puede hacer de dos formas: explotación manual a través de una persona con muchos conocimientos, o explotación automática, sin tantos conocimientos humanos, valiéndose de una herramienta de terceros para realizar un ataque.
Hay más control en el exploit manual porque el automático dependerá del fabricante del software.
Además, se deben tener conocimientos de diferentes protocolos: TCP/IP, Windows, lenguajes de programación... En el caso automático, solo es necesario saber manejar la interfaz de una aplicación.
Finalmente, quién tenga mucho conocimiento usará o desarrollará exploits propios y quién no los tenga podrá utilizar solo los exploits incluidos en la herramienta.
La Matriz de Mitre
El manual para un hacker que quiere entrar en una organización es la Matriz de Mitre, que se compone de una serie de categorías. A su vez, dentro de cada una de ellas hay técnicas o tácticas posibles para desarrollar un ataque. Las hay para macOS, Linux, Network, containers, cloud....
Ante este panorama, ¿qué podéis contratar y qué podéis hacer para limitar daños y cuidar la ciberseguridad de vuestra empresa?
- Implantar un SIEM. Herramienta software para vigilancia de red.
- Contratar un Security Operation Center: un centro para controlar la actividad desde el punto de vista de la ciberseguridad.
- Incluir GIR (un grupo de intervención rápida) y análisis forense, con opciones de diferentes niveles de servicio: N1 (personas que actúan según procedimientos prestablecidos) 24x7, N2 (personas que son capaces de analizar diversos logs de sistemas) 24x7, N3 (especialistas de alto nivel).
- Realizar análisis y vigilancia activa, quizás con equipo de vigilancia y gestión de vulnerabilidades.
En general, es importante que no se trate de una fotografía puntual sino de un análisis continuo y que se ponga el foco en las simulaciones de la Matriz de Mitre, pues es así cómo se van a producir los ataques.
Son recomendables simulaciones en nube, a través de gemelos digitales, donde poder detectar vulnerabilidades de alto riesgo para la compañía e invertir dinero para paliar esas vulnerabilidades de alto impacto, y no otras, que pueden comprometer notablemente el negocio.
Otro concepto relacionado importante es Breach Attack Simulator. Son simulaciones de vulnerabilidades que realizan análisis, pero solo desde el exterior, no de forma global y por ello no son hacking ético, aunque sí sirven para hacer auditorías internas.
Por nuestra parte, insistimos en la necesidad de acudir siempre a empresas acreditadas, ya que ello implica conocimiento y especialización, indispensables para cuidar la ciberseguridad de vuestra empresa de forma eficaz y completa. La ciberseguridad implica un conocimiento elevado sobre una materia muy concreta.
Si quieres saber más sobre nuestras soluciones tecnológicas para empresas, suscríbete a nuestro boletín o contacta con tu asesor personal o con nuestro equipo del área comercial empresas a través del siguiente formulario. Y para estar al día de las últimas noticias síguenos en LinkedIn.