A ciberseguridade é un elemento imprescindible para evitar altos riscos no desempeño diario das empresas; de aí a importancia de saber xestionala e aplicala a nivel transversal en todos os negocios.
Relacionado con esta necesidade xurde o concepto de hacking ético avanzado para referirnos á esixencia de establecer nas empresas prácticas habituales de vulneración da seguridade por parte de especialistas, con coñecemento previo e control, en previsión dun ataque real.
Para empezar, debemos aclarar cal é o "círculo do hacking", que consta de seis pasos:
1) Recoñecemento ou footprinting. Pode ser pasivo, procurando en fontes de información, ou activo, cando se extrae a información a través dalgún tipo de interacción coa compañía. Convén non perder de vista a Deep Web, que xoga un papel determinante.
2) Escaneamento. Procura de IPs, sistemas operativos...
3) Obter acceso. O obxectivo principal dun ataque é chegar a conseguir as claves de administrador ou chegar ao directorio activo.
4) Manter acceso. Xa dentro do sistema, búscase obter os máximos beneficios posibles, xeralmente a nivel económico, ou mesmo buscar o peche total da compañía (ben de forma provisional ou de maneira permanente).
5) Borrar pegadas. Este é a diferenza entre un hacking ético e un que non o é; o ético non necesita borrar as súas pegadas, o delituoso si.
6) Informe. O entregable que se ve e se analiza. Resulta indispensable que sexa lexible e resulte útil, con resumo executivo, imaxes/vídeos, caderno de bitácora, rexistro de achados…
Que é o hacking ético avanzado
De entrada, pode ser de tres tipos diferentes:
• Externo: iniciando a intrusión dende fóra da compañía.
• Interno: organizando ataques dende dentro.
• Deep Web.
E existen varias modalidades:
• Black Box: sen ningún tipo de información para entrar na compañía.
• Grey Box: con algo de información interna ou externa.
• White Box: con acceso a moita información, coa colaboración plena da compañía en cuestión (estrutura da rede, servizos activos...)
Que servizos adicionais se poden contratar? Enxeñería social, wardriving ou ataque das redes wifi do/a cliente/a, equipo roubado, seguridade física (determinante que estea ben definida por escrito, xa que pode rozar ou incorrer en delito).
Tamén convén aclarar dous conceptos importantes que forman parte do hacking ético avanzado: pentesting, un ataque só dende o punto de vista exterior, e phishing, ataque interno de suplantación a través do correo electrónico, utilizando enxeñaría social.
Tirarlle rendemento ao hacking ético: explotación manual vs explotación automática
Pero, sen dúbida, o máis importante de todo o "círculo do hacking" é manter o acceso e gañar control. E, unha vez que o tes, rendibilizar esa posición.
Pódese facer de dúas formas: explotación manual, a través dunha persoa con moito coñecemento; ou explotación automática, sen tanto coñecemento humano, valéndose dunha ferramenta de terceiros para realizar un ataque. Hai máis control no exploit manual porque o automático dependerá do fabricante do software. Ademais, se é manual cómpre ter información polo miúdo de diferentes protocolos: TCP/IP, Windows, linguaxes de programación... No caso automático só é necesario saber manexar a interface dunha aplicación.
Finalmente, quen dispoña de moito coñecemento usará ou desenvolverá exploits propios e quen non o teña poderá utilizar só os exploits incluídos na ferramenta.
A Matriz de Mitre
O manual para un hacker que quere entrar nunha organización é a Matriz de Mitre, que se compón dunha serie de categorías en cada das cales hai técnicas ou tácticas posibles para desenvolver un ataque: para macOS, Linux, Network, containers, cloud....
Ante este panorama, que podedes contratar e que podedes facer para limitar danos e coidar a ciberseguridade da vosa empresa?
• Implantar un SIEM. Ferramenta software para vixilancia de rede.
• Contratar un Security Operation Center: un centro para controlar a actividade dende o punto de vista da ciberseguridade.
• Incluír GIR (un grupo de intervención rápida) e análise forense, con opcións de diferentes niveis de servizo: N1 (persoas que actúan segundo procedementos prestablecidos) 24x7, N2 (persoas que son quen de analizar diversos logs de sistemas) 24x7, N3 (especialistas de alto nivel).
• Realizar análise e vixilancia activa, quizais con equipo de vixilancia e xestión de vulnerabilidades.
En xeral, é importante que non se trate dunha fotografía puntual senón dunha análise continua e que se poña o foco nas simulacións da Matriz de Mitre, pois é así como se van a producir os ataques.
Son recomendables simulacións en nube, a través de xemelgos dixitais, onde poder detectar vulnerabilidades de alto risco para a compañía e investir diñeiro para paliar esas vulnerabilidades de alto impacto, e non outras, que poden comprometer notablemente o negocio.
Outro concepto relacionado importante é Breach Attack Simulator, simulacións de vulnerabilidades que realizan análises pero só dende o exterior, non de forma global; por iso non son hacking ético, aínda que si serven para facer auditorías internas.
Pola nosa banda, insistimos na necesidade de acudir sempre a empresas acreditadas, xa que iso implica coñecemento e especialización, indispensables para coidar a seguridade dixital da vosa empresa de forma eficaz e completa. A ciberseguridade implica un coñecemento elevado sobre unha materia moi concreta.
Se queres saber máis sobre as nosas solucións tecnolóxicas para empresas, subscríbete ao noso boletín ou contacta co teu asesor persoal ou co noso equipo da área comercial empresas a través do seguinte formulario. E para estar ao día das últimas noticias síguenos en LinkedIn.