La ciberseguridad es un elemento imprescindible para evitar altos riesgos en el desempeño diario de las empresas; de ahí la importancia de saber gestionarla y aplicarla a nivel transversal en todos los negocios.
Relacionado con esta necesidad surge el concepto de hacking ético avanzado para referirnos a la exigencia de establecer en las empresas prácticas habituales de vulneración de la seguridad por parte de especialistas, con conocimiento previo y control, en previsión de un ataque real.
Para empezar debemos aclarar cuál es el "círculo del hacking", que consta de seis pasos:
1) Reconocimiento o footprinting. Puede ser pasivo, buscando en fuentes de información, o activo, cuando se extrae la información a través de algún tipo de interacción con la compañía. Conviene no perder de vista la Deep Web, que juega un papel determinante.
2) Escaneo. Búsqueda de IPs, sistemas operativos...
3) Obtener acceso. El objetivo principal de un ataque es llegar a conseguir las claves de administrador o llegar al directorio activo.
4) Mantener acceso. Ya dentro del sistema, se busca obtener los máximos beneficios posibles, generalmente a nivel económico, o incluso buscar el cierre total de la compañía (bien de forma provisional o de manera permanente).
5) Borrar huellas. Este es la diferencia entre un hacking ético y uno que no lo es; el ético no necesita borrar sus huellas, el delincuencial sí.
6) Informe. El entregable que se ve y se analiza. Resulta indispensable que sea legible y resulte útil, con resumen ejecutivo, imágenes/vídeos, cuaderno de bitácora, registro de hallazgos…, etc.
Qué es el hacking ético avanzado
De entrada, puede ser de tres tipos diferentes:
- Externo: iniciando la intrusión desde fuera de la compañía.
- Interno: organizando ataques desde dentro.
- Deep Web.
Y existen varias modalidades:
- Black Box: sin ningún tipo de información para entrar en la compañía.
- Grey Box: con algo de información interna o externa.
- White Box: con acceso a mucha información, con la colaboración plena de la compañía en cuestión (estructura de la red, servicios activos...)
¿Qué servicios adicionales se pueden contratar? Ingeniería social, wardriving el ataque de las redes wifi del/de la cliente/a, equipo robado, seguridad física… (determinante que esté bien definida por escrito, ya que puede rozar o incurrir en delito).
También conviene aclarar dos conceptos importantes que forman parte del hacking ético avanzado: pentesting, un ataque solo desde el punto de vista exterior, y phishing, ataque interno de suplantación a través del correo electrónico, utilizando ingeniería social.
Sacar rendimiento al hacking ético: explotación manual vs explotación automática
Pero, sin duda, lo más importante de todo el "círculo del hacking" es mantener el acceso y ganar control. Y, una vez que lo tienes, rentabilizar esa posición.
Se puede hacer de dos formas: explotación manual, a través de una persona con mucho conocimiento; o explotación automática, sin tanto conocimiento humano, valiéndose de una herramienta de terceros para realizar un ataque. Hay más control en el exploit manual porque el automático dependerá del fabricante del software. Además, si es manual se ha de tener información detallada sobre diferentes protocolos: TCP/IP, Windows, lenguajes de programación... En el caso automático, solo es necesario saber manejar la interfaz de una aplicación.
Finalmente, quien disponga de mucho conocimiento usará o desarrollará exploits propios y quien no lo tenga podrá utilizar solo los exploits incluidos en la herramienta.
La Matriz de Mitre
El manual para un hacker que quiere entrar en una organización es la Matriz de Mitre, que se compone de una serie de categorías, en cada una de de las cuales hay técnicas o tácticas posibles para desarrollar un ataque: para macOS, Linux, Network, containers, cloud....
Ante este panorama, ¿qué podéis contratar y qué podéis hacer para limitar daños y cuidar la ciberseguridad de vuestra empresa?
- Implantar un SIEM. Herramienta software para vigilancia de red.
- Contratar un Security Operation Center: un centro para controlar la actividad desde el punto de vista de la ciberseguridad.
- Incluir GIR (un grupo de intervención rápida) y análisis forense, con opciones de diferentes niveles de servicio: N1 (personas que actúan según procedimientos prestablecidos) 24x7, N2 (personas que son capaces de analizar diversos logs de sistemas) 24x7, N3 (especialistas de alto nivel).
- Realizar análisis y vigilancia activa, quizás con equipo de vigilancia y gestión de vulnerabilidades.
En general, es importante que no se trate de una fotografía puntual sino de un análisis continuo, y que se ponga el foco en las simulaciones de la Matriz de Mitre, pues es así como se van a producir los ataques.
Son recomendables simulaciones en nube, a través de gemelos digitales, donde poder detectar vulnerabilidades de alto riesgo para la compañía e invertir dinero para paliar esas vulnerabilidades de alto impacto, y no otras, que pueden comprometer notablemente el negocio.
Otro concepto relacionado importante es Breach Attack Simulator, simulaciones de vulnerabilidades que realizan análisis pero solo desde el exterior, no de forma global; por ello no son hacking ético, aunque sí sirven para hacer auditorías internas.
Por nuestra parte, insistimos en la necesidad de acudir siempre a empresas acreditadas, ya que ello implica conocimiento y especialización, indispensables para cuidar la seguridad digital de vuestra empresa de forma eficaz y completa, pues la ciberseguridad exige un conocimiento elevado sobre una materia muy concreta.
Si quieres saber más sobre nuestras soluciones tecnológicas para empresas, suscríbete a nuestro boletín o contacta con tu asesor personal o con nuestro equipo del área comercial empresas a través del siguiente formulario. Y para estar al día de las últimas noticias síguenos en LinkedIn.