Para proteger eficazmente el SI de una organización, es necesario conocer sus fortalezas y debilidades. Este es el papel del análisis de riesgos y de la auditoría de seguridad, cuyos resultados constituyen una base de información valiosa para el CISO.
Varias preguntas surgen entonces: ¿cómo saber si las medidas de seguridad serán suficientes en caso de un ciberataque? ¿Ha considerado el CISO todos los puntos de entrada que los ciberdelincuentes podrían utilizar?
En lugar de esperar al incidente que proporcionará la respuesta, existe otra posibilidad: colaborar con pentesters. También llamados hackers éticos, estos expertos simulan ataques e identifican las vulnerabilidades del SI, antes de que actores malintencionados puedan explotarlas.
¿Qué es un pentester?
El pentester es, al igual que el CISO, un experto en ciberseguridad. Sin embargo, ocupa un rol diferente: si el rol del CISO es proteger, ¡el del pentester es atacar! De hecho, simula ataques contra los sistemas informáticos de una organización para identificar las vulnerabilidades antes de que los ciberdelincuentes las exploten.
Su acción permite fortalecer la postura de ciberseguridad de la organización al descubrir las fallas y proponer medidas correctivas. Al mismo tiempo, ayuda a evaluar la eficacia de las medidas de seguridad existentes y a mejorar las defensas contra amenazas potenciales.
Para resumir, los principales objetivos de un pentester son los siguientes:
- identificar las vulnerabilidades en los sistemas y aplicaciones;
- evaluar la eficacia de las medidas de seguridad existentes;
- probar las respuestas a incidentes de seguridad;
- proponer recomendaciones para corregir las fallas descubiertas;
- asegurar el cumplimiento con las regulaciones y normas de seguridad.
Para llevar a cabo estas pruebas, los pentesters utilizan una variedad de herramientas y técnicas. Entre las más utilizadas se encuentran:
- escáneres de puertos;
- escáneres de vulnerabilidades;
- herramientas de análisis de paquetes de red;
- software para crackear contraseñas.
¿Cómo se lleva a cabo una prueba de penetración?
Aunque el formato del pentest puede variar, una prueba de intrusión generalmente se desarrolla en seis etapas. En cada una de estas etapas, el CISO podrá evaluar en tiempo real la pertinencia de los productos de ciberseguridad implementados en la empresa.
¿Correlacionará y detectará la plataforma XDR el escaneo de puertos y los intentos de autenticación por fuerza bruta? ¿Detectará la solución de filtrado de correo electrónico el intento de phishing? ¿Identificará el agente EDR un comportamiento sospechoso o la persistencia de un acceso en una máquina?
Estas son algunas de las preguntas a las que estas diferentes etapas permiten responder.
#1 Planificación y reconocimiento
La primera etapa de un pentest se llama “recon” o fase de reconocimiento. Esta etapa consiste en planificar y recopilar información sobre la empresa objetivo, su actividad, sus colaboradores y su sistema de información.
En esta etapa, el experto intenta identificar los puntos de entrada potenciales para una futura explotación. Esto incluye:
- la recopilación de direcciones IP y nombres de dominio;
- el escaneo de puertos;
- la enumeración de protocolos expuestos públicamente.
#2 Análisis
Basándose en la información encontrada durante la etapa anterior, el auditor buscará vulnerabilidades potenciales, tales como CVE o accesos de empleados de la empresa que hayan filtrado en la darkweb.
#3 Obtención de acceso
¡El pentester puede entonces lanzar el ataque! Después de identificar las vulnerabilidades, intenta explotarlas para obtener acceso no autorizado al sistema operativo. Las técnicas utilizadas son (muy) diversas:
- la reutilización de contraseñas;
- la autenticación por fuerza bruta;
- la ingeniería social y el phishing;
- la explotación de fallas de software…
#4 Mantenimiento del acceso
Una vez obtenido el acceso, el auditor mantiene ese acceso durante un período prolongado. Esto permite explorar más a fondo la infraestructura de la empresa mediante un movimiento lateral y así descubrir otras vulnerabilidades potenciales.
En algunos casos, esta etapa también permite simular la colocación de un payload inofensivo en la máquina para simular un ataque de ransomware. El CISO puede entonces evaluar la pertinencia de los productos de detección y respuesta instalados en la máquina infectada. ¡La oportunidad de ir aún más lejos en el análisis!
#5 Análisis de resultados y redacción del informe
El pentester redacta un informe en el que analiza los resultados obtenidos durante las fases anteriores. Este análisis permite entender:
- las vulnerabilidades descubiertas;
- los métodos de explotación utilizados;
- el impacto potencial de estas fallas en la organización.
El informe también contiene recomendaciones precisas para remediar estas vulnerabilidades.
#6 Presentación del informe y recomendaciones
A partir de estas recomendaciones, el CISO elabora un plan de acción para corregir las fallas identificadas. Aquí algunos ejemplos de acciones entre muchas otras:
- actualizaciones de software;
- implementación de parches;
- modificaciones de configuraciones;
- mejora de políticas de seguridad y prácticas de gestión de riesgos.
El formato de los pentests puede variar según tres categorías, llamadas White Box, Grey Box, Black Box.
Las auditorías White, Grey y Black Box: 3 opciones para el CISO
Definiendo previamente el perímetro a evaluar, el CISO puede organizar el pentest a través de tres formatos.
¿Qué es un pentest White Box?
El pentest llamado “White Box” es una prueba de penetración para la cual se comparten todas las informaciones técnicas con el experto. Estas informaciones incluyen direcciones IP, esquemas de red, así como un inventario de las máquinas y la configuración de los equipos de seguridad.
¿El interés del pentest en caja blanca? Consume poco tiempo. El auditor no necesita buscar la información y puede así lanzar sus pruebas más rápidamente.
¿Qué es un pentest Grey Box?
El pentest llamado “Grey Box” es un formato de prueba de intrusión donde el pentester tiene acceso solo a una parte de la información para poder avanzar. La prueba de intrusión Grey Box simula el escenario de un atacante que ya tiene acceso inicial, como si fuera un empleado y conociera parte de la empresa, su funcionamiento, sus instalaciones.
La prueba de penetración en caja gris obliga al experto a realizar una fase de reconocimiento para comprender su entorno y deducir las primeras acciones ofensivas.
Para el CISO, el formato del pentest Grey Box permite comprender las metodologías y los modos operativos que los atacantes pueden utilizar para acceder más profundamente al sistema de información desde dentro de la empresa.
¿Qué es un pentest Black Box?
El pentest llamado “Black Box” es una prueba de intrusión que comienza esta vez desde fuera de la empresa. El auditor no tiene ningún acceso inicial a la empresa ni información previa, por lo que deberá planificar y reconocer su objetivo.
Organigrama de los empleados, actividad de la empresa, reconocimiento de la superficie de ataque… el pentest en caja negra permite al CISO comprender la exposición de su empresa en Internet.
Pentester y CISO: ¿cómo colaborar?
Como habrás entendido, la colaboración entre auditor y CISO es indispensable. Al lanzar regularmente pruebas de intrusión, el CISO puede validar o invalidar su estrategia de ciberseguridad en la empresa.
Es por eso que hoy en día existen varias soluciones de pruebas de intrusión disponibles en el mercado.
- La primera es la más obvia: colaborar con una consultora de ciberseguridad especializada en pruebas de intrusión. El CISO puede entonces seleccionar los actores con los que va a colaborar.
- La segunda es lanzar una campaña de bug bounty en plataformas como YesWeHack o HackerOne, ofreciendo recompensas a los auditores según el nivel de severidad de la vulnerabilidad. ¿La desventaja de este método? El CISO no puede validar a todos los participantes, aunque algunas campañas pueden ser accesibles solo por invitación.
- La última solución reside en el uso de una plataforma de pruebas de intrusión automatizadas como la de la empresa Pentera, que tiene la ventaja de probar escenarios de intrusión durante todo el año.
La sinergia entre pentester y CISO contribuye sin duda a una gestión más segura de los riesgos y a una mejor protección de los datos sensibles de la empresa.
Y para ir (aún) más allá en la gestión de la ciberseguridad y la gestión de tu superficie de ataque, descubre la plataforma Tenacy!