Ethical hacking, hacking ético, pruebas de intrusión, pruebas de penetración o pentesting. Todos son nombres con los que se le conoce a la práctica de atacar los sistemas de las organizaciones para establecer las fallas de seguridad que hay en estos y que efectivamente pueden ser utilizadas para vulnerar el sistema y eliminar, secuestrar o robar información, realizar cambios en configuraciones o detener las operaciones, entre otros. Estas pruebas son un elemento importante para los programas de gestión de vulnerabilidades y en general para la estrategia de seguridad de las organizaciones, ya que les permite conocer la situación actual y los aspectos que se deben fortalecer para mejorar su postura de seguridad.
Usualmente las empresas encargan a terceros la realización de uno, dos o máximo cuatro pentest al año. Desafortunadamente las cifras muestran que cada vez se encuentran más vulnerabilidades, los delincuentes informáticos idean más rápidamente nuevas estrategias para propagar malware de manera eficiente y a bajo costo, además de una sofisticación exponencial de las amenazas. Este panorama requiere que las empresas se pregunten cómo prepararse para afrontar los nuevos retos y si son suficientes los esfuerzos que están haciendo hasta el momento para proteger su infraestructura e información.
El cumplimiento de regulaciones es solo el inicio
Guías de remediación adecuadas al contexto de la empresa
Las guías de remediación que surgen como resultado de un pentest deben estar acorde al contexto de cada empresa. Los resultados deben hacer un balance entre la severidad de las vulnerabilidades detectadas, la facilidad con que fueron explotadas y la criticidad de los activos donde se encontraron. No es lo mismo aplicar un parche sobre un servidor utilizado para pruebas que en otro donde aloja algún aplicativo de misión crítica. Por lo anterior, las guías no deben ser un simple listado de las vulnerabilidades y acciones específicas recomendadas por cada fabricante, pues algunas de estas acciones pueden no ser viables desde el punto de vista operativo o financiero. Deben incluir recomendaciones sobre las posibles tecnologías o procesos a utilizarse para la remediación basados en un conocimiento mas integral de la empresa. Finalmente, es conveniente que el informe refleje la realidad de los activos dividido por cada área de la organización pues esto permite compartir con cada una los resultados y así ganar su atención y hacerlos parte de los retos de seguridad que les atañen.
Análisis más allá de los activos críticos
Muchas veces las empresas seleccionan solo algunos activos para las pruebas de intrusión y los motivos expuestos usualmente son falta de presupuesto o la gran cantidad de equipos que haría más extenso el trabajo a realizar. Aunque el ideal es realizar pruebas integrales, por lo menos se debe incluir en el alcance activos de todas las áreas y no solo los de misión crítica ya que esto garantizará que se obtenga información integral sobre el estado de la seguridad de la empresa. Si, por ejemplo, realizamos pentesting únicamente a los servidores críticos quedarían por fuera usuarios comunes que son generalmente el eslabón débil de la cadena y punto de ingreso de diferentes amenazas como el ransomware, uno de los dolores de cabeza en la actualidad.
Conocer lo que está mal no es lo único necesario
Muchas de los aspectos a tener en cuenta mencionados anteriormente son claves para mejorar la práctica, sin embargo se quedan cortas si tan solo realizamos un par de pruebas al año. Todos los días hay cambios en el ambiente tecnológico, de personas y de procesos en las compañías, nuevas vulnerabilidades, entre otras variables, que hacen necesario contar con un proceso continuo para asegurarse que la empresa cuenta con una estrategia de seguridad efectiva. Recuerde que hay muchas personas – y organizaciones- afuera realizando la misma tarea que usted y lo último que quiere es que ellos encuentren la manera de comprometer sus sistemas antes que usted.