Guía completa de Seguridad Ofensiva

¿Qué significa realmente “Seguridad Ofensiva”? En el mundo actual, los ataques cibernéticos ocurren cada pocos segundos y pueden provocar daños catastróficos. De hecho, según Ponemon Institute, el costo medio de una filtración de datos en la actualidad es de 4,4 millones de dólares a nivel mundial. ¿Por qué algunas empresas parecen estar mejor protegidas contra las consecuencias dañinas, y a menudo a largo plazo, de estas amenazas? La diferencia radica entre ser únicamente reactivo o introducir un componente proactivo en la estrategia de Ciberseguridad.

Seguridad Ofensiva significa que la organización toma medidas para anticipar y prevenir activamente los ataques cibernéticos en lugar de solo reaccionar una vez que se ha producido un ataque. Una buena Seguridad Ofensiva adopta un enfoque por capas para identificar vulnerabilidades y exposiciones.

No existe una única herramienta o técnica que cubra de manera integral una estrategia de Seguridad Ofensiva. Pero a través de una combinación de soluciones y buenas prácticas, las empresas pueden comprender con más profundidad el panorama de amenazas que enfrenta su organización, viendo las vulnerabilidades desde la perspectiva de un atacante.

Esta guía profundiza sobre cómo su organización puede superponer capas de Seguridad Ofensiva para una estrategia de Seguridad holística.

Los enfoques de Seguridad convencionales suelen ser reactivos o defensivos, a la espera de que un actor dañino haga alguna acción antes de abordar los ataques. Sin embargo, esto provoca a menudo retrasos en la detección de ataques que podrían constituir una amenazar para la organización.

La mayoría de las empresas tarda una media de 277 días en identificar y contener las filtraciones. La Seguridad Ofensiva utiliza un enfoque proactivo y de adversario: emplea los mismos métodos que utilizan los ciberdelincuentes para probar los protocolos y tecnologías de Seguridad y, por lo tanto, detecta las brechas de Seguridad antes de que los atacantes puedan encontrarlas y explotarlas.

Ventajas de una Seguridad Ofensiva

La Seguridad Ofensiva no consiste en un solo tipo de ataque, proceso o tecnología. Se trata de un conjunto de metodologías, muchas de las cuales emplean tácticas que utilizan los atacantes reales. Estos métodos están diseñados para evaluar las estrategias de Seguridad, recopilando información sobre amenazas con el fin de minimizar el riesgo de que las operaciones de Negocio y la infraestructura de IT se vean dañadas o interrumpidas.

Los ataques que suelen utilizarse en un ejercicio de Seguridad Ofensiva incluyen fuzzers, escaneo de puertos, escaneo de vulnerabilidades y capturadores de tráfico de red. Los atacantes utilizan la información que recopilan estas herramientas para determinar un plan de ataque orientado hacia posibles objetivos explotables, en lugar de buscar a ciegas en la infraestructura hasta identificar una vulnerabilidad. Los equipos de Seguridad pueden usar esa misma información y herramientas para identificar posibles brechas o vulnerabilidades en su postura de Seguridad.

Las brechas pueden deberse tanto a malas configuraciones como a tener aplicaciones con vulnerabilidades no resueltas. Encontrar estas fallas en la postura de Seguridad de una organización antes de que lo hagan los atacantes externos le da la oportunidad de corregir o mitigar las vulnerabilidades antes de que puedan ser explotadas.

El empleo de prácticas de Seguridad ofensivas y defensivas da como resultado un programa de ciberseguridad más completo y hace que la organización sea más resistente a los ataques. La Seguridad Ofensiva también ayuda a validar la Seguridad defensiva.

Durante los ejercicios de Seguridad Ofensiva, las capacidades de detección y respuesta de amenazas se someten a una prueba controlada que muestra exactamente su nivel de efectividad. El objetivo inicial debe ser la identificación de errores en la implementación y las operaciones, seguido de la priorización basada en riesgos y una fase de remediación y mejora que reúne a ambos equipos con el fin de diseñar estrategias de optimización.

Uno de los primeros temas que las organizaciones deben abordar al crear un equipo de Seguridad Ofensiva es quién realizará las pruebas. Las organizaciones no están restringidas a usar solo recursos internos. También pueden considerar externalizar la tarea a servicios de terceros como un red team o combinar ambas opciones en un enfoque híbrido. Según el Estudio sobre Pentesting 2022, el 63% de los encuestados utilizaba ambos, equipos internos y externos en cierto punto. Elegir la composición adecuada del equipo requiere evaluar el alcance de los ejercicios y determinar si los recursos disponibles y el conocimiento del equipo interno de la empresa son los necesarios, o si se necesitará ayuda externa para alguna parte o la totalidad de la operación.

No importa quién termine formando el equipo, implementar una operación de Seguridad Ofensiva en su organización significa mucho más que designar ingenieros de Seguridad y esperar resultados esclarecedores. Los proyectos efectivos de Seguridad Ofensiva son metódicos y requieren las herramientas y el personal adecuados para lograr el alcance determinado previamente. Puede incluir desde escaneos rutinarios para determinar un nivel base, hasta equipos que evalúan la organización en una forma más amplia, realizando ataques muy precisos y eficientes contra ella, de manera similar a cómo operan los atacantes reales.

Definición del alcance

Las prácticas de Seguridad Ofensivas son más efectivas cuando se centran en objetivos o aspectos específicos de la organización en lugar de abarcar la organización entera, lo que puede ser demasiado amplio. Al igual que construir un rascacielos, es un trabajo enorme y debe realizarse por fases para que sea efectivo. El testeo es muy similar: se obtiene mayor valor al realizar pruebas específicas en lugar de un ataque a toda la organización. Con una prueba más precisa, los equipos pueden realizar un análisis en profundidad de los sistemas y servicios específicos, en lugar de utilizar un enfoque disperso y esperar encontrar una vulnerabilidad.

Por ejemplo, al analizar solo aquellas partes de la infraestructura que son relevantes para cumplir con PCI DSS, las pruebas pueden centrarse específicamente en si esos sistemas responden a los requisitos de la normativa.

La misma idea puede aplicarse a las aplicaciones, como el ERP corporativo. Puede crear un grupo más reducido de recursos a los que someter al análisis y las pruebas, para permitir a los pentesters dedicar mayor tiempo a la investigación, en lugar de solo dar un vistazo rápido y pasar a otros objetivos.

Recopilación de inteligencia de amenazas

En el centro de una estrategia de Seguridad Ofensiva está la mentalidad de adversario, que comienza con un buen reconocimiento. La recopilación de inteligencia de amenazas proviene de varias herramientas que ayudan a los pentesters a comprender el entorno. Los ejercicios de Seguridad Ofensiva pueden ser de caja blanca, donde toda la infraestructura, los puertos, los servicios y otros componentes son presentados al atacante desde el principio. O puede tratarse de pruebas de caja negra, donde los ethical hackers no saben nada desde el principio, lo que los obliga a invertir tiempo en analizar la infraestructura antes de comenzar los ataques. Por último, un enfoque híbrido ofrece a los pentesters algo de información, lo que reduce la fase de recopilación de inteligencia sin revelarlo todo.

Independientemente del diseño de la prueba, la recopilación de información es crucial para que la prueba tenga valor. Incluso si las organizaciones presentan toda la información conocida, es posible que se desconozcan algunos detalles o que se omitan sin querer, por lo que aún se producirá cierta recopilación de inteligencia en cualquier ejercicio. Por ejemplo, en el caso de una supuesta filtración, los pentesters pueden acceder al entorno, pero deberán tener más conocimiento para pivotear y escalar privilegios para obtener datos confidenciales o control del directorio raíz. Contar con herramientas de calidad es crucial para ayudar a los pentesters a identificar dónde se pueden haber omitido elementos como sistemas y servicios.

Herramientas de Seguridad Ofensiva

Existe una amplia variedad de herramientas disponibles para los pentesters, que los ayudan no solo a recopilar información sino también a ejecutar en función de sus hallazgos. Estas herramientas pueden presentarse como aplicaciones individuales o agruparse en un conjunto de herramientas más completo, que consolide los resultados y los traslade como información a utilizar por otra herramienta.

Las herramientas de prueba más utilizadas son:

• Escáneres de puertos: escanean la red en busca de puertos abiertos para indicar posibles servicios disponibles.
• Escáneres de vulnerabilidades: analizan diferentes puntos de conexión en busca de indicadores de vulnerabilidades conocidas que puedan explotarse.
• Decompiladores: toman aplicaciones binarias e intentan deconstruirlas en código fuente para localizar errores e información, como claves API hardcodeadas que puedan usar en las fases de ataque.
• Pruebas de Seguridad de aplicaciones estáticas (SAST): revisan el código fuente para identificar problemas de codificación que podrían explotarse, como desbordamientos de búfer o API inyectables.
• Profiler o generador de perfiles: herramienta de reconocimiento que recopila información de un sitio como si fuera un usuario, identificando aplicaciones y complementos disponibles en el sitio host.
• Fuzzers: es un tipo de prueba de Seguridad de aplicaciones dinámica (DAST) donde las pruebas automatizadas proporcionan información no válida e inesperada a las aplicaciones, para identificar posibles excepciones de entrada.
• Suites de productos de Pentesting: son sets completos de herramientas de Pentesting que ofrecen una variedad de funcionalidades para agilizar las pruebas y centralizar el análisis.
• Herramientas de exploits: aplican scripts de explotación contra objetivos para validar si las vulnerabilidades identificadas son explotables.
• Captura o manipulación: son programas que se ubican entre las conexiones de red y permiten a los testers modificar las entradas sobre la marcha, para eludir los controles en la interfaz visible.
• Agentes: se inyectan en la memoria de un objetivo, para ejecutar tareas en nombre del atacante.
• Soluciones de simulación: rastreadores de datos implantados y rootkits que imitan las tácticas más comunes utilizadas por actores maliciosos, ayudando a encontrar errores en las capacidades de detección.
• Frameworks de comando y control (C2): gestionan las máquinas comprometidas mediante comunicaciones difíciles de detectar, lo que permite a los atacantes realizar acciones remotas en forma sigilosa.

Ejecución de los ejercicios

Al realizar las pruebas de Seguridad, hay dos objetivos claramente diferentes según el tipo de ejercicio. Los objetivos de los ataques están determinados por el tipo de prueba y se dividen en dos variedades principales:

• Red Team: los equipos realizan una simulación de ataque completa para obtener el control o capturar datos de gran valor, utilizando las mismas tácticas que un atacante, como por ejemplo una filtración inicial, una escalada de privilegios o lograr la persistencia.
• Pruebas de pentesting: los equipos buscan determinar el verdadero potencial de compromiso que tiene una vulnerabilidad, determinando la ruta de ataque que podría tener lugar si se explotara.

El proceso de ataque para ambas pruebas puede parecer similar. Una vez que los pentesters saben dónde residen las vulnerabilidades en la infraestructura, comienzan a explorarlas con más detenimiento. Las vulnerabilidades más evidentes se prueban para comprobar si una explotación activa podría tener lugar. Esta información impulsa una mayor explotación y pivoteo en la infraestructura, por lo que resulta en una prueba más fluida que si fuera una recopilación de información, ya que está orientado a los resultados. Sin embargo, existen claras diferencias entre estos dos tipos de ejercicios. Por ejemplo, mientras que las pruebas de pentesting utilizan técnicas de ataque para comprobar los controles de Seguridad, el alcance de la prueba es más limitado, ya que los pentesters pueden acotar sus movimientos.

Es importante tener en cuenta que si no se realizan correctamente, las pruebas de Seguridad pueden provocar problemas que causen un apagón o interrupción de los servicios no intencionados. La preparación y la comunicación son cruciales para no afectar los sistemas operativos críticos de la empresa, tanto durante como después de realizar las pruebas. Los pentesters deben tener un contacto activo con los administradores de los sistemas y estar preparados para detener sus pruebas si una vulnerabilidad conduce a una denegación de servicio (DoS) no intencionada. También deben realizar una limpieza exhaustiva para que las puertas traseras que se abrieron y usaron durante las pruebas no se dejen abiertas sin querer. Algunas herramientas de pentesing de baja calidad no siempre detectan estas situaciones, dejando a la empresa en riesgo.

Reportes y seguimiento exhaustivos

Los aspectos de las pruebas de Seguridad Ofensiva no tienen sentido si los resultados no se traducen en información procesable. Los pentesters deben tomar los resultados y convertirlos a información que otros equipos pueden procesar. Esta acción no es tan simple como copiar y pegar, ya que muchos activos -especialmente aquellos alojados en la cloud- pueden no tener la misma IP que cuando se realizó la prueba. Los pentesters deben asegurarse de que los hallazgos relacionados a los endpoints se correlacionen con los nombres de host mediante un proceso de reconciliación de activos, para garantizar que los miembros del equipo que solucionan los problemas puedan identificar al host real.

Finalmente, la generación de reportes es una parte tan importante de una estrategia de Seguridad Ofensiva, que las funcionalidades de generación de reportes son la característica más común que los profesionales de Seguridad buscan en las soluciones de pentesting.

Las organizaciones que quieran implementar pruebas de Seguridad Ofensivas necesitan el personal, los procesos y la tecnología adecuados para realizar el trabajo de forma efectiva. Las empresas obtienen los mejores resultados al usar herramientas que agilizan los esfuerzos del equipo de Seguridad, a la vez que lo empoderan para realizar un trabajo más eficaz y eficiente. Para obtener los mejores resultados en sus pruebas, compruebe que las herramientas con las que cuenta funcionen bien en conjunto, ya sea a través de integraciones, interoperabilidad o consolidando sus proveedores para centralizar sus herramientas y soporte. Esta simbiosis le simplificará cada paso, desde la evaluación y el alcance, hasta las pruebas y la remediación.