Un mercado emergente
A nadie se le oculta que hemos entrado en la nueva era de la automatización. Negocios de todos los tamaños y sectores han comenzado a dar pasos hacia un proceso que les permitan mejorar su eficiencia y productividad, a la vez que reduzcan sus costes operacionales; algo que indefectiblemente vendrá asociado con la automatización.
Automatización de la ciberseguridad
Un concepto tan general como este tiene evidentemente su proyección también en el mundo de la ciberseguridad. A día de hoy, el sector de la ciberseguridad incorpora soluciones que automatizan una parte significativa de las decisiones y las medidas de protección de los activos tecnológicos que protegen. Por ejemplo, la orquestación de servicios de seguridad (SOAR) permite definir procedimientos dirigidos a afrontar los incidentes de seguridad que se producen en muchas compañías.
Sin embargo, y de igual modo a cómo la automatización se utiliza para la protección, también los ciberdelincuentes automatizan sus procedimientos aplicando conceptos como el “Ransomware as a Service” o el “Phishing as a Service”.
Herramientas semiautomáticas de hacking ético
En la actualidad, una parte significativa de los ciberataques se realizan de forma semiautomática, con mecanismos que permiten recoger información de los objetivos, analizar sus vulnerabilidades y explotarlas en cuestión de minutos u horas.
Numerosos servicios —algunos de ellos bien conocidos como Shodan, Censys o Zoomeye— evalúan los estados de seguridad de infraestructuras tecnológicas desde el mismo momento en el que una vulnerabilidad se identifica o se divulga. En paralelo, nuevas aplicaciones automatizan el proceso de ataque y posteriormente lo distribuyen de forma masiva entre las potenciales víctimas.
Sea cual sea el caso, lo cierto es que la protección de los servicios TI de una organización se convierte en una tarea de ejecución continua en el tiempo y donde los equipos de ciberseguridad tratan de identificar las vulnerabilidades de sus sistemas, o las de sus proveedores, y las gestionan para poder protegerse.
Este proceso, a menudo intensivo en recursos, requiere también de herramientas semiautomatizadas de apoyo que actúen como medios de validación de la seguridad con las cuales ingenieros experimentados en hacking tratan de subvertir la seguridad de un sistema.
Automatización del hacking
Sin embargo, el mercado de la ciberseguridad ha dado un nuevo paso al frente. Las herramientas de automatización de la validación de la ciberseguridad son cada vez más habituales.
Algunos fabricantes como Pentera, Cymulate, Sniper o AttackIQ comienzan a ofrecer aplicaciones que no solo determinan la presencia de una posible vulnerabilidad en la infraestructura TI de una organización, sino que también evalúan, a través de demostraciones reales de ataques, su posible impacto en cuanto la disponibilidad, integridad o confidencialidad de sus recursos. Por ejemplo, proporcionan servicios automáticos que reproducen el comportamiento de los posibles atacantes al tiempo que muestran a los departamentos de seguridad cómo consiguen realmente infiltrarse en sus sistemas siguiendo los pasos que daría cualquier delincuente.
Automatizar el hacking y mejorar la seguridad
La utilidad de este tipo de herramientas resulta obvia. Ya no estamos hablando de herramientas que llevan a cabo un análisis superficial de potenciales vulnerabilidades de una infraestructura TI, como habitualmente realizan algunas aplicaciones, sino de aplicaciones que ejecutan el ataque y validan su éxito. De este modo, clasifican la criticidad y la probabilidad de explotación de sus vulnerabilidades, permitiendo que los gestores de seguridad puedan centrarse en aquellas que resulten más dañinas.
Pero ¿cómo lo hacen?
El modelo más habitual que utilizan es la ejecución de las tácticas, técnicas y procedimientos empleados por los ciberdelincuentes en el mundo real. Siguiendo esta estrategia, los equipos de ciberseguridad pueden enfrentarse a “casos reales de una Cyber-Kill-Chain” y validar su resiliencia frente a los ataques, para posteriormente tomar las medidas correctivas. Más aún, con estas herramientas es posible volver a validar la seguridad de la infraestructura TI y compararla frente a la situación previa una vez implementadas las medidas correctivas.
Y ¿cuáles son sus ventajas?
Precisamente la automatización permite este tipo de posibilidades tantas veces como se quiera, ejecutando ataques que dinámicamente van cambiando en función de la configuración que tengan los sistemas en cada momento.
Pero no todo se queda ahí. No. La automatización proporciona además opciones para validar situaciones de riesgo concretas asumiendo que se produjera una determinada brecha de seguridad como un ataque de ransomware, el robo de una contraseña crítica o el desarrollo de una campaña de phishing.
La ventaja de este tipo de análisis resulta evidente cuando se trata de valorar el nivel de riesgo que una organización asumiría frente a cualquiera de estas circunstancias o incluso cómo reaccionarían los equipos de gestión de la seguridad (internos o externalizados).
Conclusión
En definitiva, la mejora en la eficiencia, productividad y reducción de costes que este tipo de herramientas de automatización proporcionan a las compañías resulta más que evidente. Por eso, quizás debamos empezar a pensar que ha llegado el momento de contar con herramientas de automatización también de hacking e incluirlas como un recurso más dentro de las organizaciones a modo de apoyo a la auditoría tecnológica.
Al fin y cabo, es bien conocido que recuperarse de un verdadero incidente de ciberseguridad tiende a ser bastante más costoso que las propias contramedidas utilizadas para prevenirlo.
Nota: All4Sec es Partner certificado en EMEA de Pentera