Cómo realizar una auditoría de seguridad avanzada para redes
El experto Kevin Beaver ofrece argumentos sobre la realización de una auditoría de seguridad de siguiente generación para redes.
En los últimos años, las redes empresariales han evolucionado considerablemente. Todo, desde el cómputo móvil hasta la nube –y por no hablar de todos los sistemas internos nuevos, servicios y aplicaciones– están haciendo a las redes actuales más complejas que nunca. Incluso las mismas herramientas que se utilizan para administrar la seguridad de la red pueden expandir la superficie de ataque y crear sus propias vulnerabilidades.
Como muchos usuarios a menudo averiguan por la vía difícil, la complejidad es mala para la seguridad, pero continúa sin cesar.
Uno de los desafíos centrales que enfrentan las empresas hoy es no saber, en un momento dado, dónde se encuentran realmente las cosas con sus vulnerabilidades de red y los riesgos del negocio. Si una empresa va a realizar mejoras tangibles en la seguridad, tiene que tomar sus pruebas de seguridad de red al siguiente nivel. En este consejo, voy a explicar cómo empezar.
Iniciando una auditoría de seguridad de red de siguiente generación
En primer lugar, es importante recordar las diferencias entre las auditorías de seguridad, los análisis de vulnerabilidades, las pruebas de penetración y las evaluaciones de riesgos de la información. Hay similitudes entre todos ellos –a saber, encontrar y corregir los fallos de seguridad de la red antes de que sean explotados–, pero los enfoques, herramientas, conjuntos de habilidades y el tiempo requeridos para cada uno varían considerablemente.
Lo más importante que se debe entender con las auditorías de seguridad es qué es lo que su empresa está tratando de lograr. No le decimos a nuestros radiólogos e inspectores de viviendas que limiten su alcance sobre la base de lo que suponemos que necesitamos; ¿por qué limitar el foco de las pruebas de seguridad de la red a una sola cosa, como penetrar en la red desde el exterior, escanear una página web por el cumplimiento de PCI DSS, validar que se está llevando a cabo el ingreso a la auditoría y la colocación de parches, o asegurar la existencia de políticas documentadas? Se justifica una combinación de todos los métodos de pruebas tradicionales; yo lo llamo una "evaluación de seguridad." Y a través de la exploración, el análisis manual, los tutoriales físicos y entrevistas, he encontrado que este es el mejor enfoque.
Una ley fundamental de la seguridad de red es que usted no puede asegurar lo que no reconoce. Antes de que una organización pueda afirmar verdaderamente qué tan seguro es su entorno, debe estar segura de que está mirando todas las áreas correctas –y que lo está haciendo de manera periódica y constante. Esto no significa que la empresa tiene que ver cada uno de los sistemas, en cada segmento de la red, en todo momento, pero sí que debe centrarse en lo que es más importante y más visible. En otras palabras, como mínimo, mire la información más sensible sobre los sistemas más críticos y resuélvalo desde allí. Si eventualmente es capaz de evaluar la seguridad de todos los sistemas y aplicaciones –tanto internos como externos a la red– eso es genial. Después de todo, si tiene una dirección IP, una dirección URL o –dadas las cosas en estos días– un interruptor de encendido/apagado, probablemente es un blanco legítimo para atacar.
Herramientas del oficio
Con el fin de obtener una imagen real de la seguridad, deje de depender de los análisis básicos de puertos y vulnerabilidades. El negocio tiene que estar dispuesto a invertir en herramientas que le permiten excavar más, lo que requerirá las siguientes herramientas:
- Analizadores de red que pueden encontrar anomalías en el protocolo, el sistema y el usuario/host.
- Crackers de contraseña y cifrado que ponen a prueba la seguridad de los sistemas operativos, dispositivos móviles y encriptación completa de disco.
- Herramientas de búsqueda de información con identificación personal que pueden encontrar archivos asegurados en forma incorrecta en recursos compartidos de red y computadoras portátiles sin encriptar.
- Inyector de SQL y herramientas de proxy para pruebas de aplicaciones web de mayor profundidad.
- Escáneres de base de datos que buscan bases de datos en vivo que no están contabilizadas.
- Analizadores de base de reglas de firewall, que permiten descubrir fallas de red básica que podrían ser difícil encontrar de otra manera.
- Analizadores de código fuente para descubrir problemas que acechan en la web y aplicaciones móviles.
- Herramientas de explotación para demostrar lo que puede suceder cuando se descubren ciertas fallas.
Antes de empezar
Planificar las cosas con mucha antelación es fundamental para una buena prueba de seguridad. Eso establece las expectativas de todos los involucrados, incluyendo la administración, los desarrolladores y el personal de operaciones de TI. Estas son las principales áreas para atender:
- ¿Quién es el patrocinador de la prueba? ¿Quién llevará a cabo las pruebas?
- ¿Qué se va a probar?
- (Es decir: interna, externa, con o sin autenticación de usuario)
- ¿Cuándo será probado?
- ¿Se requiere análisis manual? (La dependencia periódica en los análisis automatizados está bien, pero la dependencia total sin realizar nunca un análisis manual es peligrosa, aunque demasiado común)
- ¿Alrededor de cuánto tiempo va a tomar la prueba? (Será más larga de lo que piensa, sobre todo cuando se involucra el escaneo web)
- ¿Se proveerá información completa del sistema o será una prueba a ciegas? (Yo prefiero la primera para asegurar un alcance definitivo y que nada se pasa por alto)
- ¿Cuál es su plan de contingencia en caso de un problema, como la negación de servicio a la red o un escáner de vulnerabilidades web que rellena una base de datos de producción?
Ejecución de las pruebas
Puede tomar todo un libro para cubrir esta fase de las auditorías de seguridad de red, pero aquí hay cuatro subfases que su empresa querrá ejecutar:
-
Reconocimiento. Para determinar cuáles sistemas, aplicaciones, personas/procesos, etc. deben ser analizados.
-
Enumeración. Para ver qué se está ejecutando dónde, para que usted pueda desarrollar un plan de ataque.
-
Descubrimiento de vulnerabilidades. Para descubrir fallas específicas, tales como contraseñas débiles, inyección SQL y actualizaciones de software que faltan.
-
Demostración de vulnerabilidad. Para mostrar la importancia de las vulnerabilidades que usted encuentra y cómo importan en el contexto de su entorno de red y/o negocio.
Una vez más, realizar un análisis manual es una parte grande y muy importante de las pruebas de seguridad. Un mono puede ejecutar un escáner de vulnerabilidad; el valor real viene cuando usted utiliza su sabiduría y sentido común para descubrir y explotar las fallas que requieren de intervención humana.
Construcción de un informe eficaz
En esta etapa, el informe que usted construye esboza dónde y cómo se hacen las cosas; sin embargo, este paso generalmente no es tomado tan en serio como debería ser. Incluso si se descubre todas las mayores brechas de seguridad y exploits, si estos riesgos no se comunican bien a los demás dentro de la organización, entonces probablemente no se actuará respecto a ellos y el ciclo de brechas de seguridad continuará.
Desde mi propia experiencia, he encontrado que un informe oficial que contiene tanto un resumen ejecutivo informativo (es decir, no solo un par de frases de pelusa), como una lista de los detalles técnicos de cada hallazgo crítico y no crítico funciona bien; cuanto más breve, mejor. Nunca entregue informes exportados de las herramientas de pruebas de seguridad y espere que otros tomen en serio el informe.
Cualquiera que lea el informe final tiene que saber tres cosas básicas:
- Cuáles son los hallazgos.
- Dónde están presentes.
- Qué se puede hacer al respecto.
Incluso con capturas de pantalla y otros detalles técnicos, a menudo se puede enumerar dos o tres conclusiones en una sola página del informe. Tenga en cuenta que cuanto más detallado sea el informe, mayores serán las posibilidades de que algo sea pasado por alto. Remita a un apéndice, datos de prueba suplementarios (por ejemplo, reportes en PDF o HTML de las herramientas que utilizó) o sitios web, siempre que sea posible.
Su tiempo y su conocimiento son todo lo que tiene. Las empresas dependen en gran medida de los resultados de las evaluaciones de seguridad de red, por lo que las mejoras continuas son una necesidad. A veces se trata de sus herramientas, a veces es su metodología, pero a menudo es solo una cuestión de mejorar en lo que hace. Teniendo en cuenta todas las evaluaciones que realizo cada año, me he dado cuenta que si usted afina su enfoque hacia las pruebas de seguridad, puede obtener resultados mucho mejores en un período de tiempo más corto –incluso con toda la complejidad presente en las redes actuales.
Sobre el autor: Kevin Beaver es un consultor de seguridad de la información, escritor, profesional, vocero y testigo experto de Principle Logic LLC. Con más de 25 años de experiencia en la industria, Kevin se especializa en la realización de evaluaciones independientes de vulnerabilidades de seguridad en los sistemas de red, así como en web y aplicaciones móviles. Es autor/coautor de 11 libros sobre seguridad de la información, incluyendo el best-seller “Hacking For Dummies” y “Guía Práctica de Privacidad HIPAA y Cumplimiento de Seguridad”. Además, es el creador de los audiolibros y blog de seguridad de la información “Security On Wheels”, que ofrecen aprendizaje de seguridad para profesionales de TI sobre la marcha. Puede encontrarlo en su página web www.principlelogic.com y seguirlo en Twitter:@kevinbeaver.