Seguridad ofensiva en la empresa: ejemplos, consejos y precauciones
Ejemplos de métodos eficaces de seguridad ofensiva y consejos a considerar antes de decidirse a practicar la ciberdefensa activa.
En TI, la seguridad ofensiva puede implicar métodos que van más allá del hackeo reversivo. La publicación SearchCompliance recopiló los comentarios de algunos participantes de un chat de gestión de riesgos en los que se ofrecieron ejemplos de tácticas de defensa activas, así como consejos de cuándo ir a la ofensiva.
La omnipresencia de los ataques cibernéticos hoy en día tiene a más empresas considerando seriamente una estrategia de seguridad ofensiva. Pero la definición fluida de ciberdefensa activa, las cuestiones éticas y jurídicas que la rodean, y una serie de otras variables tienen a muchos debatiendo sobre si tal respuesta es realmente práctica y eficaz para impedir a los piratas informáticos. Además, hay muchos riesgos asociados con tácticas ofensivas como el "hackeo reversivo", incluyendo posibles contraataques, daños colaterales y más.
Debido a los costos, las consecuencias y las incógnitas de la ciberseguridad ofensiva, los participantes del más reciente chat de gestión de riesgos #GRCChat de SearchCompliance estuvieron de acuerdo en que probablemente no debería ser considerada como una primera instancia, pero tiene su lugar en las empresas. Aquí, los editores y seguidores de Twitter ofrecieron ejemplos de métodos eficaces de seguridad ofensiva, así como consejos sobre cómo las organizaciones deben evaluar su entorno antes de decidirse a practicar la ciberdefensa activa.
¿Cuáles son algunos ejemplos de ciberdefensa activa eficaz?
El editor de nuestra publicación hermana SearchCompliance, Ben Cole, señaló algunas formas de defensa activa que permiten una organización atraer a los atacantes en su red –con documentos ficticios, por ejemplo– y luego monitorear su actividad. Cole (@BenjaminCole11) comentó que las estrategias de defensa activa incluyen registrar los movimientos de los hackers para evitar que éstos se beneficien de los datos robados.
Otra táctica que puede confundir a los piratas informáticos, de acuerdo con Cole y el usuario de Twitter Mark Underwood, es colocar los archivos beacon (archivos que fungen como una especie de faro para llamar la atención de los atacantes) en lugares que les puedan interesar. Cuando los atacantes accedan a los archivos, activarán una alerta. “Engañe a los hackers para que roben una pieza específica de datos, usen un beacon, o faro, para registrar los datos y cómo son utilizados”, comentó Cole.
Underwood (@knowlengr) agregó que los archivos de firma, o beacons, sirven para los hackers descuidados o en servidores que alojan grandes volúmenes de datos.
Además de los archivos señuelo, otras estrategias engañosas que pueden confundir atacantes incluyen la creación de tarros de miel (honey pots), o ambientes y sistemas falsos.
La editora senior Rachel Lebeaux (@RachelatTT) señaló que algunas empresas contratan hackers para penetrar sus propios sistemas y redes para buscar vulnerabilidades, una práctica conocida como pen testing. Estas personas a veces se llaman hackers de sombrero blanco o hackers éticos. Underwood agregó que el pen test es subutilizado, generalmente; a lo que el usuario @Forvalaka41 coincidió y expresó que el pen testing tradicional se basa en la vieja escuela, carece de tecnología y buscan únicamente direcciones de red de la lista negra o fallos de firewall como causas probables.
Tal vez una de las razones de que las pruebas de penetración sean infrautilizadas es porque muchas empresas no destinan fondos suficientes para ello, según comentó Dave Shackleford, fundador y consultor principal de Voodoo Security a nuestro sitio hermano SearchSecurity. "Solamente quieren lograr que se haga, y ello deja muchas aberturas, por desgracia."
¿Cómo pueden las empresas determinar qué vulnerabilidades están mejor dirigidas de manera proactiva?
Sería poco realista, por no hablar de casi imposible, que las organizaciones apliquen controles de seguridad para todos los sistemas, procesos, datos o usuarios, que es donde las evaluaciones de riesgo entran en juego. Como ilustra Cole, estas evaluaciones no sólo arrojan luz sobre qué riesgos están asociados con qué sistemas, sino que también proporcionan orientación sobre la mejor forma de proteger esos activos.
“La evaluación de riesgos puede ayudar a decidir en dónde enfocar los recursos corporativos, pero se debe decidir qué información es vulnerable y atractiva para los atacantes. También puede ayudar a determinar qué tipo de vulnerabilidades de datos necesitan prevención temprana para una defensa activa y hackeo reversivo.”
¿Otro aspecto clave de una evaluación eficaz del riesgo? Debe ofrecer una idea de hasta qué punto se verá afectada una organización, sobre si un sistema específico o activos de datos deben estar disponibles, tal como señaló el participante Dan Sanders (@dansanders).
El participante Forvalaka41 sugirió que las amenazas conocidas –las detectadas por la infraestructura de seguridad, en contraposición a las amenazas desconocidas, que se mostrarán como patrones anormales en los datos del sistema– no son buenos candidatos para un enfoque ciberdefensa activa, pues ya será tarde para un enfoque proactivo.
Forvlaka41 también cuestionó la efectividad en cuanto a costos sobre la búsqueda de ciberdefensa activa en comparación con la inversión en ingeniería de seguridad, el software y la construcción de sistemas con un menor número de vulnerabilidades: “Es difícil cuantificar el costo-beneficio; de manera similar al desarrollo de fuente abierta, los ajustes del kernel, etc.”
Underwood, por su parte, señaló que así como muchos expertos en seguridad, los capitalistas de riesgo suelen ser recelosos de la ciberdefensa activa. Señaló el enfoque de seguridad adaptable de la nueva empresa de seguridad de Illumio como un ejemplo de que los inversionistas favorecen un método de seguridad menos ofensivo.