Desde nuestra experiencia y cuando hablamos de evaluaciones o de “assessments”, las mismas se deben considerar después de responder estas 3 preguntas:
– Cuánto puede o quiere gastar mi organización en este servicio?
– Cuánto riesgo está dispuesta a asumir al no evaluar o pasar por alto ciertas “cosas”?
– Cuánto tiempo requiere esta evaluación?
Una vez que la organización identificó de manera clara estos 3 interrogantes ya puede seleccionar el tipo de evaluación que mas se adapte a su necesidad:
Vulnerabilty Assessment / Vulnerability Testing
Este primer tipo de evaluación nos permite identificar parte del riesgo al que esta expuesta la organización actualmente.
Aquí podemos emplear múltiples herramientas que ofrece el mercado. Desde open source hasta de código propietario, gratis y pagas.
Muchas veces son las mismas empresas las que compran o contratan el uso de estas herramientas para que personal propio de sistemas pueda evaluar el nivel de seguridad de su infraestructura sin tener que contratar servicios especializados de terceros.
La finalidad de estas herramientas es la de identificar cuales son los servicios y/o equipos que presentan vulnerabilidades ya conocidas y/o versiones de software obsoletas. Es decir, con bugs de software previamente identificadas en el mercado y para las cuales muchas veces ya circula código ejecutable capaz de explotar dichas fallas.
Dependiendo de cada herramienta y su fabricante, se cuenta con una valoración de severidad o scoring público y conocido hasta métricas o indicadores de severidad / impacto de dichas vulnerabiliddes, propios de cada herramienta.
Penetration Testing
También llamado Pentest o en algunos casos Ethical Hacking. Aquí, la evaluación es mucho más completa ya que no sólo se emplean herramientas para detección de vulnerabilidades sino que además incluye un análisis manual desde el punto de vista de un “usuario mal intencionado” o atacante malicioso.
El objetivo de este tipo de evaluaciones es el de identificar “findings” que puedan ser explotados dando acceso al/los sistemas independientemente de cuáles se trate.
En estos casos, el alcance es mayor al que se emplearía en un Vulnerability Assessment y se trabaja en 3 modalidades respecto a la información que el cliente brinda respecto a los sistemas a analizar:
White Box (El cliente brinda toda la información)
Gray Box (El cliente brinda solo alguna información) o
Black Box (El cliente no brinda ninguna información).
Por experiencia propia y también de la industria, normalmente el modo Gray Box o caja gris es el más adecuado en cuanto a costo y tiempo.
No debemos perder de vista que aunque el alcance sea mayor que en un Vulnerability Assessment, el mismo está acotado a ciertas tareas que deben estar bien definidas y detalladas. Por ejemplo, Infraestructura interna, Infraestructura externa, Sitios o aplicaciones web, etc.
Normalmente su duración es de 1 a 4 semanas dependiendo el tamaño de lo que deba evaluarse.
Red team
También conocido como “ejercicio de red team”. Este punto de evaluación es el de mayor alcance y también por consiguiente es el más costoso a nivel económico.
El alcance en tiempo es mucho mayor al Penetration Test y se lleva a cabo normalmente a lo largo de meses o incluso un año.
La finalidad es lograr un enfoque mas completo y holístico ya que no sólo se analiza toda la infraestructura posible, enumerando todo lo que el cliente pudiese informar, sino también lo que no sabe que tiene expuesto .
Adicionalmente se le añaden 3 componentes no presentes en un PENTEST que son:
– Ingeniería Social: Llamadas telefónicas a empleados a fin de engañarlos para que brinden información, realicen acciones y así agilizar la intrusión.
– Campañas de Phishing: E-Mails armados a medida con la finalidad de ejecutar código en PCs y acceder a la red de la empresa de manera directa.
– Seguridad Física: Engaño, actuación y caracterización a fin de burlar la seguridad física de la empresa y cruzar su perímetro físico, ya sea ingresando a oficinas vestidos de proveedores, limpieza, servicio técnico, etc.
Conclusión
Independientemente del tipo de evaluación que se realice es fundamental no perder de vista que todo tipo de evaluación es una foto en un determinado momento, es decir es una “ foto instantánea” que tomamos al momento de la evaluación ya que los entornos cambian permanentemente. Con lo cual, alguna mínima modificación podría hacer que las vulnerabilidades que en un momento no existían, ahora existan y vice versa. Por este motivo dicho ejercicio de tomar la foto debemos incorporarlo como una buena práctica y realizarlo frecuentemente.
