El Pentesting continuo es una práctica/técnica de ciberseguridad que consiste en atacar diferentes entornos o sistemas con la finalidad de encontrar y prevenir posibles fallos en el mismo. En el informe resultante deben aparecer el alcance e impacto de los fallos de seguridad atacados, así como una recomendación para poder minimizarlos o suprimirlos. Para asegurar que la postura de ciberseguridad de nuestros sistemas de información se mantiene en el tiempo, es recomendable repetir estos ejercicios de forma más o menos continua.
Habitualmente este tipo de trabajos se contratan a empresas especializadas cuyos técnicos, con más o menos experiencia y conocimientos, realizan las diferentes pruebas, siendo las técnicas y revisiones manuales las más eficaces y las que confirman o no los falsos positivos que pueden aparecer sobre las vulnerabilidades detectadas. Se suelen utilizar, en muchos casos, herramientas comerciales de escaneos de vulnerabilidades. Por tanto, estamos supeditados a los conocimientos y experiencia de los técnicos que el proveedor de dichos servicios disponga y, también, de las posibilidades económicas de la entidad que contrate estos servicios.
En otros casos, las empresas más preparadas o maduras en materia de ciberseguridad adquieren herramientas de gestión de vulnerabilidades que utilizan para un seguimiento exhaustivo y en el tiempo de su ciberseguridad con la finalidad de hacer una gestión de parches y actualizaciones de software. Normalmente disponen de recursos propios y especializados para ejecutar las pruebas y la gestión posterior de dichos parches por el personal de TI de la organización.
Cuándo y por qué necesitamos un Pentest
Sucede que muchos de los informes resultantes son una relación innumerable de vulnerabilidades, con sus correspondientes parches y actualizaciones de seguridad que hace muy complejo su gestión y aplicación, bien por falta de tiempo, personal especializado o por el riesgo de que una actualización ocasione interrupciones en el flujo de trabajo de los usuarios. Muchos CISO’s creen que los actuales protocolos de gestión de parches de su empresa no consiguen mitigar el riesgo de forma eficaz.
De hecho, compañías de todo el mundo siguen siendo víctimas de los ataques del WannaCry cuatro años después por no haber actualizado y aplicado los parches correspondientes en sus sistemas: de enero a marzo de 2021 incluso se produjo un aumento del 53% en el número de organizaciones afectadas por este ransomware.
Los principales líderes de la industria, los profesionales y los analistas, recomiendan un modelo basado en el riesgo para identificar y priorizar los puntos débiles de la vulnerabilidad y, a continuación, acelerar la corrección. La Casa Blanca publicó recientemente un comunicado en el que insta a las empresas a utilizar una estrategia de evaluación basada en el riesgo para impulsar la gestión de parches y reforzar la ciberseguridad contra los ataques de ransomware. Por su parte, Gartner incluyó la gestión de la vulnerabilidad basada en el riesgo como uno de los principales proyectos de seguridad en los que los profesionales de la seguridad y la gestión de riesgos deberían centrarse en 2021 para impulsar el valor empresarial y reducir el riesgo.
El reto al que se enfrentan las empresas hoy en día es conocer su nivel de exposición al riesgo antes de que sea demasiado tarde, antes de sufrir una brecha de seguridad. No es suficiente una gestión tradicional de Vulnerabilidades, con una lista interminable de CVSS basados en un score general que no sabemos qué consecuencias tiene para nuestra empresa, o si se podrán explotar o no dentro de nuestro entorno. Por otro lado, herramientas tipo BAS (Breach and Attack Simulation), como su propio nombre indica, realizan simulaciones, no ataques reales, y extrapolan los resultados al resto de la red.
Tipos de escenarios de ataque
Un atacante real permanece en silencio en la red mientras reconoce los activos y busca las vulnerabilidades que realmente sean explotables en ese entorno en concreto. Un hacker suele utilizar en muchas ocasiones vulnerabilidades NO críticas pero que aun así le ofrecen un alto beneficio al explotarlas, ya que justamente al no ser críticas, están en menor prioridad en el proceso de remediación. Además, detecta credenciales que cruzan la red, las crackea, las utiliza en otras máquinas, pivota, se mueve lateralmente, escala privilegios, trata de infiltrar malware que le permita nuevas acciones, todo ello con el objetivo de exfiltrar la información deseada.
Eso es exactamente lo que realiza Open3s de forma Automática y Continua. Sin desplegar ningún agente en la Red, simplemente conectando un equipo en un punto de red, podremos realizar escenarios de ataque tipo:
- Black Box, donde no proporcionamos ninguna información a la Plataforma.
- Grey Box, donde podremos incorporar información, como unas credenciales, un nombre de fichero, una dirección a atacar, etc.
- Ataques dirigidos.
- Assessment del Active Directory para comprobar cómo de fuertes son las passwords existentes, incluso aunque cumplan con la política corporativa.
- Assessment de Vulnerabilidades basado en los CVSS tradicionales.
- Búsqueda de una Vulnerabilidad conocida para saber si el proceso de Remediación ha sido realizado correctamente en toda la Red.
- Ataque de versiones seguras de los tipos de ransomware más destructivos encontrados en la vida real. Se emula un ataque completo de ransomware para proporcionar visibilidad de las vulnerabilidades más probables y de las vías laterales que el ransomware tomará para dirigirse a los activos críticos e interrumpir las operaciones para conocer si nuestros sistemas de defensa son capaces de detectarlo y pararlo. Desde la explotación inicial, la ejecución de la carga útil propia hasta el cifrado y la exfiltración de datos, totalmente alineados con el marco MITRE ATT&CK
Y todo ello configurando además el Nivel de Ruido con el que queremos realizar el ataque. Desde una enumeración total con un nivel de descubrimiento ruidoso hasta una enumeración muy ligera con un nivel de descubrimiento extra silencioso… ¿Por qué? Porque es la única forma de comprobar si los mecanismos de Seguridad existentes se están comportando como esperamos se comporten.
¿Cuándo saltan las alarmas en mi EPP? ¿Me está detectando el NDR cuando realizo un ataque? ¿Los Firewalls están protegiendo correctamente? ¿Están llegando las alertas a mi SIEM? ¿Está respondiendo en tiempo y forma mi SOC?
Continuidad y consistencia: Un solo Pentest no es suficiente
Todos somos conscientes de que las Redes están “vivas”. Los usuarios transmiten información con mayor o menor protección, existen fallos humanos, se añaden nuevos equipos a la red cada día que amplían la superficie de ataque, aparecen nuevas vulnerabilidades, existen requerimientos regulatorios que solicitan una prueba permanente de los Sistemas de Seguridad…
Por eso un Pentest anual, quizás dos en los mejores casos, no es suficiente.
De esta forma tendremos una foto puntual en el tiempo, y posiblemente de un escenario no completo de la Red ya que, en muchas ocasiones, al ser un Proyecto limitado en el tiempo, el Pen Tester tratará de lograr el mayor logro aprovechando una brecha… pero ¿Podrá replicar esas mismas Técnicas, Tácticas y Procedimientos en toda la Red en el tiempo que dura el proyecto?
En Open3s ayudamos a los equipos de Red Team a automatizar las tareas más repetitivas, más tediosas y automáticas para poder realizar esos ejercicios en mucho menor tiempo y que los técnicos se centren en los ataques más complejos, en situaciones más complicadas donde podrán aportar mucho más valor a la empresa. Y a las empresas o instituciones con menos recursos o conocimientos a priorizar las acciones de remediación en los puntos clave dónde se inicia el ataque o de mayor riesgo en su infraestructura.
Asimismo, se ofrecen unos Reports Automáticos siempre con los mismos parámetros para que la organización conozca cómo evoluciona su postura de seguridad en el tiempo, priorizando la Remediación en función de la criticidad de las vulnerabilidades en esa Red en concreto, del vector de ataque ejecutado, ahorrando tiempo y recursos en el proceso de Remediación y cerrando las Brechas de Seguridad para evitar el objetivo final, la fuga de información y la interrupción o bloqueo de los servicios.
Autor: J.Mª Cugat, Account Manager en Open3S
