Auditoría de seguridad: Conocer las vulnerabilidades del sistema
La ciberseguridad es fundamental para cualquier empresa. Mediante una auditoría de seguridad se puede recabar toda la información relevante para conocer las vulnerabilidades del sistema y proteger el negocio
La auditoría de seguridad es un servicio de relevancia capital para las empresas e instituciones en la era digital. Lo es porque permite conocer en toda su complejidad el sistema de cualquier empresa y optimizarlo. A la vez que se contienen eventuales fugas de información y se garantiza su disponibilidad en todo momento y frente a cualquier ataque. La auditoría dibuja una imagen en tres dimensiones que ayuda a conocer el sistema y optimizar la gestión de vulnerabilidades.
Porque en el universo de la ciberseguridad no solo es estratégico conocer cómo actúan y se comportan los actores hostiles. También es clave monitorizar de forma constante nuestras propias debilidades y fortalezas. Y para eso sirve, precisamente, una auditoría de seguridad: una evaluación concienzuda y fuertemente documentada de las grietas de los sistemas informáticos por las que se pueden colar los enemigos.
Metodologías y métricas al servicio del análisis
Tarlogic Security emplea diversas metodologías para llevar a cabo una auditoría IT o hacking ético de los activos de un cliente. Así, el equipo técnico de la compañía hace uso de metodologías abiertas de revisión de seguridad reconocidas en todo el mundo, como OSSTMM, NIST SP 80-115, OWASP y OWISAM.
De la misma forma, los equipos de la empresa de ciberseguridad recurren a estándares como CVSS para la generación de métricas de seguridad, que les permiten clasificar el impacto que provocan las vulnerabilidades y los métodos para priorizar las amenazas, y su remediación.
Antes de continuar, debemos señalar que, aunque a menuda se confundan, la auditoría de seguridad y el test de intrusión no son conceptos análogos. En este tipo de test, también denominados pentesting, se utilizan una serie de pasos particulares para el análisis de seguridad de una organización y el objetivo es identificar y explotar las vulnerabilidades existentes, consiguiendo en algunos casos comprometer el sistema, elevar privilegios y ejecutar algún paso posterior como el borrado de huellas, con el fin de replicar lo que un intruso externo o interno en la compañía podría completar.
Una auditoría de seguridad o revisión de seguridad se centra por el contrario en la evaluación de una serie de controles de seguridad que un activo podrá o no superar, basada en una metodología, guías de seguridad o buenas prácticas. El resultado de una auditoría mostrará aquellas vulnerabilidades identificadas y las recomendaciones de seguridad para remediarlas.
A continuación, pasaremos a abordar los diferentes enfoques con los que se puede hacer una auditoría de seguridad para conocer las vulnerabilidades, así como los diversos tipos de auditoría que se pueden poner en marcha.
Cómo enfocar la auditoría
A la hora de poner en marcha una auditoría, se puede partir de dos enfoques diferentes.
En primer lugar, nos encontramos con la auditoría de seguridad de Caja Negra. Se denomina así porque el personal que realiza el análisis no posee de partida conocimientos de la infraestructura tecnológica que subyace al sistema informático. Por lo cual va a ciegas, como si fuese un atacante externo. Además, el equipo de auditores tampoco dispone de usuarios con los que interactuar en las aplicaciones a analizar.
Este tipo de revisión de seguridad es ideal para evaluar los sistemas y aplicaciones desde la perspectiva de un atacante externo o ajeno a la compañía. Mediante esta simulación, se pueden conocer las vulnerabilidades del sistema y el nivel de exposición a un ataque así como debilidades en la autenticación y autorización.
Mediante este tipo de enfoque de la auditoría de seguridad, el equipo de analistas recopilará y analizará la información disponible y a partir de estos datos intentará identificar las máximas vulnerabilidades posibles a través de técnicas manuales y el uso de otras herramientas específicas.
En segundo lugar, se puede llevar a cabo una evaluación desde otro enfoque más exhaustivo: la auditoría de Caja Blanca. En esta clase de enfoque, el equipo de auditores cuenta, de partida, con la información necesaria acerca de los activos a analizar, tales como, arquitecturas, código fuente o documentación de usuario o de administración. Además, en función de los activos, pueden contar con otro tipo de datos como usuarios legítimos.
Al partir de la existencia de todos estos datos, el equipo de auditores no deberá centrarse, como en el anterior enfoque, en la recopilación previa de información, sino que tendrá que focalizar los esfuerzos en la identificación de vulnerabilidades, y los elementos críticos para el negocio.
Esta revisión tiene por objetivo analizar el sistema y protegerlo frente a la mayoría de ataques o los más sofisticados puestos en marcha por enemigos que cuentan con mayores recursos para acceder a la información. Mediante este análisis, se podrá dotar a la plataforma de una mayor protección en las áreas más sensibles, protegiendo la información crítica que gestiona y descubrir fallos de diseño, agujeros de seguridad y debilidades del código fuente.
Estos dos enfoques de la auditoría de seguridad no son excluyentes. Más bien al contrario: son complementarios. De tal forma que se puede ejecutar una auditoría optando por un enfoque de Caja Negra, obteniendo toda la información y preparándose para los escenarios de ataque más probables. Y después realizar una auditoría de Caja Blanca, focalizada en los aspectos críticos.
Por último, es posible enfocar el trabajo de revisión de seguridad desde un enfoque de Caja Gris. En estas revisiones se cuenta con información parcial, como usuarios de acceso con distintos roles o privilegios en la plataforma, pero no con toda la información existente. Este tipo de enfoques permite acelerar los tiempos de revisiones evitando trabajos previos de recopilación de información y acelerando los procesos de identificación y explotación de vulnerabilidades. En algunos casos se le puede llamar Caja Negra post autenticación.
Abordar la revisión desde varios enfoques permite conocer las vulnerabilidades del sistema de una forma más precisa y completa. Y desarrollar una estrategia defensiva más sólida. La utilidad de una auditoría de seguridad es, pues, incuestionable.
Qué tipo de auditoría de seguridad se puede llevar a cabo
En términos logísticos, Tarlogic Security ofrece a sus clientes tres modalidades para realizar una auditoría de seguridad. A través de un proyecto acotado en el tiempo, mediante una bolsa de horas que contrata el negocio o servicios avanzados recurrentes donde se definen criterios de evaluación conjuntamente con el cliente. Una vez elegida la modalidad, se puede elegir qué tipología de auditoría se va a llevar a cabo. Ahora haremos un sucinto repaso por los tipos más habituales.
- Auditoría web. Mediante este servicio se auditan las tecnologías web en búsqueda de vulnerabilidades existentes. Los datos recopilados se analizan y se obtiene una imagen certera de las vulnerabilidades existentes en la tecnología (Microsoft IIS, Apache, Websphere, Nginx…), las debilidades del código empleado (.NET, PHP, Java, Python…) y las amenazas asociadas a la lógica de la aplicación. Para efectuar esta evaluación, el equipo de ciberseguridad utiliza metodologías como OWASP, y técnicas y herramientas desarrolladas en particular para interactuar con los servicios detectados. A partir de este análisis se puede reforzar la protección web.
- Auditoría de app móvil. Como su propio nombre indica, está centrada en las aplicaciones móviles, tanto Android como iOS, y en definitiva cualquier tecnología móvil. Consiste en un conjunto de pruebas de seguridad para test de aplicaciones, con la misión de analizar cómo estas almacenan, transmiten y procesan la información. Pero también en la seguridad que ofrece el dispositivo hardware (terminal), considerándolo como un entorno hostil.
- Auditorías de plataformas eCommerce. Está muy focalizada en analizar la disponibilidad de la plataforma de comercio electrónico, para asegurar su correcto funcionamiento, así como en la protección de la confidencialidad de los datos de los clientes, en especial la información de pago. Lo cual la convierte en una herramienta clave para reducir los riesgos de fraude, una cuestión capital para el comercio digital.
- Auditorías de plataformas cloud y contenedores. Estas revisiones de seguridad se centran en el análisis de la seguridad en la implementación de tecnologías como Amazon AWS, Google y Microsoft Azure y otras tecnologías de reciente uso como kubernetes o docker, donde se evalúan los fallos derivados de las configuraciones de hardening, fallos de clúster, como la implementación de políticas de red, los ajustes del control de acceso basado en funciones (RBAC), los privilegios de administrador y otros medios que protejan al servidor de la API de Kubernetes.
- Auditoría de líneas base de seguridad en sistemas operativos y tecnologías. Este tipo de análisis estudia la correcta implementación de guías de bastionado y el cumplimiento normativo, las políticas de seguridad y la configuración de los servidores y puestos de trabajo. Además, sirve para elaborar guías de configuración segura, empleando hardening y técnicas de bastionado. Se utilizan guías de seguridad y estándares como los de CIS (Center for Internet Security).
- Test de intrusión interno. Esta auditoría escruta las debilidades en las vías de acceso a información confidencial desde la infraestructura interna de la compañía. Su misión no es prevenir los ataques externos al sistema, sino aquellos que pueden ser originados desde dentro, bien por usuarios que tienen acceso a los recursos de la compañía, tales como empleados, ex empleados o terceros (insider threats), o bien por atacantes ajenos a la organización, que han ganado acceso a la red interna. Este trabajo de seguridad puede ser muy amplio e incluir proyectos concretos como un pentest de active directory o un SAP security assessment.
- Revisión de seguridad perimetral. A diferencia de la revisión anterior, ésta se centra en el perímetro externo de la compañía. Así, analiza los servicios expuestos (portales web, paneles de administración, servidores de correo, DNS…) y aplicaciones. El objetivo, claro está, es conocer las vulnerabilidades del sistema, pero también de su perímetro. Este tipo de revisiones permite anticipar posibles riesgos asociados a la infraestructura y las primeras líneas de defensa de la organización, y evitar posibles amenazas como las ocasionadas recientemente, por ejemplo, por la debilidad de Log4j.
- Auditoría WiFi. En esta auditoría se llevan a cabo una serie de acciones destinadas a evaluar el despliegue y la seguridad de la infraestructura WiFi en redes inalámbricas. Además, se analiza la cobertura de los dispositivos y puntos de acceso y se levantan rogue AP para intentar engañar al usuario y que facilite sus credenciales wifi legítimas a un dispositivo falso introducido por el analista de seguridad. Para este tipo de auditorías se emplea la metodología OWISAM, que define 64 controles técnicos y ha sido desarrollada por Tarlogic Security.
- Hardware hacking. No solo el software es importante en la gestión de la seguridad de una organización. El hardware también debe ser testeado y analizado. Esta evaluación se centra en los dispositivos con acceso físico, con el objetivo de identificar fallos de seguridad en las diferentes puertas de entrada: routers de comunicaciones, cablemódems, dispositivos IOT…
Servicios a medida
Además de este completo catálogo de soluciones analíticas, también se pueden poner en marcha servicios personalizados, diseñados a medida del cliente. Entre ellos podemos destacar cuatro:
- Gestión de vulnerabilidades: Servicios a medida para el seguimiento del ciclo de vida de la vulnerabilidad, desde la identificación a la verificación de la correcta remediación. En este servicio se planifica conjuntamente con el cliente como se gestionará el servicio, la planificación, inventario y entregables, en tiempo y forma.
- Ciberinteligencia. Incluye una amplia gama de acciones destinadas a la obtención de información relevante para la toma de decisiones. Desde el análisis forense hasta la contra inteligencia, pasando por la respuesta ante incidentes de seguridad o los análisis de fraude.
- Red Team. Se trata de un equipo altamente especializado que simula ataques informáticos contra el cliente. De esta forma detecta los puntos débiles en el modelo de seguridad de la entidad y las formas en que se puede entrar al equipo defensivo.
- Bug Bounty. Este programa recompensa a investigadores que identifican fallos de seguridad en el sistema y que los reportan siguiendo un código de buenas prácticas llamado Responsible Disclosure. Esta solución permite a la empresa conocer las vulnerabilidades del sistema y solucionarlas antes de que se hagan públicas y, por lo tanto, puedan ser aprovechadas por los potenciales atacantes.
Todo este conglomerado de servicios y acciones persigue crear una panorámica lo más real posible del sistema de una empresa o institución. Solo conociéndolo a la perfección se pueden prevenir los ataques y fortificar las defensas.
Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com