¿Sabes qué es un pentesting y como ayuda a tu empresa?

Si no has oído hablar antes de ello, quizá te suene a chino este término, pero es una excelente manera de verificar el estado de seguridad real de la empresa e identificar las vulnerabilidades y otros problemas de seguridad por donde ésta podría ser atacada, con el objetivo de corregirlos y estar mejor protegidos.

Quizá hayas oído hablar de él como test de penetración (penetration + testing) e incluso como hacking ético, aunque este último término guarda algunas pequeñas diferencias con el pentesting.

El pentesting consiste en el “intento de penetración o acceso”, intencionado, pero sin un objetivo malicioso, a los sistemas informáticos de una organización, para desvelar posibles problemas de seguridad y poder tomar medidas.

Así, un servicio de pentest busca y analiza todos los posibles agujeros y fallos de seguridad informática que puede tener un determinado sistema (la web, aplicaciones corporativas, etc.), valorando también su criticidad, alcance, y el posible impacto en caso de que alguien consiguiese explotar dichas vulnerabilidades.

Sin embargo, el hacking ético va un poco más allá completando al pentesting, puesto que, no sólo se centra en la localización e identificación de vulnerabilidades, sino que, una vez encontradas, su siguiente objetivo es la explotación de dichas vulnerabilidades, como si de un ciberataque provocado por un ciberatacante se tratase.

Un ejercicio de pentest puede plantearse de dos modos:

• Focalizándose en el análisis y la detección de vulnerabilidades y riesgos en la superficie corporativa que se encuentra expuesta en Internet, lo que se denomina pentest externo.

• O centrándose en la búsqueda de agujeros de seguridad en la red corporativa y en las actividades que podía llevar a cabo un atacante que haya conseguido entrar en ella, o incluso un insider que trabaje en la organización, lo que se conoce como pentest interno.

Por otro lado, existen tres tipos de pentests:

• De caja negra, donde no se cuenta inicialmente con ningún tipo de información acerca de la empresa ni de los sistemas informáticos de la misma que van a ser analizados (black box pentesting).

• De caja blanca, donde se cuenta inicialmente con toda la información posible acerca de la empresa y de todos los sistemas informáticos de la misma que van a ser analizados (white box pentesting).

• De caja gris, que es una mezcla de los dos anteriores, donde se cuenta inicialmente con información parcial o incompleta de la empresa y de los sistemas informáticos de la misma que van a ser analizados (grey box pentesting).

Este tipo de servicios de seguridad ofensiva debe de ser prestado por expertos en ciberseguridad que aplican sus amplios conocimientos y experiencia, siguiendo un plan de actuación concreto y unos determinados pasos, de forma metódica:

• En primer lugar, su objetivo es localizar toda la información posible sobre la empresa y sobre cada uno de sus sistemas de informáticos, a modo de descubrimiento de objetivos.

• En segundo lugar, encuentran las vulnerabilidades que estén afectando a dichos sistemas.

• En tercer lugar, analizan las vulnerabilidades encontradas y cómo podrían afectar a los sistemas informáticos y a la empresa.

• Si se trata de un hacking ético, se dedican a la explotación de vulnerabilidades encontradas.

• Y, finalmente, preparan un informe de conclusiones y recomendaciones, para solventar todos los problemas encontrados.

¿Conoces nuestros servicios de pentesting? ¿Podemos ayudarte?

Puedes ampliar detalles sobre nuestros servicios de Pentesting visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.

¡La mejor defensa es un ataque! Ataca para evitar ser atacado

¿Cómo está de protegida tu empresa? ¿Es cibersegura? ¿Cuánto de cibersegura? ¿Qué debilidades tiene y qué medidas deberías implementar para que sea (más) cibersegura?... ¿Quieres saberlo? ¡Pruébate a ti mismo y averígualo!

Es normal tener todas estas dudas, e incluso hasta muy bueno si no se quedan en el tintero y, en su lugar, forman parte de un ciclo continuo de mejora (PDCA), de la evaluación periódica del nivel de riesgo y ciberseguridad de nuestra organización y del establecimiento de acciones para fortalecerla aún más.

Cada organización tendrá que evaluarse (internamente, o mejor por parte de profesionales expertos externos) para analizar cuáles son las amenazas y riesgos que les afectan, en que cuantía, cuál sería su impacto en caso de materializarse y cómo se pueden mitigar e incluso evitar.

Pero, la empresa tiene muchos frentes, tiene muchos flancos donde podrían encontrarse muchas debilidades, agujeros de seguridad, vulnerabilidades, etc., a través de los cuales se podría ver envuelta en un ciberincidente o ser víctima de un grave ciberataque.

¿Por dónde comenzar? En primer lugar, haz un ejercicio de Seguridad Ofensiva con el que poder ver la situación en la que se encuentra la organización en materia de protección y ciberseguridad.

¿Seguridad Ofensiva? Sí, básicamente, consiste en ponerse a prueba, en poner a prueba la seguridad de la organización, actuando como lo haría un ciberdelincuente o ciberatacante para encontrar posibles debilidades y vulnerabilidades que poder explotar para atacar.

Así, una vez identificadas, sí será posible establecer controles y poner medidas o remedios de mejora y protección para evitar disgustos. De otro modo… sin esa identificación previa… ya sabemos que… “es imposible mejorar y proteger aquello que se desconoce”.

Dentro de esta estrategia de “atacarnos a nosotros mismos para evidenciar, identificar, corregir, mejorar y proteger” (hacking ético, pentesting, test de penetración, o red team), existen muchas alternativas, objetivos y caminos que seguir, que dependerán mucho de nuestra organización, del tipo de empresa del que se trata, del sector de actividad, de los servicios y productos que proveemos, exponemos y comercializamos, de si vendemos online o no, etc.

Se puede analizar y simular ataques a la web, a la tienda online, a los servidores, a la red corporativa, a sus usuarios perfiles, roles y accesos, a las bases de datos, a los accesos a Internet, a los servicios o entorno en la nube con los que cuenta la empresa, así como el modo en el que se utilizan y gestionan, los dispositivos, sistemas operativos, software y aplicaciones instaladas, etc.

¡Anticípate! Simula un ataque y busca. Identifica vulnerabilidades corporativas, los agujeros de seguridad, revisa tu plan de continuidad de negocio, seguridad y resiliencia, el software y hardware con el que cuentas, así como el estado de actualización del mismo y si se han aplicado todos los parches necesarios, si tienes establecida una correcta configuración, etc.

¡Actúa! Con toda esta información recopilada, ya puedes tener una noción mucho mejor de cuál es el nivel de seguridad de la organización y también conocerás el detalle de posibles “huecos” o debilidades que podría aprovechar un ciberdelincuente para entrar y atacar. ES el momento de poner remedio para prevenir y protegernos proactivamente.

Quizá no te parezca ni sencillo ni trivial hacerlo por tu cuenta. Quizá en la organización no exista un departamento ni personal con conocimientos, formación y experiencia en la materia. Quizá no sea el core business de la empresa.

¡No te preocupes! Existen profesionales externos que puedes contratar para que te ayuden, como Zerolynx y su Servicio de Seguridad Ofensiva:

· Nos convertimos en tu Red Team. Realizamos simulacros, pactados previamente contigo, de ataques a tu organización en diversos puntos, con el objetivo de encontrar debilidades en todo aquello que sea susceptible de mejora en términos de ciberseguridad y protección.

· Descubrimos y te trasladaremos cómo se encuentran y se comportan tus infraestructuras, tus sistemas, tu frontend, tu backend, tus políticas, planes, procesos y tus recursos frente a nuestros ataques, sin que esto afecte negativamente de ningún modo, ni a la continuidad del negocio.

· Te proponemos las acciones de mejora más apropiadas y personalizadas a llevar a cabo para solucionar esas fallas detectadas, fortaleciendo así la seguridad de la empresa y siendo capaces de defenderos de forma más eficiente contra los ciberdelincuentes, sus tácticas, tecnologías que emplean y agujeros que aprovechan.

¿Cómo lo hacemos?:

• Analizamos tus necesidades y requisitos.

• En base a ellas, definimos y planificamos el ejercicio de hacking ético a realizar, su alcance, cómo se va a realizar, sobre qué elementos, etc.

• Lanzamos el pentesting tal y como se haya estipulado en el punto anterior.

• Al finalizar, tendremos una foto precisa del estado de la seguridad de la empresa. En ese momento, preparamos un informe de todo lo que se haya encontrado y de todo lo sucedido durante el ataque, que estará acompañado además de unas recomendaciones de mejora y resolución, así como de un guion técnico de acciones concretas a realizar.

Este tipo de ejercicios de seguridad ofensiva puede ser todo lo detallado y en profundidad que se requiera, del mismo modo que se puede focalizar en aspectos concretos, sin tener que abordarlo en una única ocasión ni de forma completa revisando y atacando todos los posibles “flancos”:

• Pentest externo: el ataque, análisis y la evaluación de riesgos se focaliza en la superficie expuesta a Internet.

• Pentest interno: el ataque se basa en la red interna, como si un atacante hubiese accedido a ella, o como si lo hubiese hecho un insider (personal de la plantilla de la empresa) desde dentro.

• Análisis de entornos cloud: si la empresa cuenta con entornos y servicios en la nube, lanzamos ataques sobre ellos para averiguar su grado de madurez al respecto.

• Red team: averiguaremos cuánto de capacitados estáis para detectar repeler y responder ataques, de la mejor forma posible.

¿Quieres que evaluemos tu seguridad? Puedes ampliar detalles sobre nuestros servicios de Seguridad Ofensiva visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.