Autor/a: Neftalí Mañes, Systems Engineer, Cymulate
Todas las personas dedicadas a la ciberseguridad desde hace tiempo hemos estado en algún momento en el punto en el que, tras años de trabajo, creemos completada una arquitectura de seguridad. Una vez instalados todos los componentes (FWs, IPSs, EPPs, CASBs, Proxies, etc.), nos vemos en la situación de comprobar que funcionan, y de planear futuras mejoras.
En el entorno militar se decía que lo difícil de una fortaleza no era construirla, sino mantenerla. Comprobar sus costumbres, sus procesos y evolución, para que no ocurra ningún fallo crítico o minimizar su impacto. En nuestro caso tenemos que tratar de hacer lo mismo, solo que el perímetro de nuestro castillo es bastante difuso, está construido con decenas de productos distintos, y no tenemos demasiadas personas para ayudarnos precisamente.
Para complicar aún más la tarea, en este castillo hay que controlar no sólo lo que entra, sino también lo que sale.
Durante los últimos años en ciberseguridad nos hemos esforzado en crear arquitecturas resilientes, que sean capaces de proteger todos los ámbitos de un entorno muy cambiante. Sin embargo, la comprobación de la efectividad de las mismas es algo que, precisamente por complicado, nos cuesta estandarizar.
La primera aproximación al respecto ha sido durante mucho tiempo la comprobación de estado a través de escáneres de vulnerabilidades. En este caso una aplicación inspecciona la red buscando puntos débiles conocidos, como “bugs” de software, parches de seguridad no instalados o servicios vulnerables. Sería el equivalente a revisar los planos del castillo, buscando defectos en su diseño. Esta iniciativa tiene importantes ventajas, como la posibilidad de repetir el análisis de manera continua, o la sencillez de su realización, ya que una herramienta automática se encarga de ello. Por el contrario, sólo puede detectar vulnerabilidades o problemas conocidos, y únicamente es capaz de analizar una visión estática de la arquitectura. Al no poder integrar los procesos de la organización en las pruebas, perdemos una importante parte de la visión. Simplificando, inspeccionar la solidez de los muros es siempre muy buena idea, pero igual también tendríamos que mirar si nos están construyendo un túnel por debajo.
Una vez las organizaciones han llegado a niveles mayores de madurez, los “pentest” de seguridad han sido la evolución lógica. En ellos, un equipo especializado evalúa la arquitectura de seguridad tratando de obtener acceso a la misma y a sus recursos. Se comprueba hasta dónde pueden llegar, qué pueden obtener y cómo. En definitiva, hemos contratado a un grupo de élite para que nos ponga a prueba.
Esta opción ha sido la preferida por los expertos de seguridad en los últimos años, ya que el atacante puede priorizar los puntos de entrada según su riesgo, y utilizar las más novedosas técnicas en su ataque. Además, no sólo se ciñe a problemas conocidos, sino que puede desarrollar técnicas de ataque ad-hoc para la organización en base a su conocimiento y a su análisis. Y, por si fuera poco, puede usar mecanismos, como la ingeniería social, que de momento sólo podemos realizar los humanos.
Sin embargo, esta opción no está libre de desventajas. Por un lado, dependemos claramente del nivel de experiencia de la persona que realiza las pruebas; y por otro, el coste de las pruebas es significativo. Dado que vivimos en un entorno de falta de expertos en ciberseguridad, los dos problemas anteriores se magnifican, dificultando la repetición de las pruebas de manera continua y limitando la foto a un momento concreto. Asimismo, por muy experto que sea el equipo de “pentest”, es materialmente imposible enfocarse en todos los puntos de la arquitectura en un tiempo razonable, por lo que el análisis siempre es parcial.
Indudablemente los “pentest” manuales aportan mucha información sobre una pequeña parte de nuestra arquitectura, y nos pueden ayudar a comprobar si nos están construyendo el túnel que comentaba anteriormente. Pero mientras lo hacen, no pueden comprobar si los documentos de los visitantes son correctos o no, o si el cambio de guardia dura más de lo previsto, por citar dos ejemplos.
Así, si no pueden hacerlo a la vez, vamos a pedirles que lo hagan a continuación. Es decir, vamos a crear un equipo fijo, y a pedirle que vaya haciendo continuamente comprobaciones abarcando diversos vectores. Hemos llegado a lo que en los últimos tiempos se ha denominado Red Team, un equipo dentro de la organización especializado en poner a pruebas sus defensas. Los beneficios de esta opción son evidentes, ya que aúnan el conocimiento de la infraestructura con la capacidad técnica para simular ataques lo más reales posibles, de manera proactiva. Además, son capaces de evaluar también las capacidades de reacción, y ayudar a los equipos de respuesta con información valiosa. En definitiva, ¿quién no quiere tener a un equipo de CSI comprobando minuciosamente la seguridad de manera permanente?
Lamentablemente esta opción tampoco está exenta de problemas. Por un lado, Grissom y compañía no están siempre disponibles, y su coste y necesidades pueden ser bastante altos. Por otro, al realizar las comprobaciones de manera continua, muchas de ellas son repeticiones de poco interés, lo que dificulta la consistencia de las pruebas e infrautiliza los recursos. Sin olvidar la gran cantidad de informes de documentación, y su necesidad de inclusión en el ciclo de mejora continua. Resulta complicado pedirle a un equipo de Red Team que repita comprobaciones rutinarias un día tras otro, de manera diligente y eficaz; y a la vez que conserve la genialidad y el conocimiento actualizado para situaciones donde se requieran.
Basándonos en lo anterior, en el momento actual, ¿qué opción de las anteriores se adapta mejor a nuestra organización? Posiblemente una combinación de todas ellas permita obtener lo mejor de cada una. Y es precisamente esa aproximación, de manera sencilla, lo que caracteriza a las soluciones de “Breach Attack Simulation”, en adelante BAS, y en particular a la propuesta de Cymulate.
Las soluciones de BAS tratan de automatizar las comprobaciones de seguridad, comprobando la eficacia de las contramedidas de manera continua a través de ataques reales, y seguros. Obteniendo un resultado objetivo, medible en el tiempo, es posible introducir estas comprobaciones en el ciclo de mejora de la organización, comprobando la efectividad de las remediaciones y advirtiendo de cualquier variación en la seguridad del entorno.
Dada la facilidad de implementación de las soluciones como Cymulate, completamente en nube sin apenas necesidad de instalación o configuración, es posible desplegar una arquitectura de evaluación de la seguridad en minutos, pudiendo dar respuesta a cualquier tipo de organización de manera eficaz. Y, por supuesto, actualizada en tiempo real.
Con Cymulate, podemos simular ataques y realizar comprobaciones de manera fácil y rápida, teniendo una visión real de nuestro estado de seguridad en minutos sin especular sobre el mismo. Abarcando todos los tipos de contramedidas o vectores de ataque, podemos dar una respuesta eficaz a la pregunta de: ¿Cuál es mi nivel de seguridad?
La pregunta siguiente podría ser: ¿vienen herramientas como Cymulate a desplazar las opciones anteriores? Nada más lejos de la realidad. Si bien una solución de BAS es ahora mismo la más flexible aproximación a un control de eficacia de la seguridad, su integración con el resto de las opciones maximiza su efectividad, ayudando con sus beneficios mientras se cubren sus carencias. Así, un Red Team puede utilizar herramientas BAS para automatizar las tareas de comprobación y tener una base objetiva para trabajar, centrando su esfuerzo en las tareas de análisis, mitigación y control donde sus integrantes pueden aportar un gran valor añadido. Un “pentest” puede servirnos para comprobar puntualmente un determinado flanco de la arquitectura, mientras que la solución de BAS le permite acelerar el proceso de determinación de dicho flanco. Y, por supuesto, un escáner de vulnerabilidades conocidas puede ayudar a identificar los problemas conocidos permitiendo una rápida mitigación de estos, validando la solución la herramienta de BAS de manera automática.
En definitiva, las soluciones de BAS han llegado para quedarse. Si bien cada organización debe pensar en la mejor estrategia para comprobar su ciberseguridad, el uso de Cymulate puede ayudarle en múltiples formas, mejorando de manera significativa el proceso, y haciendo la vida un poco más fácil.