Hoy en día cualquier organización se encuentra expuesta a múltiples amenazas, muchas de ellas a veces desconocidas. Sin querer sonar alarmante y en base a mi experiencia, la gran mayoría de organizaciones son incapaces de hacer frente de forma correcta a una simulación real de ataque o ejercicio Red Team. En el mejor de los casos las organizaciones son comprometidas en cuestión de semanas, y si bien detectan el incidente tras semanas o incluso meses de haberse producido, la respuesta que se da al incidente es ineficiente y provoca que sea posible continuar con la intrusión. Para solventar esta problemática hay que conocer y simular el problema, con el objetivo de entrenar y formar a las partes involucradas.
A modo de resumen, el conjunto de acciones que se desarrollarían durante un ataque dirigido sobre una organización se podría dividir en:
- Acceso a la red interna: el atacante buscará inicialmente identificar vulnerabilidades que pueda utilizar para lograr acceso a la red interna de la entidad. Para ello, podrá hacer uso de múltiples vías como son los sistemas expuestos en Internet, redes Wi-Fi, uso de ingeniería social, etcétera.
- Control de la empresa: el objetivo final del atacante será lograr el control de la organización, su infraestructura interna, los datos de los clientes, información estratégica, etcétera.
- Detección de la amenaza por el equipo de seguridad: dependiendo de las medidas de seguridad internas y de las capacidades de detección del equipo de seguridad, el ataque será identificado antes o después. La realidad hoy en día nos muestra que son necesarios meses hasta que la empresa es consciente del incidente.
- Respuesta al incidente: una vez se ha detectado dicho ataque, la organización deberá poner a prueba sus capacidades, operativa y procedimientos para, en el menor tiempo posible, solventar el incidente. Sera necesario analizar la situación para identificar la información y sistemas que han podido ser comprometidos.
- Análisis del incidente ocurrido: posteriormente se debe realizar un análisis en profundidad que permita identificar el grado de compromiso mediante el análisis forense de sistemas.
- Expulsión del atacante: de forma paralela, el equipo de respuesta a incidentes deberá trabajar en la identificación del atacante, en la detección de los puntos de acceso y en los sistemas comprometidos.
- Fortificación de sistemas: asegurar los puntos de acceso y realizar auditorías para identificar otras posibles vulnerabilidades que podrían ser utilizadas.
Para poder hacer frente a estas amenazas, y dotar a la entidad de capacidades reales para estar protegida frente a una amenaza dirigida, se necesitan profesionales y empleados que velen por su seguridad. A grandes rasgos, toda empresa debería contar con los siguientes perfiles o bien subcontratar los servicios de empresas que les puedan proporcionar estos recursos:
- CISO (Chief Information Security Officer): perfil que define las pautas de seguridad.
- Managers de seguridad: conjunto de empleados que gestionan los perfiles técnicos.
- Hackers éticos: técnicos dedicados a realizar acciones ofensivas y auditorías sobre los sistemas de la organización en busca de vulnerabilidades que pudieran ser aprovechadas.
- Equipo de seguridad: técnicos dedicados a la securización de sistemas y despliegue de medidas de seguridad.
- Operarios SOC (Security Operation Center): técnicos dedicados a la identificación y respuesta a amenazas.
- Analistas forenses: técnicos dedicados al análisis de sistemas comprometidos para identificar el origen y las vulnerabilidades utilizadas.