Es una realidad que la evolución de los ciberataques y de la ciberseguridad en los últimos 25 años ha sido rápida y continúa acelerándose a marchas forzadas. Y es que, ‘intentar’ garantizar la seguridad real de una organización ha pasado de ser una opción muy recomendable a una necesidad (y digo intentar porque la seguridad a 100% nunca existe, y el que te diga que sí te está mintiendo), y el hacking ético una de las mejores opciones para prevenir y mitigar riesgos derivados de posibles ciberataques.
¿Qué es el Hacking ético?
El Hacking ético es una conducta por la cual se utilizan los conocimientos relacionados con la informática y la seguridad para detectar anomalías y vulnerabilidades en las infraestructuras tecnológicas, para reportarlas y poder subsanarlas, siempre sin causar daño y con el objetivo de prevenir, antes que curar.
Desde Nunsys, como especialistas en ciberseguridad, ofrecemos un servicio de hacking ético, que permite identificar vulnerabilidades en los sistemas de información y comunicación de cualquier empresa, independientemente del sector en el que opere, y que posibilitarían, a un atacante, causar graves daños en los activos de información de la propia compañía.
Una vez detectadas estas vulnerabilidades, el siguiente paso es identificar el riesgo, e implementar las medidas necesarias para subsanarlo.
Por qué apostar por el hacking ético
- Test de intrusión interno y externo
El test de intrusión interno intenta a su vez emular las condiciones de un ataque desde uno o varios puntos de la red interna de la organización partiendo de una cuenta sin privilegios de administrador y con un conocimiento superficial de la estructura interna de la red de la organización (Análisis Tipo Caja Gris).
El test de intrusión externo emula las condiciones reales de un ataque por parte de un atacante que no posee información previa de la empresa (Análisis Tipo Caja Negra), partiendo solamente de las direcciones IP públicas que se definan dentro del alcance del proyecto.
- Análisis de seguridad Wireless
El análisis de la seguridad wireless trata de emular un ataque por parte de un intruso con acceso al perímetro de la organización, tratando de vulnerar la seguridad de la red inalámbrica. El análisis incluye la revisión de los siguientes aspectos:
-Estudio del alcance físico de la red inalámbrica de la organización
-Descubrimiento de puntos de acceso inalámbricos no autorizados
-Análisis de la configuración de los elementos inalámbricos (routers, switches)
-Análisis de la configuración del cifrado (WEP, WPA, etc.) y de la autenticación de la red (802.1x, PKI, etc.)
-Vulnerabilidad del servicio a Ataques de Denegación de Servicio.
- Revisión Aplicativos web
La revisión de aplicativos web trata de evaluar la exposición de una aplicación publicada en Internet de manera exhaustiva. La revisión se basa en la metodología OWASP v4.0:
-Vulnerabilidades de inyección SQL
-Vulnerabilidades XSS
-Falsificación de peticiones cross-site (CSRF)
-Ejecución de código
-Gestión de autenticación y sesiones
-Búsqueda de puertas traseras y accesos de administración mal configurados
-Vulnerabilidades de directorio transversal
- Auditoria Interna
La auditoría interna de seguridad profundiza en una revisión global de una organización, para ello se parte de una información completa de la estructura integra de la red y aplicaciones de la organización (Análisis Tipo Caja Blanca).
-Revisión de políticas de dominio, actualizaciones, antivirus, etc.
-Revisión profunda de la seguridad en los S.O., BBDD y aplicaciones más relevantes.
-Revisión de protocolos circulantes por la red interna.
-Revisión de privilegios de cuentas de usuarios y segregación de tareas.
-Técnicas de ingeniería social para comprobar la concienciación de los empleados
Ciberseguridad IT y OT
Cuando hablamos de este enfoque basado en la práctica en una organización, debemos de hablar de dos grupos bien diferenciados:
El Red Team es un equipo ofensivo compuesto por hackers éticos que realizan diferentes tipos de auditorías de ciberseguridad consistentes en encontrar las debilidades de la organización de la misma forma que lo haría un ciberatacante. Con ello, ayudan a revisar el proceso de transformación digital para que este se lleve a cabo de una forma correcta y organizada.
- Auditorías continuas de hacking ético Externas IT
El objetivo es evitar que un atacante pueda obtener acceso a la organización. Para ello, un grupo de hackers éticos intentan tener acceso a la organización de igual forma que lo haría un ciberatacante, con el fin de anticiparse a un ataque real y poder reportar (y por ende, solucionar) las vulnerabilidades encontradas.
En este tipo de auditoría se realizan los mismos pasos que realizaría un atacante para acceder a la organización, mediante distintas técnicas de cualquier nivel: suplantación de identidad (habitual hacerse pasar por un integrador), puertos abiertos, explotar vulnerabilidades, hacer uso de ingeniería social, intentos de escalada de privilegios y movimientos laterales para hacerse con el control de la organización, etc.
Beneficios
• Evaluar las posibles brechas de seguridad de activos públicos IT (comunicaciones, seguridad, servidores) de la organización.
• Evaluar las malas praxis que dan lugar al aumento del riesgo.
• La Vigilancia Digital en la dark web aporta información relevante como leaks de información de la marca en redes sociales, foros, etc.
• Detección de brechas de seguridad en servicios publicados en Internet.
• Evaluación del riesgo de las brechas de seguridad.
• Información de la solución de las brechas de seguridad detectadas.
• Adopción de medidas correctivas con respecto al componente humano, al que se ha podido poner a prueba durante el proyecto (Ingeniería social).
- Auditorías continuas de hacking ético Internas IT
El objetivo es evitar que un atacante externo o un insider (el que haya podido acceder a la organización) se hagan con el control de toda la organización.
Se contemplarán las defensas necesarias para evitar la escalada de privilegios, movimientos laterales y otras técnicas para hacerse con el control de la organización.
Se analizan las vulnerabilidades a las que están expuestos los activos internos, de tal forma que se tenga en cuenta el riesgo ante un uso indebido por negligencia, desconocimiento o fraudulento. También ponen a prueba los activos críticos por medio de distintos tipos de ataque: ataques de diccionario, ataques contra el DC, control desde un C2, usuario/password por defecto, etc.
Beneficios
• Detección de vulnerabilidades críticas en equipos/servidores IT.
• Evaluación del riesgo de las vulnerabilidades detectadas.
• Información de la solución de las vulnerabilidades de seguridad detectadas.
• Encontrar vulnerabilidades de seguridad antes de que lo haga un atacante.
- Auditoria OT + GAP SGCI:
El objetivo es detectar el estado de ciberseguridad existente en la red OT. Por ejemplo: detectar que un operador no pueda acceder a información confidencial que no debería acceder, o detectar que se accede a la red IT.
Para ello, se realiza una auditoría a pie de planta con la que se obtiene la información necesaria para detectar posibles accesos no autorizados.
Descripción
• Visión real de la seguridad OT a pie de planta auditando SCADAs / HMI.
• Identificar riesgos de acceso a la información de producción.
• Identificar los riesgos cibernéticos que pueden afectar a la instalación, estimar su impacto potencial y la probabilidad de que se materialicen.
• Modelo de Madurez de un Sistema de Gestión de Ciberseguridad Industrial (SGCI) y estado de Implantación (Estrategia, Activos, Riesgos, Accesos, Configuración, Operación, Organización, Continuidad).
Beneficios
• Identificación de Riesgos de acceso a la información.
• Identificar segmentación OT con IT.
• Identificación de riesgos cibernéticos que puedan afectar a la organización.
• Impacto de riesgos OT y probabilidad de que se materialicen.
• Modelo de Madurez SGCI
• Gestión de la seguridad
El Blue Team es el equipo defensivo, que junto con la información detectada por el Red Team, subsanan las debilidades encontradas por este antes de que un atacante las puedas explotar.
Provee a la organización del conjunto de recursos necesarios para poder combatir distintos tipos de ataques detectados o que podrían suceder.
Hay organizaciones que se pueden permitir el delegar la seguridad en un SOC (Security Operations Center), de forma que estos equipos defienden de forma continua las amenazas a las que está expuesta la organización.
- Seguridad Gestionada IT/OT. SOC
El objetivo es evitar ataques por parte de un atacante, como puedan ser la fuga de información, el secuestro (cifrado por ransomware), ataques dirigidos, u otros.
Para ello se delega la gestión de la Seguridad, teniendo así una supervisión continuada de la seguridad desde el SOC de Nunsys.
Los expertos en ciberseguridad revisan diariamente las amenazas de la organización. Así mismo, el SOC colabora dentro de los centros nacionales (CSIRT.es) e internacionales.
En la infraestructura Central se instala un sistema SIEM (Security Information and Event Management) que aplica
correlación de distintas fuentes de log, como son logs de los firewalls, logs de controladores wifi, logs de eventos
del dominio, logs de eventos de los equipos… Además, se despliegan sondas por distintas sedes para recolectar
el tráfico de red de las mismas y de los sistemas más críticos.
En las redes industriales se emplean mecanismos de Inteligencia Artificial para aprender los comportamientos
correctos en las redes industriales (entorno OT o de Operaciones), y así detectar cualquier anomalía futura en la
operación o posibles amenazas.
Funcionalidades del servicio
• Capacidad y Disponibilidad.
• Análisis del comportamiento de cada activo, entre activos y red. Detección de patrones de ataque y comportamientos anómalos.
• Gestión dinámica de vulnerabilidades.
• Servicio de asistencia CiberSOC en 24×7.
• Virtual CISO (vCISO) asignado.
Beneficios
• Aportar seguridad a la organización de forma continua por parte de expertos certificados.
• Gestión de alertas de seguridad.
• Mitigación de riesgos detectados.
• Informes mensuales del estado de la seguridad de la organización.
• Reuniones mensuales de vC
La filosofía de Nunsys en cuanto a seguridad ética
Nunsys entiende la seguridad como un proceso sobre el cual aplicar la mejora continua, y es por ello que propone servicios que se desarrollan a través de trabajos planificados en el tiempo y relacionados entre sí, para poder aportar información sobre la mejora conseguida. Desde el departamento de Seguridad y Gobierno TIC disponemos de un equipo técnico especializado y certificado que trabaja en tres niveles:
- 1ºADAPTÁNDOSE a los requerimientos del cliente.
- 2ºAUTOMATIZANDO la mejora continua de la seguridad de la empresa con los mejores productos.
- 3ºVALORANDO en todo momento el riesgo real de la organización.
Casos de éxito de Hacking ético
El hacking ético va dirigido a los siguientes sectores: Retail, Industrial, Administración Pública, Logístico, Sanidad, Energía, Infraestructuras, Financiero, Alimentación, Consultoría.
Si quieres más información sobre cómo implementar un proyecto de hacking ético, rellena el siguiente formulario, o envía un correo a daniel.noblejas@nunsys.com.