La solución definitiva: el pentesting continuo
El pasado viernes tuvo lugar en La Salle el evento de seguridad OWASP, y concretamente en la ponencia de Chema Alonso, se expuso la problemática de la seguridad informática y su solución, el pentesting continuo. Es decir, someter a los servicios informáticos a ataques continuos controlados para asegurar que son fiables y seguros.
Chema Alonso también planteó porqué los malos, los hackers, siempre ganan, por qué razón es más fácil destruir que hacer. Actualmente, la seguridad informática no está pensada para los usuarios, y este es un gran problema. Alguien inexperto en protocolos de seguridad y que no esté al día de los nuevos avances y descubrimientos en este mundo, le es muy difícil diseñar una solución realmente segura. Si no, prueben de explicar cómo configurar una red wifi segura a vuestras madres. Para la mayoría es realmente complicado. Además, los ciberataques son constantes y cualquiera conectado a Internet puede ser víctima de ellos.
Por otro lado, cada vez es más sencillo poder realizar ataques informáticos, cualquier persona con unos mínimos conocimientos puede llevar a cabo un ataque. En Internet hay una amplia documentación y herramientas como por ejemplo el Kali, el nuevo Backtrack, para poder hacer ataques y lanzar exploits. Además, cada día salen a la luz nuevas técnicas y zero days, agujeros de seguridad que no se conocían hasta el momento.
Sin embargo, muchas empresas no son consientes de la realidad actual y por eso, continúan haciendo auditorias de seguridad una vez al año, o como mucho cada tres meses, cuando en el mundo de la informática, tres meses es mucho tiempo. No obstante, cada día se publican nuevas técnicas y nuevos agujeros de seguridad. Además, las auditorias de seguridad nunca son tan exhaustivas como las que realizaría un atacante en la práctica.
La solución que plantea Chema Alonso es hacer una auditoria de seguridad continua, poner a prueba los servidores sin descanso, haciendo ataques continuamente. Además de actualizarlos con las nuevas técnicas de pentesting que se vayan publicando. Esta parece ser la única forma de asegurar los servicios informáticos para la mayoría de los ataques, ya que la seguridad total nunca existe.
Realmente esta solución es muy agresiva y no se puede aplicar en cualquier servicio ya que hay altas probabilidades de que la auditoria haga caer el servicio. Por este motivo, se debe escalar y hacer seguro el servicio mientras se van añadiendo más ataques controlados. Para ayudarnos en esta tarea, la virtualización puede ser de gran ayuda para replicar el servicio y tener una réplica dedicada a la auditoria de seguridad y otra a los clientes o usuarios.
En resumen, los ataques informáticos han llegado a un alto grado de sofisticación y la importáncia de asegurar los servicios online hacen reformularnos las estrategias para asegurarlos y diseñas soluciones tan agresivas como el pentesting continuo.
Comentarios
Enviado por mavila (no verificado) el Mié, 07/24/2013 - 19:58 Enlace permanente
Igual que pasa con la (alta) redundancia en datacenters, no creo que todo el mundo se pueda permitir este tipo de pruebas. Habrá que hacer un balance entre coste y beneficio y que cada uno (o cada empresa) determine si le compensa ser proactivo o si no le queda otra que ser reactivo en cuanto a seguridad.
Enviado por Alan Briones Delgado (no verificado) el Jue, 07/18/2013 - 13:06 Enlace permanente
Como al resto de compañeros, supongo que el hecho de que se realicen ataques continuos a los servidores no se consideran de interés por el consumo de recursos que eso conlleva, además de la no orientación al usuario. Aun así, el concepto de pentesting es algo que me parece revolucionario en el sector de la seguridad en las redes.
Enviado por Xavier Ramón (no verificado) el Jue, 06/27/2013 - 19:01 Enlace permanente
No pude asistir a las diferentes conferencias que se celebraron durante el OWASP. Sin embargo recuerdo una conferencia de Pete Herzog en La Salle en la que uno de los asistentes le dijo que se debería evaluar el riesgo de ser atacado y securizar en consecuencia. A Pete Herzog no le hizo ninguna gracia, respondiendo que se debía trabajar para securizar absolutamente todo. Es posible que las principales diferencias se encuentren en este punto. En cualquier caso, opino que el pentesting continuo requiere de un gran esfuerzo, sobretodo en la parte económica, cuando es posible que el objetivo que se intenta securizar no presente ningún interés para los hackers.
Enviado por Ramon Martín de... (no verificado) el Vie, 06/28/2013 - 10:27 Enlace permanente
La verdad es que yo opino como Xavi. Para cada caso se debería hacer un análisis de riesgos y pérdidas en caso de ataque. Como todo, hay que evaluar si la inversión que se realiza (en tiempo y en dinero) es completamente necesaria y compensa las posibles pérdidas. En todo caso, una entrada muy interesante, sobretodo para los que vamos algo más desconectados de la parte de seguridad. En mi caso, he de admitir que ni siquiera sabía que había distribuciones específicas de pentesting. Será cuestión de ponerse a trastear algún día ;)
Enviado por Julia Sánchez (no verificado) el Jue, 07/18/2013 - 16:06 Enlace permanente
Estoy de acuerdo con vosotros en realizar una evaluación que tenga en cuenta riesgos versus inversión para la protección. Quizá se podrían combinar diferentes técnicas como utilizar el pentesting continuo en aquellos servidores donde realmente el riesgo sea tan elevado que se deba proteger si o si y , a la vez, emplear un señuelo (tipo honey pot) que atraiga a los hackers y les dificulte encontrar aquellos servidores que están menos protegidos.
Añadir nuevo comentario