Dicen los que saben que no te puedes defender exitosamente si no sabes cómo te pueden atacar. De ahí que los encargados de la seguridad en una corporación van a capacitaciones de pentest (hackeo) para entender las técnicas que un atacante usa para introducirse en redes y sistemas.
Pero yo les digo: saber cómo atacar y penetrar no significa forzosamente que sabes cómo defender una infraestructura de TI. Puedes y sabes cómo atacar, pero no se traduce en que sabes cómo blindar una infraestructura de una empresa (que es muy diferente a proteger un par de equipos en casa).
Te hacen un pentest. ¿Y luego qué? Te encuentran varios huecos de seguridad, entre ellos que tu Flash no estaba parchado y lograron adueñarse del sistema; también que la contraseña de tu red inalámbrica es poco robusta y después de dos días de haber capturado tráfico lograron saber dicho password y entraron a la red. “Caray!”, dices tú, “nos encontraron un par de hallazgos, y cómo los resolvemos?”.
La respuesta: parcha Flash y agrega complejidad a tu contraseña de la red inalámbrica. “¿Y ya? Pagué miles de dólares para eso?”. Tú como cliente te quedas con un mal sabor de boca y preguntas “¿Alguna herramienta que recomienden para contrarrestar los hallazgos?”. Y te dicen que bueno, saben mucho de herramientas de ataque, pero así como que herramientas de seguridad pues casi no porque no andan muy metidos en el mundo corporativo y no te pueden comentar ya que están del otro lado de las líneas de defensa.
Es entonces que te das cuenta de que las recomendaciones son poco “estratégicas” y que será tu trabajo como cliente investigar la mejor manera de mitigar los riesgos con el mayor impacto positivo posible.
Los párrafos anteriores me dan a lugar a decir que básicamente hay cuatro tipos de pentesters (con sus variantes y excepciones):
1. Los que saben atacar exitosamente, casi por arte de magia encuentran debilidades de día cero, dominan la creación de exploits y conocen cómo usar exploits de otros, encuentran su camino, arman sus propios scripts. También conocen el camino de la defensa corporativa y no sólo el típico “sé que hay un producto pero es para un usuario, no es para ambientes empresariales”.
2. Los que saben atacar exitosamente, saben cómo crear exploits, encontrar vulnerabilidades de día cero y saben usar exploits de otros, crean su camino, generan sus propios scripts. Pero sólo saben cómo endurecer su propio equipo, no dominan las soluciones estratégicas de seguridad en TI para infraestructuras de organizaciones.
3. Los buenos pentesters que atacan exitosamente usando exploits y metodologías de terceros. Normalmente este tipo de pentesters ofrecen soluciones corporativas limitadas, con una visión a corto plazo y se enfocan en la solución puntual del hallazgo, no en ofrecer soluciones de raíz.
4. Los que no tienen ni idea, corren OpenVas o Nessus y otras herramientitas. Entregan un reporte pobre. Ejecutan scripts que encontraron en la red. Se apegan fielmente a la metodología de Hacking Exposed o a lo que vieron en su curso de Ethical Hacker. No saben bien cómo atacar ni saben bien cómo defender.
Hay quienes no van a seguir un script ni metodología y van a seguir sus instintos y conocimientos. Cuando no encuentran una vulnerabilidad existente en un software, la buscan y van por ella. Se enfrentan a una aplicación o plataforma actualizada, sin debilidades conocidas. Se sientan, analizan, encuentran, explotan y consiguen entrar al sistema. Son hackers. Y son pentesters.
Eso es excelente pero hay que ofrecer soluciones corporativas integrales. Aquí es donde varios pentesters cojean. Se les ocurren acciones chiquitas. No han trabajado en empresas, por lo tanto no saben qué productos podrían ayudar, cuál estándar se podría seguir, qué tips funcionan en la vida real o qué estrategias están dando resultados en otros corporativos. Sus sugerencias se quedan incompletas y su impacto es puntual de corto alcance.
Como cliente, uno buscará pentesters que también puedan dar soluciones estratégicas corporativas porque saben de productos que mitigan ese riesgo, conocen de una práctica de seguridad seguida por otras empresas que ha evitado hackeos, pueden otorgar consejos globales que evitan una penetración; sugieren acciones que tendrán alto impacto positivo por años a venir.
Si de por sí es difícil hallar a un pentester que sepa atacar y penetrar, más difícil es encontrar y evaluar a quienes dominen también el “big picture” y que proporcionen soluciones que vean el bosque, no un par de árboles.
@FaustoCepeda
Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM. Es Maestro de Seguridad de la Información por la Universidad de Londres (Royal Holloway). Actualmente labora en la Oficina de Seguridad Informática del Banco de México. También cuenta con las certificaciones de seguridad CISSP, CISA, CISM y CEH