Auditoría de seguridad por qué es imprescindible para las empresas

Auditoría de seguridad ¿por qué es imprescindible para las empresas?

Proteger los activos de una empresa siempre ha sido una de las razones de ser de la misma pero en la actualidad cuando los ciberataques están a la orden del día, proteger la seguridad de la información de la empresa se convierte en necesario, básico, primordial e imprescindible.

Ahí entra en juego la auditoría de seguridad que puede ser tanto interna como externa pero debe ser constante y precisa para no dar ventaja a los atacantes y poner mayores barreras a sus intentos de accesos, porque haberlos haylos y negar la evidencia no beneficia a nadie.

En esta ocasión Pablo González (@pablogonzalezpe) ingeniero Informático, co-fundador de Flu-Project que trabaja en la actualidad en Id & Privacy en Telefónica Digital (ElevenPaths) y autor de los libros ‘Ethical Hacking‘, ‘Metasploit para Pentesters‘, ‘Pentesting con Powershell‘ y ‘Got Root: el poder de la mente‘, nos indica punto por punto por qué es necesario que las empresas se pongan las pilas con el tema de la seguridad a todos los niveles -tanto defensiva como ofensiva- y los pasos básicos que se siguen habitualmente a la hora de realizar una auditoría de seguridad para detectar posibles vulnerabilidades que hay que remediar.

A continuación tienes disponible un minivídeo con subtítulos en castellano para facilitar la accesibilidad, un podcast y la transcripción literal de la exposición de Pablo aunque también está disponible en Palabra de hacker el vídeo completo del ciberdebate en el que participó dedicado a la Seguridad ofensiva.

Recomiendo echar un vistazo tanto a una interesante charla sobre los tipos y fases del pentesting, auditoría web, herramientas y vulnerabilidades, como a la charla Hack&Beers sobre EVA el Equipo de Vigilancia Artificial, la charla Threat Intelligence o Inteligencia colectiva como descubrir por qué los ataques DDoS se están convirtiendo en una ciberextorsión al alza lo que reafirma la necesidad de estar preparados de la mejor manera posible.

Vídeo

Podcast

¿Por qué es tan importante que las empresas realicen una auditoría de seguridad?

Lo que tenemos que entender al final es que la seguridad de la información consiste en proteger precisamente activos entonces me pongo desde el punto de vista de las empresas ahora mismo. Las empresas lo primero es que la dirección tiene que ser consciente de que tienen que proteger ¿el qué? La información. Al final lo que llamamos seguridad de la información no existiría si no hubiera algo que proteger, entonces hay que proteger algo.

Entonces generalmente pensamos muchas veces que poner medidas de protección como firewalls, IDS, antivirus en los equipos, etcétera con eso ya es suficiente ¿no? Y entonces ahí está el error porque como va a llegar cualquier persona que con cuatro herramientas hoy en día automatizadas incluso y te va a poder sacar los colores, incluso robarte información.

La seguridad de la información vista como una serie de capas

Aquí es donde la seguridad de la información la podemos ver como una serie de capas. Empezamos la capa más base con procedimientos, políticas, concienciación dentro de la propia empresa. Debe ser la dirección la que baje esa política de seguridad hacia todos hacia todos los empleados, entiendan el peligro y cuando vamos subiendo hacia arriba al final llegamos a una parte que es la seguridad más técnica.

Dentro de esa seguridad técnica tenemos un poco la defensiva y tendríamos la ofensiva y aquí es donde es importante porque nos va a demostrar que realmente la inversión que nosotros estamos haciendo, y me pongo de nuevo del lado de las empresas pero puedo estar en el otro lado, la inversión que estamos haciendo económicamente en poner soluciones, incluso en ver si la política de la concienciación está funcionando o se puede demostrar a través de la seguridad ofensiva.

Por eso es importante que una empresa pues realice sus tests de intrusión por ejemplo, como ejemplo básico pero en el momento, en el que estamos haciendo uno, dos test de intrusión al año como empresa estamos dando mucha ventaja a los atacantes eso también hay que tenerlo claro. Entonces lo suyo es tener un equipo interno o lógicamente muchísimas empresas que no pueden hacer coste de ello pero tener un equipo interno que esté intentando hacer un pentesting por ejemplo mucho más diario por así decirlo para ver si existen vulnerabilidades.

Pasos básicos a tener en cuenta en una auditoría de seguridad

Si la auditoría es interna a una empresa y nosotros tenemos que desplazarnos allí y conectarnos, conectar un equipo y nos conectan a la red corporativa o una de las redes que pueda tener la empresa depende del tamaño que tenga, el volumen.

Bueno pues ahí lo primero es saber qué hay a nuestro alrededor no físicamente, que también, porque eso es importante en la interacción con la gente puede ser importante en algún momento en la parte de ingeniería social se puede llegar a utilizar, pero sí saber cómo está o qué podemos ver desde el equipo donde estamos.

Entonces un descubrimiento de servicios, un descubrimiento de máquinas, saber hasta dónde podemos llegar directamente desde esa máquina porque puede ser que en la máquina en la que estemos en la empresa podamos llegar a ciertas máquinas y a ciertos servicios pero no a toda la organización entonces igual luego tendríamos que ir pivotando que se llama, utilizando alguna máquina que haya por medio que pueda tener conectividad con otras o con otras no, o con otras redes.

Todo eso es un proceso, bueno que generalmente va a llevar tres jornadas porque hay que hacer un descubrimiento, porque hay que ver con qué máquinas tenemos conectividad, porque hay que hacer un descubrimiento de servicios, porque hay hacer un descubrimiento de productos y aplicaciones que están ejecutándose, ahí hay que ver si la red se comporta de forma anómala o no se comporta de forma anómala. 

Es decir, si yo pongo un sniffer y de repente el switch no está bien configurado y me están llegando paquetes que no son, que no van dirigidos a mí pero que irían dirigidos a otra máquina y eso está comportando como un Hub que de todo se encuentra uno. Bueno pues hay que hacer una serie de cosas para descubrir qué hay alrededor nuestro y con qué tenemos conectividad dentro de la organización. 

Luego hay que procesar toda esa información, todo ese análisis hay que hacer un análisis para ver si hay algún punto, algún vector de ataque por donde podamos tirar no entonces cuántos más vectores de ataque posibles tengamos pues más posibilidades de que podamos llegar a tener éxito y nuestro objetivo en ese momento es salir de nuestra máquina y conseguir llegar a otras máquinas de la red porque generalmente no nos van a poner tan fácil las pruebas y vamos a estar directamente conectados a máquinas importantes de la organización o sí, eso depende ya hemos dicho del ámbito, del tamaño de la empresa, etcétera.

Una vez salgamos de la máquina quiere decir que me puedo conectar a otras máquinas o que tengo el control de otras máquinas, puedo llegar a pivotar por la organización en busca de mi objetivo, el objetivo que nos hayan marcado previamente pues conseguir el administrador de dominio por ejemplo bueno pues podemos seguir una estrategia para intentar conseguirlo o conseguir acceder a ciertas bases de datos que tienen información sensible porque es una operadora, porque es un banco o por lo que sea bueno pues también, el objetivo es claro entonces nos marcamos una estrategia.

Hay buenas prácticas, se puede procedimentar esto bastante lo que pasa que siempre decimos que también hay mucha parte de experiencia, es decir, por un lado tú puedes procedimentar todas estas técnicas e intentar seguir un guión pero lógicamente si no lo has hecho nunca te vas a encontrar con diversas condiciones o cosas en contra que de repente vas a decir ‘bueno y ahora por dónde voy’. Entonces lógicamente es una mezcla de ambas, es lo que hace un poco al auditor señor del junior. 

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    { «@context»: «https://schema.org», «@type»: «VideoObject», «name»: «Auditoría de seguridad ¿por qué es imprescindible para las empresas?», «@id»: «https://www.yolandacorral.com/auditoria-de-seguridad-empresas/#videoobject», «datePublished»: «2016-08-23», «description»: «Las empresas deben realizar auditorías de seguridad combinando técnicas de seguridad defensiva y seguridad ofensiva para detectar y solucionar sus vulnerabilidades y estar mejor preparadas ante posibles ataques. Pablo González, explica a su paso por Palabra de hacker, por qué son necesarias estas auditorías de seguridad de manera constante en las empresas y qué cosas se tienen en cuenta a la hora de realizarlas.», «thumbnailUrl»: «https://www.yolandacorral.com/wp-content/uploads/Auditoria-seguridad-canal-ciberseguridad-Palabra-de-hacker.jpg», «transcript»: «Lo que tenemos que entender al final es que la seguridad de la información consiste en proteger precisamente activos entonces me pongo desde el punto de vista de las empresas ahora mismo. Las empresas lo primero es que la dirección tiene que ser consciente de que tienen que proteger ¿el qué? La información. Al final lo que llamamos seguridad de la información no existiría si no hubiera algo que proteger, entonces hay que proteger algo. Entonces generalmente pensamos muchas veces que poner medidas de protección como firewalls, IDS, antivirus en los equipos, etcétera con eso ya es suficiente ¿no? Y entonces ahí está el error porque como va a llegar cualquier persona que con cuatro herramientas hoy en día automatizadas incluso y te va a poder sacar los colores, incluso robarte información. Aquí es donde la seguridad de la información la podemos ver como una serie de capas. Empezamos la capa más base con procedimientos, políticas, concienciación dentro de la propia empresa. Debe ser la dirección la que baje esa política de seguridad hacia todos hacia todos los empleados, entiendan el peligro y cuando vamos subiendo hacia arriba al final llegamos a una parte que es la seguridad más técnica. Dentro de esa seguridad técnica tenemos un poco la defensiva y tendríamos la ofensiva y aquí es donde es importante porque nos va a demostrar que realmente la inversión que nosotros estamos haciendo, y me pongo de nuevo del lado de las empresas pero puedo estar en el otro lado, la inversión que estamos haciendo económicamente en poner soluciones, incluso en ver si la política de la concienciación está funcionando o se puede demostrar a través de la seguridad ofensiva. Por eso es importante que una empresa pues realice sus tests de intrusión por ejemplo, como ejemplo básico pero en el momento, en el que estamos haciendo uno, dos test de intrusión al año como empresa estamos dando mucha ventaja a los atacantes eso también hay que tenerlo claro. Entonces lo suyo es tener un equipo interno o lógicamente muchísimas empresas que no pueden hacer coste de ello pero tener un equipo interno que esté intentando hacer un pentesting por ejemplo mucho más diario por así decirlo para ver si existen vulnerabilidades. Si la auditoría es interna a una empresa y nosotros tenemos que desplazarnos allí y conectarnos, conectar un equipo y nos conectan a la red corporativa o una de las redes que pueda tener la empresa depende del tamaño que tenga, el volumen. Bueno pues ahí lo primero es saber qué hay a nuestro alrededor no físicamente, que también, porque eso es importante en la interacción con la gente puede ser importante en algún momento en la parte de ingeniería social se puede llegar a utilizar, pero sí saber cómo está o qué podemos ver desde el equipo donde estamos. Entonces un descubrimiento de servicios, un descubrimiento de máquinas, saber hasta dónde podemos llegar directamente desde esa máquina porque puede ser que en la máquina en la que estemos en la empresa podamos llegar a ciertas máquinas y a ciertos servicios pero no a toda la organización entonces igual luego tendríamos que ir pivotando que se llama, utilizando alguna máquina que haya por medio que pueda tener conectividad con otras o con otras no, o con otras redes. Todo eso es un proceso, bueno que generalmente va a llevar tres jornadas porque hay que hacer un descubrimiento, porque hay que ver con qué máquinas tenemos conectividad, porque hay que hacer un descubrimiento de servicios, porque hay hacer un descubrimiento de productos y aplicaciones que están ejecutándose, ahí hay que ver si la red se comporta de forma anómala o no se comporta de forma anómala. Es decir, si yo pongo un sniffer y de repente el switch no está bien configurado y me están llegando paquetes que no son, que no van dirigidos a mí pero que irían dirigidos a otra máquina y eso está comportando como un Hub que de todo se encuentra uno. Bueno pues hay que hacer una serie de cosas para descubrir qué hay alrededor nuestro y con qué tenemos conectividad dentro de la organización. Luego hay que procesar toda esa información, todo ese análisis hay que hacer un análisis para ver si hay algún punto, algún vector de ataque por donde podamos tirar no entonces cuántos más vectores de ataque posibles tengamos pues más posibilidades de que podamos llegar a tener éxito y nuestro objetivo en ese momento es salir de nuestra máquina y conseguir llegar a otras máquinas de la red porque generalmente no nos van a poner tan fácil las pruebas y vamos a estar directamente conectados a máquinas importantes de la organización o sí, eso depende ya hemos dicho del ámbito, del tamaño de la empresa, etcétera. Una vez salgamos de la máquina quiere decir que me puedo conectar a otras máquinas o que tengo el control de otras máquinas, puedo llegar a pivotar por la organización en busca de mi objetivo, el objetivo que nos hayan marcado previamente pues conseguir el administrador de dominio por ejemplo bueno pues podemos seguir una estrategia para intentar conseguirlo o conseguir acceder a ciertas bases de datos que tienen información sensible porque es una operadora, porque es un banco o por lo que sea bueno pues también, el objetivo es claro entonces nos marcamos una estrategia. Hay buenas prácticas, se puede procedimentar esto bastante lo que pasa que siempre decimos que también hay mucha parte de experiencia, es decir, por un lado tú puedes procedimentar todas estas técnicas e intentar seguir un guión pero lógicamente si no lo has hecho nunca te vas a encontrar con diversas condiciones o cosas en contra que de repente vas a decir ‘bueno y ahora por dónde voy’. Entonces lógicamente es una mezcla de ambas, es lo que hace un poco al auditor señor del junior.», «uploadDate»: «2016-08-23», «duration»: «PT5M32S», «publisher»: { «@type»: «Organization», «name»: «Palabra de hacker by Yolanda Corral», «logo»: { «@type»: «ImageObject», «url»: «https://www.yolandacorral.com/wp-content/uploads/Logo-Palabra-de-hacker-ciberseguridad-de-tu-a-tu.png», «width»: 60, «height»: 60 } }, «embedUrl»: «https://youtu.be/LDF33OPHU8k» }

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.