En los 90,
el mundo de la seguridad informática prácticamente se limitaba a los conceptos
“cifrado”, “política de seguridad” y “análisis de riesgos”. Casi nadie se
planteaba un enfoque ofensivo (mucha gente en la industria aun piensa así).
Con enfoque
ofensivo nos referimos al estudio de la seguridad de un entorno desde el punto
de vista del atacante. Es decir buscar puntos débiles o vulnerabilidades que
permitan burlar el diseño original de un sistema para comprometer su
integridad, su confidencialidad o su disponibilidad.
En los 2000,
salió a la luz la gran fragilidad de los enfoques solamente defensivos:
Infecciones masivas, Exploits remotos para casi todo, Famosos defacements. Los
atacantes eran principalmente “amateurs” y aun así conseguían entrar en
cualquier sitio.
Fue entonces
cuando se vio la gran importancia de aportar un enfoque ofensivo.
Inicialmente
parece más sencillo un enfoque ofensivo; al atacante le basta con encontrar un único
punto débil que le permita iniciar una intrusión, mientras que el enfoque defensivo
debe tener en cuenta todos los elementos de una red para protegerlos.
Sin embargo
los roles ofensivos requieren de una mayor especialización y capacidades (su calidad es más fácil de medir). Si un
atacante no es bueno, no va a conseguir burlar las medidas de seguridad de una
red.
En cambio la
calidad de los procesos defensivos es mucho más compleja de medir ya que
depende de muchos factores: el tipo de los datos sensibles, la complejidad de
la red, el número de ataques recibidos, la pericia de los atacantes e incluso
muchas veces simplemente de la suerte.
Es por esto
que es mucho más fácil ocultar la falta de capacidades en los roles defensivos
que en los roles ofensivos.
Recuerdo que
cuando empecé haciendo Tests de Intrusión, era normal tener un ratio de entrada
cercano al 100%. Es decir, siempre era posible romper la seguridad perimetral
de una red y obtener acceso a los datos sensibles objetivo. Incluso en empresas
que se preocupaban de su seguridad y se gastaban dinero en hacer este tipo de
pruebas (que en esa época no eran comunes).
Casi 2
décadas después, ese ratio ha bajado un poco. Por una parte han mejorado mucho
las herramientas defensivas (mejor segmentación, mejor autenticación, procesos
de calidad de software, actualizaciones de seguridad, detección de intrusiones,
etc.) y por otro lado los Test de Intrusión se han convertido en un servicio “Comodity”;
mucho más automatizados, menos especializados, más baratos y realizados en
menos tiempo.
Pero si los
Test de Intrusión se realizasen como hace años, probablemente estaríamos
hablando de un ratio de entrada todavía cercano al 90% y si además
dispusiésemos de tiempo ilimitado para este tipo de pruebas (como sucede en el
caso de las operaciones APT) estaríamos de nuevo cerca del 100%.
Y es que el
factor tiempo es crítico, mientras los Tests de Intrusión o algunas operaciones
ofensivas están constreñidas a un plazo temporal, otros tipos de ataques, como podría
ser una operación APT, pueden llevarse a cabo durante meses e incluso años (un
requisito en algunas operaciones de información es la paciencia).
Por tanto
podríamos decir que el estado general de seguridad ha mejorado poco. Se lo ponemos
más difícil a los “malos” pero seguimos siendo vulnerables.
Eso explica
porque seguimos viendo casi todos los días noticias sobre graves incidentes de
seguridad en grandes compañías. Aunque el perfil de los atacantes ahora es
mucho más profesional.
Una cosa si
ha cambiado en gran medida, ahora es mucho más difícil “que no te pillen”. Y
por lo tanto juegan un papel mucho más importante el estudio de las estrategias
ofensivas.
Me gusta
mucho el modelo americano que se está popularizando de gestionar la seguridad a
partir de 2 equipos: el “red-team” (ofensivo) y el “blue-team” (defensivo), que
trabajan de forma coordinada y colaborativa.
Tener estos
2 enfoques trabajando a la vez nos permite:
- Generar una sana competencia.
- Que un equipo sirva como indicador de la calidad del trabajo del otro.
- Saber cuáles son los puntos más fáciles de atacar permite priorizar mejor las medidas defensivas.
- Saber lo que es más difícil de defender permite priorizar mejor las estrategias ofensivas.
- Conseguir métricas que nos den una visión de nuestro estado de seguridad desde 2 puntos de vista complementarios.
Aunque hay
que tener en cuenta que no vale de mucho un red-team si luego se limita el
alcance de las pruebas a realizar. Lo podemos comparar con las ROE (Rules of
Engagement) de los ejercicios militares reales, no sirve de nada tener fuerzas
especiales si luego no les dejas hacer lo que saben hacer.
La
existencia del blue-team garantiza que el impacto que pueda tener la actividad
del red-team sobre los sistemas en producción sea controlado y no “rompan”
nada.
Por eso ojo
a los que dicen “es mejor invertir en un red-team” o “para que queremos un
red-team si tenemos un blue-team”. El modelo solo sirve si trabajan los 2
equipos a la vez.
Por cierto,
ojo también a las empresas o profesionales que dicen que mantienen ese ratio de
entrada del 100% habitual hace tiempo. Probablemente estemos ante casos de
gente que no hace tests de intrusión serios desde hace años, los hace de forma
puntual o su perfil de clientes son pymes sin una inversión sería en seguridad.
O tal vez
estemos ante gente que se dedica a hacer operaciones APT y tiene tiempo
ilimitado para realizar sus intrusiones.