OpiniónSeguridad

¿Está preparada tu empresa para sobrevivir a un ciberataque?

Eduardo Arriols, profesor en el Grado Oficial en ‘Ingeniería del Software’ y en el ‘Máster Indra en Ciberseguridad’ en el Centro Universitario U-tad y Red Team Manager en ‘Innotec System’. Twitter: @_Hykeos.

Eduardo Arriols, U-tad
Eduardo Arriols, U-tad

Hoy en día cualquier organización se encuentra expuesta a múltiples amenazas, muchas de ellas a veces desconocidas. Sin querer sonar alarmante y en base a mi experiencia, la gran mayoría de organizaciones son incapaces de hacer frente de forma correcta a una simulación real de ataque o ejercicio Red Team. En el mejor de los casos las organizaciones son comprometidas en cuestión de semanas, y si bien detectan el incidente tras semanas o incluso meses de haberse producido, la respuesta que se da al incidente es ineficiente y provoca que sea posible continuar con la intrusión. Para solventar esta problemática hay que conocer y simular el problema, con el objetivo de entrenar y formar a las partes involucradas.

A modo de resumen, el conjunto de acciones que se desarrollarían durante un ataque dirigido sobre una organización se podría dividir en:

  • Acceso a la red interna: el atacante buscará inicialmente identificar vulnerabilidades que pueda utilizar para lograr acceso a la red interna de la entidad. Para ello, podrá hacer uso de múltiples vías como son los sistemas expuestos en Internet, redes Wi-Fi, uso de ingeniería social, etcétera.
  • Control de la empresa: el objetivo final del atacante será lograr el control de la organización, su infraestructura interna, los datos de los clientes, información estratégica, etcétera.
  • Detección de la amenaza por el equipo de seguridad: dependiendo de las medidas de seguridad internas y de las capacidades de detección del equipo de seguridad, el ataque será identificado antes o después. La realidad hoy en día nos muestra que son necesarios meses hasta que la empresa es consciente del incidente.
  • Respuesta al incidente: una vez se ha detectado dicho ataque, la organización deberá poner a prueba sus capacidades, operativa y procedimientos para, en el menor tiempo posible, solventar el incidente. Sera necesario analizar la situación para identificar la información y sistemas que han podido ser comprometidos.
  • Análisis del incidente ocurrido: posteriormente se debe realizar un análisis en profundidad que permita identificar el grado de compromiso mediante el análisis forense de sistemas.
  • Expulsión del atacante: de forma paralela, el equipo de respuesta a incidentes deberá trabajar en la identificación del atacante, en la detección de los puntos de acceso y en los sistemas comprometidos.
  • Fortificación de sistemas: asegurar los puntos de acceso y realizar auditorías para identificar otras posibles vulnerabilidades que podrían ser utilizadas.

Para poder hacer frente a estas amenazas, y dotar a la entidad de capacidades reales para estar protegida frente a una amenaza dirigida, se necesitan profesionales y empleados que velen por su seguridad. A grandes rasgos, toda empresa debería contar con los siguientes perfiles o bien subcontratar los servicios de empresas que les puedan proporcionar estos recursos:

  • CISO (Chief Information Security Officer): perfil que define las pautas de seguridad.
  • Managers de seguridad: conjunto de empleados que gestionan los perfiles técnicos.
  • Hackers éticos: técnicos dedicados a realizar acciones ofensivas y auditorías sobre los sistemas de la organización en busca de vulnerabilidades que pudieran ser aprovechadas.
  • Equipo de seguridad: técnicos dedicados a la securización de sistemas y despliegue de medidas de seguridad.
  • Operarios SOC (Security Operation Center): técnicos dedicados a la identificación y respuesta a amenazas.
  • Analistas forenses: técnicos dedicados al análisis de sistemas comprometidos para identificar el origen y las vulnerabilidades utilizadas.
Computing 773