La evaluación de ciber-vulnerabilidad con Pen-Tests es obsoleta

Es hora de repensar cómo hacer las evaluaciones de ciber-vulnerabilidad y el rol que tienen las pruebas de penetración (PEN-Test) para cumplir con las regulaciones. Desde nuestra perspectiva los Pen-Test ya no son adecuados para evaluar las ciber-amenazas externas actuales y futuras.

La punta de lanza para la evaluación de vulnerabilidad son las "Plataformas de Simulación de Ataque" (ASP) que nunca duermen porque utilizan una red de robots (bots buenos) en conjunto con humanos. Tal armamento ofensivo puede nivelar las fuerzas entre las empresas y los piratas informáticos. Los ingenieros apoyados en las máquinas, nivelan el terreno de juego en esta guerra cibernética.

Por qué las pruebas de penetración dejaron de ser suficiente.

En primer lugar, un PEN TEST lo realiza una persona o un grupo de gente que necesita dormir de vez en cuando, y desde luego, no puede ser continuo. Más aún, quienes analizan la posible penetración a una red, entregan resultados que no dejan de ser importantes, pero son tan solo una fotografía instantánea con un ángulo limitado de visión de IPs. Por definición, los PEN-Test están desactualizados antes de poder leerlos, sin mencionar que los contratos son costosos y usualmente por tiempo limitado.

En segundo lugar, la superficie de ataque de cualquier empresa no es como solía ser; hoy es un ENORME ecosistema de vectores que incluye IaaS, SaaS y además socios externos y de primer y segundo grado, de desarrolladores, marketing, franquicias, afiliados, proveedores y socios estratégicos por nombrar solo algunos.  

Ni un ejército de PEN-Testers puede mantenerse al día con las agresiones multifacéticas que su superficie de ataque enfrenta. Algunas empresas han abierto brechas que permiten seudo-ataques a costa de los permisos otorgados. Esto a menudo se puede ver en los franquiciados, como ocurrió con el ataque a los hoteles Marriott.

En tercer lugar, hay que precisar que para atrapar a un hacker debe pensarse como un hacker y usar sus mismos métodos para llegar por la ruta más fácil hasta los datos de su empresa. ¡Exacto! El camino más fácil.  Algunos defienden a los PEN-Tester/Hackers Éticos, como más inteligentes porque profundizan en los espacios penetrables en su superficie de ataque, incluso ahondando en zonas peligrosas... Esto es cierto, pero más del 90% de los hackers no necesitan trabajar tan duro. Suelen buscar la ruta más fácil para penetrar su red. Enterprise Strategy Group, ESG, escribe: "La Gerencia de la Superficie de Ataque (ASM) se ha vuelto más común". Para lograr eso, Plataformas de Superficie de Ataque (ASP) serán el nuevo estándar de facto. Así lo vemos en Intelligent-Data.

ESG agrega... "Los CISO (Jefe de Seguridad Informática, por sus siglas en inglés) deberán tener mejores formas de recopilar, procesar y analizar datos para la gestión del ciber-riesgo a medida que los usuarios y los activos estén más dispersos y remotos " .... "La integración de la gestión de la superficie de ataque (ASM/ASP) ya es un hecho. Esto tendrá lugar rápidamente, ya que la mayoría de las organizaciones no tienen idea de todas las conexiones a su red y descubren cosas como dispositivos previamente desconocidos, servidores mal configurados, contraseñas predeterminadas, conexiones de socios, etc. ASM pasará de ser un área esotérica a un requisito empresarial ", según ESG.

El trabajo desde casa y el uso creciente de la nube requieren atención constante y, en parte, explican el crecimiento de nuevas empresas especializadas en amenazas desde la nube, como Netskope, y ofrecen un monitoreo continuo del tráfico. Otras compañías, como Exabeam y Arctic Wolf, ofrecen un enfoque SIEM alternativo y/o SOC dan un servicio de detección de tendencias que permite aún más la predicción y/o remediación con monitoreo.

Pero antes de que las compañías construyan su nuevo kit de herramientas de seguridad cibernética, una compañía debe tener conocimiento CONTINUO Y AUTÓNOMO sobre la porosidad de su superficie de ataque. No puede ser un rango de IP estrecho, ni una fotografía, sino una plataforma que examine continuamente cada vector de todo el mundo en su organización cada minuto de cada día 365x7 descubriendo su "Shadow Risk".

Una nueva compañía bien fundamentada (CyCognito) con varios clientes multimillonarios (tanto a nivel nacional como internacional) está liderando esa senda. Su innovadora Plataforma de Superficie de Ataque es líder en esta categoría y representa un verdadero cambio de paradigma en la forma en que las pruebas de evaluación de vulnerabilidad deben realizarse de aquí en adelante. CyCognito ha ganado el premio RSA que demuestra cómo funciona este cambio en el proceso. Su plataforma global de reconocimiento (con de ataques tansnacionales), vio la necesidad de un cambio para mantenerse al día con los ataques criminales. Crearon una plataforma de red global de robots (buenas botnets) que ofrece 'datos honestos'* (*sin falsas alarmas ni falsos positivos), resultado de un proceso híbrido con 90% de robots y 10% de ingenieros de datos. Los resultados se revisan y las infracciones se priorizan en un panel de control fácil de leer que califica cada vector de riesgo, permite su asignación y siempre actualiza los problemas, incluyendo los casos resueltos.

Las simulaciones de ataque de afuera hacia adentro comienzan sin ventajas, sin agentes desplegados en la red del cliente y sin direcciones IP aportadas por el cliente. Además, para ayudar al equipo de TI a través de la administración de parches, la plataforma proporciona información educativa sobre la amenaza y los pasos de corrección necesarios, nuevamente priorizados según la ruta más fácil hacia su superficie de ataque.

Las botnets nunca duermen, no causan ningún daño y funcionan desde el EXTERIOR como un pirata informático sobre su superficie de ataque, sin excluir los socios de segundo y tercer nivel. Creemos que los ASM/ASP reemplazarán a los PEN-Testers porque un Pen-Test es, nuevamente, solo una foto en el tiempo, limitado en el rango de IP y NO CONTINUO. Su organización no puede pelear con una espada medieval en una guerra entre máquinas. Las pruebas PEN no pueden seguir el ritmo de los ataques multifacéticos y no lo hacen".

Finalmente, recuerde que los escáneres de puertos de la 'vieja escuela' que ubican a los agentes en su red desde adentro hacia afuera tienen una ventaja que un pirata informático no tiene y localiza los activos conocidos, sin detectar problemas de "Riesgo en la sombra", incluidos los dispositivos IoT que hoy tiene el ecosistema extendido. La plataforma de ataque simulado de CyCognito es "Activa", no "Pasiva". También vale la pena señalar que algunas plataformas Outside-In que usan bots son de naturaleza pasiva y eso tampoco es suficientemente efectivo. De hecho, esos escaneos generan falsos positivos y suelen venir con notificaciones expresas de exención de responsabilidad.

El proceso de ASM que usa simulaciones ASP puede predecir infracciones porque han burlado su defensa durante el ataque simulado. La botnet toma huellas digitales de todos los activos (conocidos y desconocidos) y pone en sus manos un mapa exacto sobre cómo y dónde ocurrió la violación simulada. Recuerde que esta no es una foto en el tiempo, sino un análisis continuo y autónomo. Las pruebas PEN, junto a los escáneres de puertos ‘Inside-Out, son obsoletos desde nuestra óptica '.

Es el momento de exigir más allá de una foto instantánea, la guerra de las máquinas cibernéticas así lo exige.

Romano es miembro del "Master of Communication", un grupo independiente de expertos en ciberseguridad, colaboración, comunicación y nuevas tecnologías que bloguea regularmente en LinkedIn y en otros foros. Agradece los comentarios.

Este artículo fue escrito por Bob Romano y contiene únicamente sus propias opiniones personales.

Romano tiene una amplia experiencia, incluido el fundador de dos startups para una salida exitosa. Es CEO de Intelligent-data y reside en Boston. Bobr@intelligent-data.com

Traducido por : Daniel Benaim. VP para América Latina de Intelligent Data.

Para mayor información en Latinoamérica puede contactar a daniel@intelligent-data.com