Pentesting by Desing

Cuando se hace la auditoría de seguridad a una empresa lo más probable es que siempre acabes entregando un informe en el que se demuestra que ha sido posible entrar - si no a todo - a zonas importanters del sistema. Además, siempre aparecen vulnerabilidades menores que ayudan a preparar ataques más importantes al sistema o fallos de configuración en el entorno que abren definitivamente la puerta.

Esto en la vida real se puede ver fácilmente en lo sencillo que es encontrar vulnerabilidades en sitios web de grandes compañías como Apple, o en webs de proyectos de importancia como el Senado o la web de la famosa Presidencia Europea de España, que acaban sufriendo por errores fácilmente detectables en una auditoría de seguridad.

Aún así, muchos de los sitios webs que acaban siendo vulnerados han pasado alguna auditoría de seguridad en algún momento de su ciclo de vida, lo que hace dudar más si cabe, sobre si el modelo de auditoría de seguridad externa que contratan muchas empresas tiene sentido o no. O lo que es lo mismo, responder a la pregunta de por qué en la mayoría de los casos en los que se hace una auditoría de seguridad, se descubren cosas graves. La respuesta a esta pregunta es sencilla:

El pentesting no debería ser un proceso puntual que se contrata, sino un servicio de ataque 24x7 durante todo el ciclo de vida de tu sistema.

Todos los días a todas horas debería estar el sistema informática bajo el ataque del pentester. Para ello tu sistema tiene que estar diseñado con soporte para Pentesting desde la fase de diseño. Y si no, pues perderás la guerra y acabarás owneado.

Mi teoría es que mientras te ataquen más los más malos que los buenos, tienes las de perder, y para ello es necesario contar con un proceso de pentesting diferente. No se puede contar con una grupo de pentesters durante una semana que vengan y te demuestren que pueden colarse en tu sistema. Así lo único que estás contrastando es que en la próxima auditoría que te obliguen a hacer dentro de un año volverás a ser comprometido - si no totalmente, al menos parcialmente -.

Pentesting Continuo

Entre el tiempo que pasa entre un proceso de pentesting y otro tu sistema informático va a sufrir cientos de mutaciones provocadas por actualización del software de los servidores, el software de los clientes y/o toda la electrónica de red. También habrá actualizaciones y cambios en el código de tus sitios web que habrán realizado tus desarrolladores. Tus certificados digitales se habrán hecho un poco más viejos, algunos hasta habrán caducado, y las contraseñas de tus usuarios habrán sido usadas de forma insegura en cientos de sitios. Por supuesto, tu sistema informatico habrá crecido en tamaño, quieras o no, un buen porcentaje.

A todo esto, habrá que sumar unos cuantos miles de charlas en conferencias de seguridad y hacking en las que se habrán publicado cientos de herramientas, cientos de nuevos trucos de hacking y cientos de bugs en componentes que utilizas en tus sistemas.

Todos estos cambios, todas estas nuevas herramientas, todo este nuevo conocimiento estará ya en el arsenal de un pentester que habrá seguido estudiando Kung-Fu para darle una buena paliza a tu sistema la próxima vez que te encuentre.

¿Y si tengo el al equipo de pentesting interno?

Genial. Si tienes un equipo de seguridad haciendo pentesting todo el día, con formación continua, con capacidad de lanzar una prueba contra un sistema todos los días a cualquier hora, sin necesidad de pasar una enorme lista de restricciones antes, entonces estarás haciendo lo que te digo: Pentesting Continuo. 

Pero si tu equipo de pentesting interno no puede hacer una prueba de D.O.S. cuando quiera para testear el sistema, o no puede pegarle fuerte y duro a una web porque el servicio puede dejar de funcionar, entonces estás perdido, ya que tu sistema no cuenta con Pentesting by Desing.

Tus sistemas tienen que estar diseñados para soportar el acoso 24x7 de los ataques de los malos, y por tanto debería estar diseñado para soportar el acoso 24x7 de los buenos. Si no es así, los malos ya han ganado y es cuestión de tiempo que acabes con un defacement de LulzSec - u otro grupo - o una portada en los medios de comunicación por un bug de renombre.

Yo sistematicamente pruebo los bugs nuevos que aparecen con sitios que deberían tener un cierto nivel de preocupación con estos temas, como los metadatos con la Misile Defense Agency o en las agencias de inteligencia mundiales, los .DS_Store con Apple y Google, o los fallos de IIS Short Name en webs de Beijing y Washington D.C. Al final ni ellos tienen un sistema de Pentesting continuo 24x7.

Pentesting by Design

Para que puedas tener un proceso de auditoría que sea más rápida y efectiva que los ataques de los malos tienes que hacer que tu sistema cuente con el Pentesting by Design. Esto quiere decir que el dimensionamiento de la memoria, el almacenamiento y el ancho de banda de la línea de comunicaciones en tu sistema esté diseñado con el porcentaje necesario para dar una calidad de servicio adecuada a tus usuarios, más el porcentaje destinado al ataque continuo de los malos, más el porcentaje necesario para que tu sistema pueda sufrir un proceso de Pentesting Continuo 24x7 desde el primer día.

¿Es suficiente esto?

Pues no, por supuesto. El Pentesting by Desing te permitirá realizar un Pentesting Continuo de tu equipo, lo que te permitira sólo que los procesos de auditoría de seguridad tengan las mismas oportunidades que un atacante malo, pero luego deberás seguir haciendo los deberes en todas las fases de gestión de la seguridad de tus sistemas.