Cuando se hace la auditoría de seguridad a una empresa lo más probable
es que siempre acabes entregando un informe en el que se demuestra que
ha sido posible entrar - si no a todo - a zonas importanters del
sistema. Además, siempre aparecen vulnerabilidades menores que ayudan a
preparar ataques más importantes al sistema o fallos de configuración en
el entorno que abren definitivamente la puerta.
Aún así, muchos de los sitios webs que acaban siendo vulnerados han
pasado alguna auditoría de seguridad en algún momento de su ciclo de
vida, lo que hace dudar más si cabe, sobre si el modelo de auditoría de
seguridad externa que contratan muchas empresas tiene sentido o no. O lo
que es lo mismo, responder a la pregunta de por qué en la mayoría de
los casos en los que se hace una auditoría de seguridad, se descubren
cosas graves. La respuesta a esta pregunta es sencilla:
El pentesting no debería ser un proceso puntual que se contrata,
sino un servicio de ataque 24x7 durante todo el ciclo de vida de tu
sistema.
Todos los días a todas horas debería estar el sistema informática bajo
el ataque del pentester. Para ello tu sistema tiene que estar diseñado
con soporte para Pentesting desde la fase de diseño. Y si no, pues perderás la guerra y acabarás owneado.
Mi teoría es que mientras te ataquen más los más malos que los buenos,
tienes las de perder, y para ello es necesario contar con un proceso de pentesting
diferente. No se puede contar con una grupo de pentesters durante una
semana que vengan y te demuestren que pueden colarse en tu sistema. Así
lo único que estás contrastando es que en la próxima auditoría que te
obliguen a hacer dentro de un año volverás a ser comprometido - si no
totalmente, al menos parcialmente -.
Pentesting Continuo
Entre el tiempo que pasa entre un proceso de pentesting y
otro tu sistema informático va a sufrir cientos de mutaciones provocadas
por actualización del software de los servidores, el software de los
clientes y/o toda la electrónica de red. También habrá actualizaciones y
cambios en el código de tus sitios web que habrán realizado tus
desarrolladores. Tus certificados digitales se habrán hecho un poco más
viejos, algunos hasta habrán caducado, y las contraseñas de tus usuarios
habrán sido usadas de forma insegura en cientos de sitios. Por
supuesto, tu sistema informatico habrá crecido en tamaño, quieras o no,
un buen porcentaje.
A todo esto, habrá que sumar unos cuantos miles de charlas en
conferencias de seguridad y hacking en las que se habrán publicado
cientos de herramientas, cientos de nuevos trucos de hacking y cientos
de bugs en componentes que utilizas en tus sistemas.
Todos estos cambios, todas estas nuevas herramientas, todo este nuevo
conocimiento estará ya en el arsenal de un pentester que habrá seguido
estudiando Kung-Fu para darle una buena paliza a tu sistema la próxima vez que te encuentre.
¿Y si tengo el al equipo de pentesting interno?
Genial. Si tienes un equipo de seguridad haciendo pentesting
todo el día, con formación continua, con capacidad de lanzar una prueba
contra un sistema todos los días a cualquier hora, sin necesidad de
pasar una enorme lista de restricciones antes, entonces estarás haciendo
lo que te digo: Pentesting Continuo.
Pero si tu equipo de pentesting interno no puede hacer una prueba de D.O.S.
cuando quiera para testear el sistema, o no puede pegarle fuerte y duro
a una web porque el servicio puede dejar de funcionar, entonces estás
perdido, ya que tu sistema no cuenta con Pentesting by Desing.
Tus sistemas tienen que estar diseñados para soportar el acoso 24x7 de los ataques de los malos, y por tanto debería estar diseñado para soportar el acoso 24x7 de los buenos. Si no es así, los malos ya han ganado y es cuestión de tiempo que acabes con un defacement de LulzSec - u otro grupo - o una portada en los medios de comunicación por un bug de renombre.
Pentesting by Design
Para que puedas tener un proceso de auditoría que sea más rápida y
efectiva que los ataques de los malos tienes que hacer que tu sistema
cuente con el Pentesting by Design. Esto quiere decir que
el dimensionamiento de la memoria, el almacenamiento y el ancho de banda
de la línea de comunicaciones en tu sistema esté diseñado con el
porcentaje necesario para dar una calidad de servicio adecuada a tus
usuarios, más el porcentaje destinado al ataque continuo de los malos,
más el porcentaje necesario para que tu sistema pueda sufrir un proceso
de Pentesting Continuo 24x7 desde el primer día.
¿Es suficiente esto?
Pues no, por supuesto. El
Pentesting by Desing te permitirá realizar un
Pentesting Continuo
de tu equipo, lo que te permitira sólo que los procesos de auditoría de
seguridad tengan las mismas oportunidades que un atacante malo, pero
luego deberás seguir haciendo los deberes en todas las fases de gestión
de la seguridad de tus sistemas.
Fuente http://www.elladodelmal.com/ de Chema Alonso