A nadie se le oculta que hemos entrado en la nueva era de la automatización. Negocios de todos los tamaños y sectores han comenzado a dar pasos hacia un proceso que les permitan mejorar su eficiencia y productividad, a la vez que reduzcan sus costes operacionales; algo que indefectiblemente vendrá asociado con la automatización.
Automatización de la ciberseguridad
Un concepto tan general como este es de esperar que tenga su prolongación también en el mundo de la ciberseguridad. El sector de la ciberseguridad día a día incorpora nuevas soluciones que automatizan una parte significativa de las decisiones y las medidas de protección de los activos tecnológicos que protegen. Por ejemplo, la orquestación de servicios de seguridad (SOAR) permite definir procedimientos, a menudo automáticos, dirigidos a afrontar los incidentes de seguridad que se producen en muchas compañías.
Sin embargo, y de igual modo a como la automatización se utiliza para la protección, también los ciberdelincuentes han automatizado sus procedimientos aplicando conceptos como él “Ransomware as a Service” o el “Phishing as a Service”.
Herramientas semiautomáticas de hacking ético
En la actualidad, una significativa parte de los ciberataques se realizan de forma semiautomatizada con mecanismos que permiten recoger información de los objetivos, analizar sus vulnerabilidades y explotarlas en cuestión de minutos u horas. Numerosos servicios —algunos de ellos bien conocidos como Shodan, Censys o Zoomeye— evalúan los estados de seguridad de infraestructuras tecnológicas desde el mismo momento en el que una vulnerabilidad se identifica o se divulga. En paralelo, nuevas aplicaciones automatizan el proceso de ataque y posteriormente lo distribuyen de forma masiva entre las posibles víctimas.
Sea cual sea el caso, lo cierto es que la protección de los servicios TI de una organización se convierte en una tarea de ejecución continua en el tiempo y donde los equipos de ciberseguridad tratan de identificar las vulnerabilidades de sus sistemas, o las de sus proveedores, y las gestionan para poder protegerse. Este proceso, a menudo intensivo en recursos, requiere también de herramientas semiautomatizadas de apoyo que actúen como medios de validación de la seguridad con las cuales ingenieros experimentados en hacking tratan de subvertir la seguridad de un sistema.
Automatización del hacking
Sin embargo, el mercado de la ciberseguridad ha dado un nuevo paso al frente. Las herramientas de automatización de la validación de la ciberseguridad son cada vez más habituales. Numerosos fabricantes como Pentera, Cymulate, Sniper o AttackIQ comienzan a ofrecer aplicaciones que
no solo determinan la presencia de una posible vulnerabilidad en la infraestructura TI de una organización, sino que también evalúan, a través de demostraciones reales de ataques, su posible impacto en cuanto la disponibilidad, integridad o confidencialidad de sus recursos. Por ejemplo, proporcionan servicios automáticos que reproducen el comportamiento de los posibles ciber-atacantes, al tiempo que muestran a los departamentos de seguridad cómo consiguen realmente infiltrarse en sus sistemas siguiendo los pasos que daría cualquier delincuente.
El emergente mercado de la automatización de servicios de hacking
Automatizar el hacking y mejorar la seguridad
La utilidad de este tipo de herramientas resulta obvia. Ya no estamos hablando de herramientas que completan un análisis superficial de potenciales vulnerabilidades de una infraestructura TI, como habitualmente realizan algunas aplicaciones, sino de aplicaciones que llevan a cabo el ataque y validan su éxito, a la vez que clasifican la criticidad y la probabilidad de explotación de las vulnerabilidades, permitiendo que los gestores de seguridad puedan centrarse en aquellas que puedan resultar más dañinas.
Pero ¿cómo lo hacen?
El modelo más habitual que utilizan es la ejecución de las tácticas, técnicas y procedimientos que emplean los ciberdelincuentes del mundo real. De este modo, los equipos de ciberseguridad pueden enfrentarse con “casos reales siguiendo la Cyber-Kill-Chain” y validar su resiliencia frente a los ataques, para posteriormente tomar las medidas correctivas. Más aún, con estas herramientas es posible volver a validar la seguridad de la infraestructura TI y compararla frente a la situación previa una vez implementadas las medidas correctivas. Precisamente la automatización permite este tipo de posibilidades tantas veces como se quiera, ejecutando ataques que dinámicamente van cambiando en función de la configuración que tengan los sistemas en cada momento.
Pero no se quedan ahí. El proceso de automatización proporciona además opciones para validar situaciones concretas, asumiendo que se produjera una determinada brecha de seguridad como un ataque de ransomware, el robo de una contraseña crítica o el desarrollo de una campaña de phishing.
La ventaja de este tipo de análisis resulta evidente cuando se trata de valorar el nivel de riesgo que una organización asume por cualquiera de estas circunstancias, o incluso cuando se intenta evaluar la reacción de los equipos de gestión de la seguridad, sean estos internos o se encuentren externalizados en un tercero.
En definitiva, la mejora en la eficiencia, productividad y reducción de costes que este tipo de herramientas de automatización proporciona a las compañías resulta más que evidente. Por eso, quizás debamos empezar a pensar que ha llegado el momento de contar con herramientas de automatización también de hacking e incluirlas como un recurso más dentro de las organizaciones a modo de apoyo a la auditoría tecnológica. Al fin y cabo, es bien conocido que recuperarse de un verdadero incidente de ciberseguridad tiende a ser bastante más costoso que las propias contramedidas utilizadas para prevenirlo.