Omer Zucker, Product Team Lead, Pentera

De acuerdo a una encuesta del CISO Benchmark de CISCO, el 17% de las organizaciones tuvieron más de 100,000 alertas de seguridad diarias en 2020, con una trayectoria que no para de crecer.  El pasado 2021 ha sido un año récord, entre otras cosas, en vulnerabilidades descubiertas, 20.141 para ser exactos, batiendo el récord de 2020 de 18.325. Podemos estar seguros de que 2022 no se quedará atrás.

El número de vulnerabilidades aumenta a la par que nuestra creciente huella digital y la cantidad de softwares utilizados en las empresas.  Estas cifras inmanejables hacen el trabajo de defensa incluso más complicado si cabe y consecuentemente, lleva a los profesionales de la ciberseguridad al más absoluto agotamiento.

Pero recordemos, vulnerable no es lo mismo que explotable. De hecho, la ratio común entre vulnerable en la teoría y explotable en la práctica es de 1:100. ¿Cómo pueden entonces los equipos de seguridad priorizar y encontrar esa aguja en el pajar de vulnerabilidades? Aquí nos toca identificar su contexto, sus controles de compensación y por supuesto, a qué datos nos conduce.

Nadie dijo que fuera tarea fácil (¡eso ya lo sabías cuando decidiste entrar en este maravilloso mundo de la ciberseguridad!), pero con estos pasos, puedes empezar a definir tu superficie de ataque explotable e identificar los riesgos reales que enfrentan nuestras empresas.

1.       Adopta la perspectiva del adversario.

La única forma de filtrar en este inmenso mar de vulnerabilidades es intentando explotarlas. Eso es lo que hace un adversario. De esta manera, los equipos de seguridad obtienen un vector de ataque claro que apunta al eslabón más débil de la cadena. Desde este punto, las solicitudes de remediación que pasamos al equipo de IT son concisas, gestionables y basadas en impacto real en el negocio. El resto de vulnerabilidades, pueden esperar al ciclo de parcheo definido. Poniéndose en el lugar del adversario, las empresas adoptan una postura proactiva en su programa de ciberseguridad en lugar de reaccionar a los incidentes una vez que desgraciadamente (e inevitablemente) suceden.

2.       Cubre el alcance completo de los potenciales ataques.

Un adversario elegirá el camino de menor resistencia hasta nuestros activos críticos. Esto es, usando toda la variedad de técnicas a su disposición, aprovechando cualquier vulnerabilidad y correlación relevante en el camino. En definitiva, debemos tener un alcance completo cuando hacemos un pentest, cubriendo marcos de emulación de ataques para controles de seguridad, ataques de vulnerabilidad y fortaleza de credenciales, pruebas de equipo de red, auditorías de accesos privilegiados, movimientos laterales…etc.

3.       Automatiza como si no hubiera un mañana!!

La validación de seguridad debe ser tan dinámica como la superficie de ataque que protege. Seamos sinceros, los ejercicios periódicos y manuales no son suficiente para desafiar los cambios constantes que experimentan nuestras organizaciones. El equipo de seguridad debe tener una visión constante y continua de sus activos y exposición, y la única forma de lograr continuidad en este nivel es automatizando las pruebas. El crecimiento continuo de la digitalización, la migración al cloud, trabajo en remoto, ransomware y como no, el archiconocido Log4Shell son sólo ejemplos del panorama de seguridad al que tenemos que adaptarnos y hacen necesaria una validación de seguridad constante y continuada.

4.       Alineate a MITRE ATT&CK y OWASP Top10

Porque así te aseguras de que tus ejercicios están cubriendo las últimas técnicas de ataque de los adversarios. La mayoría de ataques progresan usando las TTPs más comunes, por lo tanto, apoyarnos en estos marcos nos proporciona una cobertura integral de las técnicas usadas por adversarios in the wild. Además, a nivel ejecutivo, facilita la presentación de resultados a comités no técnicos sobre la eficacia de nuestros controles de seguridad y la preparación de nuestra organización frente a posibles amenazas.

Al final del día, debemos preguntarnos ¿Conocemos el riesgo real de seguridad de nuestra organización, en cualquier momento dado? ¿Sabemos cuáles son nuestros puntos débiles que remediar o mitigar antes de que un atacante los aproveche? Ante adversarios con recursos infinitamente mayores que los nuestros y amenazas incesantes, la validación continua y automatizada de la seguridad se convierte en una necesidad, no una opción.