En una galaxia no tan lejana, existía una organización preocupada por la seguridad informática. Después de una evaluación ardua la organización decidió comprar una herramienta de varios miles de dólares para realizar pruebas de seguridad intrusivas a sus sistemas críticos. Al término de varias iteraciones de pruebas y remediación de vulnerabilidades, la herramienta no pudo detectar más huecos de seguridad. Al llegar a este punto uno de los miembros de la organización no se sentía completamente seguro de los resultados obtenidos. Después de algunas reuniones logró convencer a la organización de contratar los servicios de un grupo de hacker éticos para realizar un estudio. A lo largo de dos semanas este grupo detectó algunas vulnerabilidades que permitían comprometer los servidores más críticos de la organización.
En la actualidad en el mercado existen muchas excelentes herramientas de escaneo de vulnerabilidades y pruebas de penetración. Estas herramientas ayudan a minimizar exponencialmente el tiempo del descubrimiento de vulnerabilidades; esto debido a que tienen vectores bien definidos de descubrimiento y explotación, por lo cual ayudan a tener un acercamiento muy rápido a las siguientes fases de un análisis:
- Descubrimiento de objetivos.
- Identificación de objetivos.
- Identificación de servicios y versiones.
- Descubrimiento de vulnerabilidades.
- Explotación de vulnerabilidades de manera automatizada (Basada en vectores de ataque estáticos de la herramienta).
- Creación de recomendaciones técnicas.
Por otro lado existe el talento o factor humano. El cual mediante experiencia, raciocinio, asimilación y comprensión de conocimiento, puede llevar a este tipo de proyectos a más altos niveles de Análisis de Seguridad y no simplemente en descubrimiento y explotación. El talento humano nos permite realizar fases como son:
- Descubrimiento de vulnerabilidades no lineales.
- Análisis de vulnerabilidades descubiertas.
- Creación de vectores de ataque dinámicos.
- Explotación de vulnerabilidades de manera dinámica.
- Elaboración de planes tácticos de remediación.
- Elaboración de recomendaciones técnicas, de procesos y gente.
Cuando se logra crear una sinergia entre herramientas y talento humano, se crea un equipo altamente eficaz en los análisis de seguridad, mezclar velocidad de descubrimiento, con vectores de ataque dinámicos permite llegar a planes tácticos de remediación, vistos desde los modelos de tecnología, procesos y gente, lo cual considero como un verdadero análisis de seguridad.
Lecturas adicionales:
Deja tu comentario