17/5/2010

El futuro de las pruebas de penetración a sistemas de información

Hace algunas semanas se dieron algunas discusiones en el foro pentest de securityfocus sobre las características de un "pentester experto".

Tristemente he de decir que muchos de los profesionales de esta área viven en el pasado, buscando glorificar un arte que en su forma actual ya no cubre las necesidades de las organizaciones.

Sin menospreciar la capacidad técnica de nuestros colegas y dejando a un lado todo el tema elitista y egocentrista de algunas de estas discusiones (ahora resulta que solo quien ha programado un "exploit" merece llamarse "pentester"), me gustaría concentrarme en cómo debe evolucionar esta disciplina desde mi punto de vista, para mantenerse vigente.

Lo que ha cambiado
Debemos entender y aceptar antes que nada que la situación ya no es la misma de hace una década, cuando esta disciplina estaba en pleno auge.

Hoy los requerimientos de seguridad de las organizaciones demandan un cambio radical en las pruebas de penetración que les proporcione un valor claro.

Esto es lo que ha cambiado:
  • Las empresas reconocen la necesidad de contar con niveles mínimos de seguridad  (ya no es necesario demostrarles que si no aplicaban parches u otro tipo de controles pueden sufrir un incidente grave).
  • Las empresas reconocen que dados suficientes recursos materiales, humanos y técnicos, el acceder a cierta información o sistema es algo prácticamente imposible de evitar (igualmente, ya no necesitan que alguien se demuestre).
  • Las empresas han descubierto que hacer pruebas exhaustivas de seguridad en un sistema específico da más valor que implementar arquitectura básica de seguridad que considere todos los componentes críticos y riesgos "relevantes" para el negocio.
  • Las empresas y los delincuentes también comprenden, que la mayoría de los riesgos de seguridad  actualmente no residen en las vulnerabilidades técnicas, sino en los procesos y en la gente.
  • Las empresas saben que ya no necesitan contratar a especialistas que sólo les digan que están muy mal (técnicamente), y que sus problemas se resuelven implementando controles de seguridad caros y complejos sin considerar el problema de raíz (que normalmente no es técnico).
  • Muchas empresas ya tienen un nivel mínimo de experiencia y conocimientos en seguridad que les permiten exigir calidad de entregables y razonabilidad en los proyectos; ya no se dejan impresionar por tecnicismos.
  • Los controles de seguridad han ido evolucionando al lado de convertirse en un "comodity"; los ataques cada vez tienden más hacia el lado aplicativo y humano que hacia las redes y sistemas operativos. 
  • Las evaluaciones de vulnerabilidades automatizadas hoy en día son tan completas y que brindan un nivel de profundidad de análisis suficiente para la mayoría de las empresas, en un tiempo razonable (mayor costo-beneficio que las pruebas manuales que pueden ofrecer los pentesters más experimentados).
  • Las empresas hoy en día valoran más la confianza que el grado de especialidad técnica (La mayoría de los especialistas en el mercado ya cuentan con un nivel mínimo aceptable. Asimismo, los "hackers" que antes infiltraban redes o quienes programaban virus o gusanos antes eran premiados y reconocidos; hoy van a la cárcel y son rechazado  por las  empresas).
  • Estándares como PCI, que consideran a las pruebas de penetración tradicionales como un requisito indispensable, hoy en día son fuertemente criticados por los altos costos que implican, comparados con las mejoras reales en niveles de seguridad que brindan (costo - beneficio).
  • Las empresas están favoreciendo esquemas de seguridad basados en análisis de sus propios riesgos, en vez de la aplicación a ciegas de  "mejores prácticas genéricas".
 
El valor de pentesting
Anteriormente era común afirmar que las pruebas de penetración a los sistemas complementaban los análisis de vulnerabilidades automatizados (cobertura en amplitud) al revisar en profundidad los los sistemas más críticos.

Pero al darse los cambios mencionados anteriormente, las pruebas de penetración pierden su valor para muchas empresas, incluso dando todo el conocimiento posible a los especialistas que los llevan a cabo.

Complementar las revisiones de vulnerabilidades mediante análisis técnicos más profundos resulta casi ocioso hoy en día, y esto lo perciben no sólo las empresas, sino también los delincuentes.

Sin embargo, hay un camino evolutivo para el pentesting que algunos ya exploran: el complementar las evaluaciones de seguridad en el sentido inverso, es decir, entrar en detalle en los procesos de negocio.

Y hace mucho sentido. Si volteamos a nuestro alrededor en nuestras empresas y nos ponemos a pensar por dónde buscaría un delincuente común obtener acceso a información confidencial o a nuestros sistemas, nos damos cuenta de que seguramente su primera opción no sería la vía técnica, sino algo como el soborno o la ingeniería social.

Pentesting en la década de los 10's
Esto es como veo yo a las pruebas de penetración a sistemas en la década en década a la que acabamos de entrar:
  • Análisis profundo de procesos de negocio y sus riesgos, así como de vulnerabilidades a nivel procesos y gente.
  • Identificación de las vías más factibles (sin sesgo técnico) para obtener información sensible o acceso no autorizado recursos de la empresa.
  • Mayor énfasis en la parametrización de evaluaciones de vulnerabilidades conforme al entorno de negocio (mayor eficiencia de las evaluaciones de vulnerabilidades automatizadas).
  • Documentación de la relación entre vulnerabilidades técnicas, derivadas de evaluaciones de vulnerabilidades automatizadas, y el impacto al negocio (riesgo real).
  • Auditoría de requerimientos específicos para el negocio (regulación y necesidades específicas del sector).
  • Reportes con lenguaje no técnico, y recomendaciones de solución claras, con un enfoque "top-down".
  • Personal con experiencia balanceada: tanto en pruebas técnicas de acceso a sistemas y manejo de herramientas de evaluación automatizada de vulnerabilidades, como conocimientos del sector empresarial  en el que se desempeñan y de análisis de procesos.
Conclusión
La única constante en esta vida es el cambio, y esta disciplina de la seguridad de la información no es la excepción. Las pruebas de penetración a sistemas deben evolucionar hacia un punto donde puedan proporcionar un beneficio tangible a las empresas.

El enfoque de contratar a un experto técnico para que revise en un tiempo finito aquello que a su juicio es relevante, dependiendo en gran medida de la suerte y de la habilidad técnica y conocimientos del especialista, y aceptando sus resultados sin poder comprender la relación de los hallazgos con los riesgos del negocio, ya no es una opción.

Autor: Omar Alejandro Herrera Reyna
Fuente: Candado Digital

1 comentario:

  1. Excelente Analisis

    Es cierto hoy en dia los analisis de vulnerabilidades se han delimitado a un appliance que haga el scan, para que luego un consultor exporte los resultados y la compañia deba analizar el entregable. Y donde queda el valor agregado?, es decir el verdadero entregable, lo que espera la compañias de las empresas de consultoria.

    Saludos

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!