Visión del atacante y de la defensa en la ciberseguridad actual

Problematica actual

En relación a la problemática actual en relación a la seguridad, tanto en empresas como en particulares, nos enfrentamos a un mundo en el que el concepto de perímetro ya no existe, está muy difuminado.

Antaño se utilizaba lo que se conocía como Modelo de Castillo, en el que se utilizaba el símil de la Edad Media, donde una empresa era el castillo, y como no había tanta conexión a internet, se cerraba la puerta del castillo, que estaba rodeado por un foso con cocodrilos, y no podía entrar nadie.

Esto hoy en día es inviable, puesto que estamos conectados por multitud de dispositivos y, en general, un entorno muy heterogéneo. Cualquier empresa, con la nube e internet, está totalmente desplegada, sobre todo si es multinacional, y con ese entorno heterogéneo de dispositivos se hace muy difícil controlar la seguridad y monitorizar qué está pasando en cada uno de los dispositivos y en cada una de esas sedes.

Además, se está llevando a cabo todo ese proceso de transformación digital, sobre todo a nivel de las empresas, aunque también en casa, con toda la evolución de dispositivos, que nos ha llevado del teléfono fijo al teléfono inalámbrico y después al teléfono móvil y al Smartphone, y del ordenador de sobremesa al portátil. Este proceso de transformación digital también hace que sea complicado monitorizar y controlar la seguridad de todo lo que lo rodea.

Por otro lado, las tácticas, técnicas y procedimientos de los atacantes crecen a una velocidad muy rápida, en ocasiones más que los recursos defensivos, las tácticas defensivas y el cómo prevenir la forma en la que nos van a atacar para explotar las vulnerabilidades.

A todo esto, debemos sumarle nuevos entornos como el Cloud, Internet of Things o los entornos industriales, que hacen que la superficie de exposición sea aún mayor.

También, como hemos comentado antes, la velocidad a la que evolucionan las herramientas que utilizan los atacantes, además de sus tácticas y técnicas, implica que la velocidad en la detección y remediación sea algo crucial. Ya que no podemos garantizar el 100% de seguridad, cosa que nunca se ha podido garantizar, pero ahora mucho menos, lo que tenemos que garantizar es que el tiempo de detección y respuesta sea lo más lo más rápido posible para minimizar el impacto si se materializa la amenaza.

Brechas de seguridad e incidentes en la actualidad

En la imagen siguiente podemos ver que existen muchas brechas de seguridad e incidentes, y que cada vez el número de las mismas es mayor, aunque las mostradas en la misma solo son las más importantes.

Atacante y defensa en la monitorización de seguridad

Es interesante conocer los dos lados, por un lado, la parte del atacante, qué técnicas y qué herramientas utilizan y cómo las utilizan, además de comprender ese pensamiento lateral que muchas veces utilizan a la hora de atacar a sus objetivos.

Dentro de esas herramientas de seguridad, es muy conocida Kali Linux, que es como la herramienta base, un framework que dispone de un montón de herramientas que permiten al atacante localizar su objetivo, escanear si tiene alguna vulnerabilidad, puerto abierto o trasera que le permita colarse a un router casero o a red de una organización.

También es interesante resaltar por ejemplo el motor de Shodan, todo ahora que los entornos industriales cada vez están más abiertos y expuestos a Internet, y de forma muy sencilla, haciendo una pequeña búsqueda, permite localizar dispositivos que se utilizan en esos entornos que estén abiertos y expuestos a internet, que no tienen un proceso de actualización tan periódico y son objetivos claros de los atacantes.

Por otro lado, en la parte de la defensa, aparte de las propias herramientas que hemos visto que utilizan los atacantes, para entender cómo funcionan, para escanear nuestros propios activos y servicios para ver si son vulnerables, tenemos otro tipo de herramientas que utilizan la parte defensiva.

Estas herramientas van desde la más sencilla, como puede ser un administrador de red que utilice su directorio activo y con el editor de políticas de grupo para hacer la restricción de permisos y dar el mínimo privilegio a los usuarios, a otras más complejas, como herramientas de trafico limpio de DNS o un firewall, por ejemplo, herramientas que complementan la parte de la defensa.