Comunidad

19 de abril de 2021 | por: José Gutiérrez | 0 comentarios

Cómo hacer una auditoría de ciberseguridad de hacking ético

Hoy en día, las empresas tienen un nivel de riesgo muy alto de sufrir un incidente de ciberseguridad que puede ocasionarles el cese del negocio. Esto es debido, principalmente, a la gran cantidad de vulnerabilidades y fallos de seguridad existentes en los sistemas y aplicaciones.

Si las empresas quieren subsistir, están obligadas a realizar auditorías de ciberseguridad para detectar esos fallos y vulnerabilidades, y corregirlas de manera constante, antes de que estas debilidades sean aprovechadas por un ciber atacante.

Las auditorias de ciberseguridad de hacking ético, deben hacerse principalmente en equipos que están expuestos en internet, servidores, equipos de usuario, equipos de red, y dispositivos del internet de las cosas.

Las organizaciones deben disponer de un inventario y arquitectura de los equipos informáticos de la organización, y saber en todo momento el nivel de ciberseguridad de cada uno de ellos, ya que un solo equipo vulnerable, o con pocas medidas de seguridad, puede poner en jaque a toda la organización, pudiendo servir a un atacante para acceder al resto de equipos de la organización y comprometer así toda su seguridad.

Las auditorías de hacking ético deben ser realizadas por auditores de hacking ético independientes de la organización, que no dispongan de información del sistema a auditar. Estos auditores simularán las acciones realizadas por un ciber atacante que trate de acceder a los sistemas de la organización, con el objetivo de encontrar y explotar algún fallo o vulnerabilidad en los sistemas.

Una auditoría de ciberseguridad de hacking ético en una organización, sigue una metodología dividida en fases:

Ilustración 1 Fases de una auditoría de ciberseguridad de hacking ético.

  • Obtención de información: En esta fase, se realizan una investigación en fuentes abiertas para recopilar datos de la organización, correlacionarlos y procesarlos. El objetivo de esta fase es conocer fundamentalmente nombres de empleados, cuentas de correo, direcciones ips, páginas web, usuarios del sistema, empresas proveedoras, etc.
  • Enumeración de activos: En esta fase, se realizan una enumeración detallada de los activos de información obtenidos en la fase anterior. Se realiza mediante enumeración pasiva a través de bases de datos públicas, o mediante enumeración activa con escaneos directos sobre los activos. El objetivo de esta fase es conocer fundamentalmente, los sistemas operativos, las aplicaciones, los servicios, protocolos de comunicación, puertos abiertos, sistemas de seguridad, las versiones de los mismos y posibles vulnerabilidades conocidas de esos activos enumerados.
  • Análisis de vulnerabilidades: Durante esta fase se buscan y analizan posibles vulnerabilidades conocidas, mediante herramientas de análisis automático de vulnerabilidades o de forma manual, en los activos de la organización. Estas vulnerabilidades se clasifican en función de su gravedad, teniendo en cuenta las dimensiones de la confidencialidad, integridad y disponibilidad de los activos. El objetivo de esta fase es conocer qué activos de la organización tienen vulnerabilidades y que pueden ser explotadas por un ciber atacante y su nivel de criticidad.
  • Explotación de vulnerabilidades: Durante esta fase, el auditor de hacking ético realiza acciones necesarias para explotar alguna de las vulnerabilidades detectadas en los sistemas de la organización, para evidenciar su existencia, y comprobar las respuestas de los sistemas de defensa de la organización. Esta explotación de vulnerabilidades puede realizarse mediante el uso de exploits conocidos o mediante exploits que explotan vulnerabilidades no conocidas por el fabricante, denominados de día cero.
  • Post explotación de vulnerabilidades: Durante esta fase, se evidencia que el auditor de hacking ético, es capaz de realizar acciones dentro de los sistemas vulnerables. Entre las acciones llevas a cabo en esta fase, pueden ser: obtener persistencia dentro de los equipos vulnerados, pivotar a otros equipos dentro de la red interna, extraer información de la organización, o borrar logs y registros que puedan identificar con posterioridad las acciones llevadas a cabo por un posible atacante.
  • Documentación: La fase de documentación es donde se elaboran los informes ejecutivo y técnico de la auditoría técnica de hacking ético realizada, para detallar el estado real de Ciberseguridad de la organización, así como las medidas técnicas necesarias para corregir las vulnerabilidades detectadas.

Los sistemas y aplicaciones utilizadas por las organizaciones están en constantes cambios y actualizaciones, con lo que estas auditorías se deben realizar y programar de manera periódica. Siempre será mejor detectar un fallo de seguridad y corregirlo antes de que un ciber atacante llegue a ocasionar un incidente de ciberseguridad grave en la organización.

Autor: Juan Delfín Peláez Álvarez. Docente del Máster en Seguridad y Continuidad de Negocios: Ciberseguridad de EADIC.

Comentarios

Deja tu comentario

You must be logged in to post a comment. So log in!