Aborda la ciberseguridad con la mentalidad de un atacante y Tipos de agentes de amenazas por google

 Aborda la ciberseguridad con la mentalidad de un atacante

La ciberseguridad es un campo en constante cambio. Es un entorno de ritmo rápido en el que las nuevas amenazas y las tecnologías innovadoras pueden alterar tus planes en cualquier momento. Como profesional de la seguridad, debes prepararte anticipándote a los cambios..

Todo esto comienza con la identificación de las vulnerabilidades. En un video, aprendiste sobre la importancia de las evaluaciones de vulnerabilidad, el proceso de revisión interna de los sistemas de seguridad de una organización. En esta lectura, aprenderás cómo puedes utilizar los hallazgos de una evaluación de vulnerabilidad de manera proactiva al analizarlos desde la perspectiva de un atacante.

Prepárate para todo

Es importante tener un plan en caso de que algo salga mal. Pero ¿cómo puedes saber qué planear? En este campo, los equipos suelen realizar simulaciones de aquello que puede salir mal como parte de su estrategia de gestión de vulnerabilidades. Una forma de hacerlo es aplicando una mentalidad de atacante a las debilidades que se descubren.

Aplicar una mentalidad de atacante es muy parecido a realizar un experimento. Se trata de causar problemas en un entorno controlado y evaluar el resultado para obtener información. Adoptar una mentalidad de atacante es una habilidad beneficiosa en el campo de seguridad, ya que ofrece una perspectiva diferente sobre los desafíos que estás tratando de resolver. Los conocimientos que obtengas pueden ser valiosos cuando llegue el momento de establecer un plan de seguridad o modificar uno ya existente.

Un grupo de personas que se protegen mediante diferentes tecnologías.

Simulación de amenazas

Un método para aplicar una mentalidad de atacante es utilizar simulaciones de ataque. Por lo general, estas actividades se realizan de una de dos maneras: de forma proactiva y reactiva. Ambas estrategias comparten un objetivo común, que es hacer que los sistemas sean más seguros.

  • Las simulaciones proactivas asumen el papel de un atacante al explotar las vulnerabilidades y traspasar las defensas. Esto a veces se llama un ejercicio de equipo rojo.

  • Las simulaciones reactivas asumen el papel de un defensor que responde a un ataque. Esto a veces se llama un ejercicio de equipo azul.

Cada tipo de simulación es un esfuerzo de equipo con el que podrías involucrarte como analista.

Los equipos proactivos tienden a dedicar más tiempo a planificar sus ataques que a realizarlos. Si te encuentras involucrado en uno de estos ejercicios, es probable que tu equipo despliegue una variedad de tácticas. Por ejemplo, podrían persuadir al personal para que divulgue sus credenciales de inicio de sesión mediante el uso de correos electrónicos ficticios para evaluar cuán conscientes son en la empresa  en cuanto a temas de seguridad.

Por otro lado, los equipos reactivos dedican sus esfuerzos a recopilar información sobre los activos que están protegiendo. Esto se hace comúnmente con la ayuda de herramientas de análisis de vulnerabilidades.

Cómo escanear los problemas

Quizá recuerdes que un escáner de vulnerabilidades es un software que compara automáticamente las vulnerabilidades y exposiciones comunes existentes con las tecnologías de la red. El escáner de vulnerabilidad se utiliza con frecuencia en el campo de la seguridad. Los equipos emplean una variedad de técnicas de escaneo para descubrir debilidades en sus defensas. Las simulaciones reactivas suelen valerse de los resultados de un escaneo para evaluar los riesgos y determinar formas de remediar un problema.

Por ejemplo, un equipo que realiza una simulación reactiva podría realizar un análisis de vulnerabilidad externo de su red. Todo el ejercicio podría seguir los pasos que aprendiste en un video sobre evaluaciones de vulnerabilidad:

  • Identificación: Un servidor vulnerable se marca porque está ejecutando un sistema operativo (SO) desactualizado.

  • Análisis de vulnerabilidades: Se investiga el sistema operativo desactualizado y sus vulnerabilidades.

  • Evaluación de riesgos: Después de haber realizado tu debida diligencia, se califica la gravedad de cada vulnerabilidad y se evalúa el impacto de no solucionarla.

  • Remediación: Finalmente, la información que recopilaste se puede usar para abordar el problema.

Durante una actividad como esta, a menudo generarás un informe de tus hallazgos. Estos pueden presentarse ante los proveedores de servicios o supervisores. Comunicar con claridad los resultados de estos ejercicios a otros es una habilidad importante para desarrollar como profesional de la seguridad.

Encontrar soluciones innovadoras

Muchos controles de seguridad que aprendiste se crearon como una respuesta reactiva ante riesgos. Esto se debe a que los agentes de amenaza buscan continuamente formas de eludir las defensas existentes. La aplicación efectiva de una mentalidad de atacante requerirá que te mantengas al tanto de las tendencias de seguridad y las tecnologías emergentes.

Consejo profesional: Recursos como la Base de datos nacional de vulnerabilidades (NVD) de NIST pueden ayudarte a mantenerte al día en lo que respecta a vulnerabilidades comunes.

Conclusiones clave

Las evaluaciones de vulnerabilidad son una parte importante de la planificación de riesgos de seguridad. Como analista, es probable que participes en simulaciones proactivas y reactivas de estas actividades. Investigar las vulnerabilidades comunes solo alcanza hasta cierto punto. Es igual de importante que te mantengas al tanto de las nuevas tecnologías, para poder pensar con una mentalidad innovadora.


Tipos de agentes de amenazas

Para ser un profesional de seguridad efectivo, una habilidad importante que deberás desarrollar es poder anticiparte a los ataques. Para lograrlo, debes mantener una mentalidad abierta y flexible en cuanto a su procedencia. Antes, aprendiste sobre las superficies de ataque, que son todas las vulnerabilidades potenciales que un agente de amenaza podría explotar.

Las redes, los servidores, los dispositivos y el personal son ejemplos de superficies de ataque que pueden explotarse. Con frecuencia, los equipos de seguridad de todos los tamaños se encuentran defendiendo estas superficies debido al panorama digital en expansión. La clave para defender cualquiera de ellos es limitar su acceso.

En esta lectura, profundizarás en los agentes de amenaza y los tipos de riesgos que representan. También explorarás las características más comunes de una superficie de ataque que los agentes de amenaza pueden explotar.

Agentes de amenaza

Un agente de amenaza es cualquier persona o grupo que plantea un riesgo para la seguridad. Esta definición a grandes rasgos abarca a personas tanto dentro como fuera de una organización. También incluye a personas que intencionalmente representan una amenaza y quienes ponen en riesgo los activos por accidente. ¡Es una amplia variedad de personas!

Por lo general, los agentes de amenaza se dividen en cinco categorías según sus motivaciones:

  • La competencia refiere a las empresas rivales que representan una amenaza porque podrían beneficiarse de la información filtrada.

  • Los actores estatales son agencias de inteligencia del gobierno.

  • Los sindicatos criminales son grupos organizados de personas que ganan dinero mediante actividades delictivas.

  • Las amenazas internas pueden ser cualquier persona que tenga o haya tenido acceso autorizado a los recursos de una organización. Esto incluye a los empleados que comprometen los activos por accidente o individuos que los ponen en riesgo de manera intencional, para su propio beneficio.

  • Shadow IT hace referencia a individuos que utilizan tecnologías que carecen de gobernanza de TI. Un ejemplo común es cuando un empleado usa su correo electrónico personal para enviar comunicaciones relacionadas con el trabajo.

En la superficie de ataque digital, estos agentes de amenaza a menudo obtienen acceso no autorizado al hackear los sistemas. Por definición, un hacker es cualquier persona o grupo que utiliza computadoras para acceder a datos sin autorización. Al igual que el término actor de amenazas, hacker es también un término general. Cuando se usa solo, el término no consigue captar las intenciones de un agente de amenaza.

Un grupo de hackers que llevan activos sobre un mapa del mundo.

Tipos de hackers

Debido a que la definición formal de hacker es amplia, el término puede ser un poco ambiguo. En seguridad, corresponde a tres tipos de personas en función de su intención:

  1. Hackers no autorizados 

  2. Hackers autorizados o éticos

  3. Hackers semiautorizados

Un hacker no autorizado, o hacker no ético, es un individuo que utiliza sus habilidades de programación para cometer delitos. A los hackers no autorizados también se los conoce como hackers maliciosos. El nivel de habilidad varía ampliamente dentro de esta categoría de hackers. Por ejemplo, existen hackers con habilidades limitadas que no pueden escribir su propio software malicioso, a veces llamado script kiddies (niñitos del script). Este tipo de hackers no autorizados llevan a cabo ataques mediante un código preescrito que obtienen de otros hackers más hábiles.

Los hackers autorizados, o éticos, son personas que utilizan sus habilidades de programación para mejorar la seguridad general de una organización. Estos incluyen a miembros internos de un equipo de seguridad que se ocupan de probar y evaluar los sistemas para asegurar la superficie de ataque. También se trata de proveedores de seguridad externos y hackers independientes que algunas empresas incentivan para encontrar y reportar vulnerabilidades, una práctica llamada programas de recompensas por errores.

Por lo general, los hackers semiautorizados son individuos que podrían violar estándares éticos, pero que no son considerados como maliciosos. Por ejemplo, un hacktivista es una persona que podría usar sus habilidades para lograr un objetivo político. Podría explotar las vulnerabilidades de seguridad de una empresa de servicios públicos para concientizar sobre su existencia. Las intenciones de este tipo de agentes de amenaza suelen consistir en exponer los riesgos de seguridad que deben abordarse antes de que un hacker malicioso los encuentre.

Amenazas persistentes avanzadas

Muchos hackers maliciosos consiguen ingresar en un sistema, causan problemas y luego se marchan. Pero en algunas ocasiones, los agentes de amenaza se quedan. Este tipo de eventos se conocen como amenazas persistentes avanzadas, o APT.

Una amenaza persistente avanzada (APT) hace referencia a los casos en que un actor de amenazas mantiene el acceso no autorizado a un sistema durante un período prolongado de tiempo. El término se asocia principalmente con los estados nacionales y los agentes patrocinados por el Estado. Por lo general, una APT se ocupa de vigilar un objetivo para recopilar información. Luego esta información se utiliza para manipular los servicios gubernamentales, de defensa, financieros y de telecomunicaciones.

El hecho de que el término esté asociado con agentes estatales no significa que las empresas privadas estén a salvo de las APT. Este tipo de agentes de amenaza son sigilosos porque hackear otra agencia gubernamental o empresa de servicios públicos es costoso y consume mucho tiempo. Las APT suelen apuntar primero a organizaciones privadas como un paso hacia el acceso a entidades más grandes.

Puntos de acceso

Cada agente de amenaza tiene una motivación específica a la hora de establecer los activos de una organización como objetivo. Mantenerlos alejados requiere más que conocer sus intenciones y capacidades. También es importante reconocer los tipos de vectores de ataque que utilizarán.

En su mayor parte, los agentes de amenaza obtienen acceso a través de una de estas categorías de vectores de ataque:

  • Acceso directo, que hace referencia a instancias en las que tienen acceso físico a un sistema.

  • Medios extraíbles, que incluyen hardware portátil, como unidades USB.

  • Plataformas de redes sociales que se utilizan para la comunicación y el intercambio de contenido.

  • Correo electrónico, incluidas las cuentas personales y comerciales.

  • Redes inalámbricas en las instalaciones.

  • Servicios en la nube que por lo general son proporcionados por organizaciones de terceros.

  • Cadenas de suministro, como proveedores externos que pueden presentar una puerta trasera en los sistemas.

Cualquiera de estos vectores de ataque puede proporcionar acceso a un sistema. Reconocer las intenciones de un actor de amenazas puede ayudarte a determinar a qué puntos de acceso podrían apuntar, y cuáles podrían ser sus objetivos Por ejemplo, es más probable que los trabajadores remotos presenten una amenaza por correo electrónico, que una amenaza de acceso directo.

Conclusiones clave

Defender una superficie de ataque comienza con pensar como atacante. Como profesional de la seguridad, es importante entender por qué alguien representaría una amenaza para los activos de una organización. Esto incluye reconocer que no todos los agentes de amenaza pretenden causar daño intencionadamente.

Además, es muy importante reconocer las formas en que un agente de amenaza podría obtener acceso a un sistema. Hacer coincidir las intenciones con los vectores de ataque es una habilidad invaluable para desarrollar la mentalidad de atacante.

Comentarios

Publicar un comentario