¿Qué es la seguridad ofensiva?

Con frecuencia, las operaciones de seguridad ofensivas las llevan a cabo los hackers éticos, profesionales de la ciberseguridad que utilizan sus habilidades de piratería para encontrar y corregir fallas del sistema de TI. Los hackers éticos realizan simulaciones para vulnerar la seguridad con permiso, a diferencia de los delincuentes cibernéticos reales que irrumpen en los sistemas para robar datos confidenciales o lanzar malware. Detienen la simulación antes de causar daños reales y utilizan los hallazgos de los ataques simulados para ayudar a las organizaciones a mejorar sus defensas.

Históricamente, la seguridad ofensiva también se ha referido a estrategias para frustrar a posibles atacantes, como atraer a los actores de amenazas a directorios sin salida. Estos métodos antagonistas son menos comunes en el panorama actual de la seguridad de la información.

Para comprender por qué es importante la seguridad ofensiva, es útil compararla con la seguridad defensiva.

Las medidas de seguridad defensivas, como el software antivirus y los cortafuegos, son reactivas por diseño. Estas herramientas están diseñadas para bloquear amenazas conocidas o detectar comportamientos sospechosos. Algunas herramientas avanzadas de seguridad defensiva, como las plataformas SOAR, también pueden automatizar las respuestas a ataques continuos.

Si bien las tácticas de seguridad defensiva pueden ayudar a frustrar los ciberataques en curso, estos métodos crean una carga de trabajo pesada para los equipos de seguridad. Los analistas deben clasificar las alertas y los datos para separar las amenazas reales de las falsas alarmas. Asimismo, las medidas de seguridad defensiva solo pueden protegerse contra vectores de ataque conocidos, dejando a las organizaciones expuestas a amenazas cibernéticas nuevas y desconocidas.

La seguridad ofensiva complementa la seguridad defensiva. Los equipos de seguridad utilizan tácticas OffSec para descubrir y responder a vectores de ataque desconocidos que otras medidas de seguridad podrían pasar por alto. La seguridad ofensiva también es más proactiva que la seguridad defensiva. En lugar de responder a los ciberataques a medida que ocurren, las medidas de seguridad ofensivas encuentran y abordan fallas antes de que los atacantes puedan explotarlas.

En resumen, la seguridad ofensiva produce información que hace que la seguridad defensiva sea aún más efectiva. También reduce la carga de los equipos de seguridad. Debido a estos beneficios, la seguridad ofensiva es un estándar de la industria en algunos sectores altamente regulados.

Las tácticas, técnicas y procedimientos (TTP) que emplean los profesionales en materia de seguridad ofensiva son los mismos que emplean los actores de amenazas. Al utilizar estos TTP, los profesionales de OffSec pueden eliminar las posibles vulnerabilidades que pueden utilizar los hackers reales mientras prueban los programas de seguridad existentes.

Las principales tácticas de seguridad ofensiva incluyen:

El análisis de vulnerabilidades es un proceso automatizado para detectar vulnerabilidades en los activos de TI de una organización. Implica el uso de una herramienta especializada para escanear sistemas informáticos en busca de vulnerabilidades.

Los escáneres de vulnerabilidades pueden buscar activos por vulnerabilidades conocidas asociadas con versiones de software específicas. También pueden realizar pruebas más activas, como ver cómo las aplicaciones responden a cadenas de inyección SQL comunes u otras entradas maliciosas.

Los hackers suelen utilizar análisis de vulnerabilidad para identificar las vulnerabilidades que pueden explotar durante un ataque. A su vez, los expertos de OffSec utilizan los mismos escáneres de vulnerabilidad para encontrar y cerrar estas vulnerabilidades antes de que los hackers puedan aprovecharlas. Este enfoque proactivo permite a las organizaciones adelantarse a las amenazas y fortalecer sus defensas.

Las pruebas de penetración consisten en utilizar ciberataques simulados para encontrar vulnerabilidades en los sistemas informáticos. Esencialmente, los evaluadores que realizan las pruebas de penetración actúan como escáneres de vulnerabilidad humanos, buscando fallas de red al imitar a los hackers reales. Los evaluadores que realizan las pruebas de penetración adoptan la perspectiva del atacante, lo que a su vez les permite identificar de manera eficaz las vulnerabilidades a las que es más probable que se dirijan los actores maliciosos.

Debido a que los expertos en seguridad humanos realizan pruebas de penetración, pueden detectar vulnerabilidades que las herramientas totalmente automatizadas podrían pasar por alto y es menos probable que arrojen falsos positivos. Si pueden explotar una falla, también lo pueden hacer los delincuentes cibernéticos. Y debido a que las pruebas de penetración suelen ser proporcionadas por servicios de seguridad de terceros, a menudo pueden encontrar fallas que los equipos de seguridad internos podrían pasar por alto.

El equipo rojo, también conocido como “simulación adversaria”, es un ejercicio en el que un grupo de expertos utiliza los TTP de ciberdelincuentes del mundo real para lanzar un ataque simulado contra un sistema informático.

A diferencia de las pruebas de penetración, el equipo rojo es una evaluación de seguridad contradictoria. El equipo rojo explota activamente los vectores de ataque, sin causar daños reales, para ver hasta dónde pueden llegar. El equipo rojo también se enfrenta a un equipo azul de ingenieros de seguridad que pretenden detenerlos. Esto le da a la organización la oportunidad de probar sus procedimientos prácticos de respuesta ante incidentes.

Las organizaciones emplearán un equipo rojo interno o contratarán a un tercero para que realice ejercicios en el equipo rojo. Para probar tanto las defensas técnicas como la concientización de los empleados, las operaciones del equipo rojo pueden usar una variedad de tácticas. Los métodos comunes de los equipos rojos incluyen ataques simulados de ransomware, phishing y otras simulaciones de ingeniería social e incluso técnicas de vulneración de entornos locales como el tailgating.

Los equipos rojos pueden realizar diferentes tipos de pruebas según la cantidad de información que tengan. En una prueba de caja blanca, el equipo rojo tiene total transparencia en la estructura interna y el código fuente del sistema objetivo. En una prueba de caja negra, el equipo rojo no dispone de información sobre el sistema y debe irrumpir desde el exterior, como los hackers del mundo real. En una prueba de caja gris, el equipo rojo puede tener algunos conocimientos básicos del sistema objetivo, como los rangos IP de los dispositivos de red, pero no mucho más.

La experiencia práctica de hackeo, el conocimiento de los lenguajes de programación y la familiaridad con la seguridad de las aplicaciones web son vitales para las actividades de seguridad ofensivas. Para validar su experiencia en estos dominios, los profesionales de la seguridad ofensiva a menudo obtienen certificaciones como Profesional Certificado en Seguridad Ofensiva (OSCP) o Hacker Ético Certificado (CEH).

Los equipos de OffSec también siguen metodologías de hacking ético establecidas, incluidos proyectos de código abierto como el Manual de metodología de pruebas de seguridad de código abierto (OSSTMM) y el Estándar de ejecución de pruebas de penetración (PTES).

Los profesionales de la seguridad ofensiva también están capacitados con herramientas de seguridad ofensivas comunes, que incluyen:

Metasploit: Un marco para desarrollar y automatizar exploits contra sistemas de TI. Se utiliza principalmente para pruebas de penetración y evaluación de vulnerabilidades.

Kali Linux: un sistema operativo Linux diseñado para pruebas de penetración y análisis forense digital.

Burp Suite: una herramienta de prueba de seguridad de aplicaciones web que puede buscar vulnerabilidades, interceptar y modificar el tráfico web y automatizar ataques.

Wireshark: un analizador de protocolos de red que captura e inspecciona el tráfico de la red, lo que ayuda a identificar problemas de seguridad en las comunicaciones de red.

Nmap: Una herramienta de análisis de red utilizada para la detección de redes, el análisis de puertos y la identificación de servicios.

Aircrack-ng: un conjunto de herramientas para probar la seguridad de la red Wi-Fi, con la capacidad de fragmentar paquetes, capturar teléfonos y cifrar contraseñas.

John the Ripper: Una herramienta de craqueo de contraseñas que realiza ataques de fuerza bruta contra hashes de contraseña.

sqlmap: Una herramienta que automatiza el proceso de explotar las vulnerabilidades de inyección SQL en las aplicaciones web.