Esta mañana he visto una oferta de trabajo para Facebook en la que buscan ingenieros en seguridad ofensiva, por lo que he pensado que sería una estupenda oportunidad para explorar esta idea y su aplicación en la seguridad corporativa.
Tradicionalmente la seguridad informática en las empresas solo tiene un rol defensivo con el único apoyo de algunos productos (cortafuegos, antivirus, IDS, etc.). Cuando semana tras semana leemos en los medios cómo empresas de todos los tamaños son atacadas y comprometidas con éxito, ¡algo está fallando!
Internet y sus peligros han evolucionado pero la seguridad corporativa no: aún existen demasiadas empresas que siguen esquemas antiguos de décadas anteriores para proteger su información.
Al igual que los Estados-Naciones no solo desarrollan sus capacidades defensivas sino además las ofensivas, las empresas también deberían potenciar sus capacidades ofensivas para poder evaluar su propia seguridad de forma efectiva (no para atacar a otras empresas).
Es imposible que los consultores de seguridad/pentesters sean capaces de verificar la seguridad de una empresa en un tiempo limitado, que por desgracia es el modelo que siguen la mayoría de empresas. Nadie presiona al médico cuando tiene que operar o al fontanero cuando soluciona una avería, pero sí presionamos a los consultores de seguridad para obtener resultados detallados en un corto espacio de tiempo.
Es necesario que la seguridad corporativa evolucione con personal ofensivo que realmente entienda a los atacantes (mentalidad atacante), que sean capaces de atacar sistemas y aplicaciones y tengan cierta libertad para ello en la empresa. Estos individuos son los que pueden elevar la seguridad al siguiente nivel.
Su objetivo es atacar la empresa de forma constante utilizando técnicas reales para descubrir los puntos débiles y reforzarlos, analizar malware identificado en la empresa e incluso establecer trampas para los atacantes (honeypots). No debemos confundir con Counter-Hacking, que es la idea que si nos atacan debemos responder atacando. Ninguna empresa debería utilizar sus capacidades ofensivas para contraatacar por todos los problemas que esto puede acarrear (legales y éticos). Las capacidades ofensivas solo las debemos usar internamente para mejorar la seguridad y punto.
Las empresas que no sepan evolucionar su seguridad a un modelo defensivo y ofensivo y potenciar no solo la tecnología, sino también sus procesos y personas (la famosa pirámide: personas, procesos y tecnologías) están condenadas a ser comprometidas de por vida.
¿Tiene tu empresa capacidades ofensivas? ¿Cómo se utilizan?
— Simon Roses Femerling