En la era digital actual, las empresas necesitan cada vez más aumentar su capacidad de resiliencia en relación a la ciberseguridad. Por ello, prácticas como el Hacking Ético cumplen un rol fundamental al ayudarlas a evaluar proactivamente sus vulnerabilidades. Para conocer más de este concepto y de las ventajas que ofrece, conversamos con Iván Gomolinsky, COO de Security Advisor.
¿Por qué el Hacking Etico se ha convertido en una práctica necesaria para las empresas?
Las actividades de Hacking Etico o Red Team permiten incorporar la perspectiva del atacante en los procesos de ciberseguridad. Mientras que el Blue Team es el equipo que se encarga de defender y proteger (seguridad defensiva), el Read Team evalúa esas capacidades de defensa mediante técnicas y procedimientos que utilizaría un atacante real (seguridad ofensiva). En los últimos tiempos, también se han empezado a consolidar los equipos Purple Team que incorporan ambas visiones fortaleciendo el esquema de seguridad de las organizaciones.
¿Qué ventajas proporciona esta práctica respecto de otras acciones en ciberseguridad?
Como mencionamos anteriormente nos permite emular el comportamiento que tendría un atacante real, pudiéndose evaluar las vulnerabilidades en la infraestructura externa e interna, así como también aplicaciones y apis o servicios consumidos por la cadena de suministros o clientes utilizando técnicas de black, grey o white box (con y sin credenciales).
¿Hay conciencia en Chile de la importancia de esta práctica?
Cada vez más. Si tuviéramos que mencionar una oportunidad de mejora sería la cadencia. Es decir, no debe ser considerado algo que pasa en determinado momento del año y un check a cumplir, sino que debe ser una práctica continua que implique un círculo virtuoso de plan: do-check-act.
¿Para qué tipo de empresas se recomienda?
En general los bancos y las empresas de seguros realizan este tipo de práctica como una manera de descubrir posibles vulnerabilidades y enfrentar de mejor manera los riesgos de seguridad. No obstante, esta es una práctica que no es específi ca de una vertical o tamaño de organización; si tuviéramos que buscar un parámetro que permita determinar el “grado de necesidad” de llevar a cabo esta práctica sería el “tamaño” del espacio digital de la organización: ¿cuánto de su negocio es ocupado por el espacio digital y por lo tanto cuánto se debe proteger y cuál es el riesgo asociado?
¿En qué consiste el servicio de Hacking Etico que brinda Security Advisor?
En Security Advisor entendemos esta práctica como un servicio en sí mismo, un complemento a las capacidades de la organización o un quality assurance de sus capacidades de detección y respuesta. Tomando una analogía con el desarrollo de software, el que prueba no es el que desarrolla. En este caso el que defi ende es muy difícil que pueda auto evaluarse efectivamente. Para esto, ofrecemos servicios puntuales o recurrentes de consultoría ofensiva o Red Team que, además de detectar las posibles vulnerabilidades, aporta una evaluación de impacto/riesgo, posibilidades de explotación y recomendaciones de remediación o mitigación.
Adicionalmente, brindamos servicios de tipo Purple Team, en donde colaboramos con la organización en el modelado de amenazas específico para su realidad, sumamos las capacidades de inteligencia de amenazas para determinar posibles perfi les de atacantes y coordinamos las acciones entre los equipos Red Team y Blue Team. Finalmente, también ofrecemos a las empresas la posibilidad de realizar ciberejercicios o table top que mediante la definición de distintos escenarios y aplicando técnicas de juegos de roles permiten evaluar las capacidades de respuesta ante distintos tipos de eventos de ciberseguridad. Este tipo de ejercicios permiten hacer una evaluación cross de las capacidades de la organización y detectar oportunidades de mejora en sus play books de respuesta.