La seguridad ofensiva, u "OffSec", hace referencia a una serie de estrategias de seguridad proactivas que utilizan las mismas tácticas que los actores maliciosos emplean en los ataques del mundo real para reforzar la seguridad de la red en lugar de dañarla. Entre los principales métodos de seguridad ofensiva se encuentran los equipos rojos, las pruebas de penetración y la evaluación de vulnerabilidades.
Las operaciones de seguridad ofensivas suelen correr a cargo de hackers éticos, es decir, profesionales de la ciberseguridad que utilizan sus conocimientos para detectar y corregir fallos en los sistemas informáticos. Los hackers éticos realizan infracciones simuladas con permiso, a diferencia de los ciberdelincuentes reales que irrumpen en los sistemas para robar datos confidenciales o lanzar malware. No llegan a causar daños reales y utilizan los resultados de sus falsos ataques para ayudar a las organizaciones a mejorar sus defensas.
Históricamente, la seguridad ofensiva también se ha referido a las estrategias para frustrar a los posibles atacantes, por ejemplo, atrayendo a los actores de amenazas a directorios sin salida. Estos métodos antagónicos son menos comunes en el panorama actual de la seguridad de la información.
Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe "Coste de una filtración de datos".
Regístrese para obtener el X-Force Threat Intelligence Index
Para entender por qué es importante la seguridad ofensiva, es útil compararla con la seguridad defensiva.
Las medidas de seguridad defensiva, como los programas antivirus y los cortafuegos, son reactivas por diseño. Estas herramientas están diseñadas para bloquear amenazas conocidas o detectar comportamientos sospechosos. Algunas herramientas avanzadas de seguridad defensiva, como las plataformas SOAR, también pueden automatizar las respuestas a ataques en curso.
Aunque las tácticas de seguridad defensiva pueden ayudar a frustrar los ciberataques en curso, estos métodos suponen una gran carga de trabajo para los equipos de seguridad. Los analistas deben clasificar las alertas y los datos para separar las amenazas reales de las falsas alarmas. Del mismo modo, las medidas de seguridad defensiva sólo pueden proteger contra vectores de ataque conocidos, lo que deja a las organizaciones expuestas a ciberamenazas nuevas y desconocidas.
La seguridad ofensiva complementa la seguridad defensiva. Los equipos de seguridad utilizan tácticas OffSec para descubrir y responder a vectores de ataque desconocidos que otras medidas de seguridad podrían pasar por alto. La seguridad ofensiva también es más proactiva que la seguridad defensiva. En lugar de responder a los ciberataques en el momento en que se producen, las medidas de seguridad ofensivas detectan y solucionan los fallos antes de que los atacantes puedan aprovecharse de ellos.
En resumen, la seguridad ofensiva produce información que hace que la seguridad defensiva sea aún más efectiva. También reduce la carga de los equipos de seguridad. Debido a estas ventajas, la seguridad ofensiva se ha convertido en una norma en algunos sectores altamente regulados.
Las tácticas, técnicas y procedimientos (TTP) que utilizan los profesionales de la seguridad ofensiva son las mismas que emplean los actores de amenazas. Al utilizar estas TTP, los profesionales de la seguridad ofensiva pueden erradicar las posibles vulnerabilidades que los hackers reales podrían utilizar al poner a prueba los programas de seguridad existentes.
Las principales tácticas de seguridad ofensiva incluyen:
La exploración de vulnerabilidades es un proceso automatizado para detectar vulnerabilidades en los recursos informáticos de una empresa. Consiste en utilizar una herramienta especializada para escanear los sistemas informáticos en busca de vulnerabilidades.
Los escáneres de vulnerabilidades pueden buscar vulnerabilidades conocidas asociadas a versiones de software específicas. Estas herramientas también pueden realizar pruebas más activas, como observar cómo reaccionan las aplicaciones ante cadenas de inyección SQL comunes u otras intrusiones maliciosas.
Los hackers suelen utilizar escáneres de vulnerabilidades para identificar las vulnerabilidades que pueden aprovecharse en un ataque. Los expertos en seguridad ofensiva hacen lo mismo para encontrar y corregir estas vulnerabilidades antes de que los hackers puedan explotarlas. Este enfoque proactivo permite a las organizaciones ir un paso por delante de las amenazas y reforzar sus defensas.
Las pruebas de penetración consisten en simular ciberataques para detectar vulnerabilidades en los sistemas informáticos. Básicamente, los expertos en pruebas de penetración actúan como escáneres humanos de vulnerabilidades, buscando fallos en la red imitando a hackers reales. Los expertos en pruebas de penetración adoptan la perspectiva de un atacante, lo que a su vez les permite identificar de manera efectiva las vulnerabilidades a las que es más probable que se dirijan los actores maliciosos.
Dado que los expertos en seguridad humana llevan a cabo pen tests, pueden detectar vulnerabilidades que las herramientas totalmente automatizadas podrían pasar por alto y es menos probable que aparezcan falsos positivos. Si ellos pueden explotar un fallo, también pueden hacerlo los ciberdelincuentes. Además, como las pruebas de penetración suelen ser proporcionadas por servicios de seguridad de terceros, por lo general pueden encontrar fallos que los equipos de seguridad internos podrían pasar por alto.
El equpios rojo, también conocido como simulación de adversarios, es un ejercicio en el que un grupo de expertos utiliza las TTP de ciberdelincuentes reales para lanzar un ataque simulado contra un sistema informático.
A diferencia de las pruebas de penetración, el equipo rojo permite evaluar la seguridad de una empresa enfrentando a dos equipos. El equipo rojo explota activamente los vectores de ataque, sin causar daños reales, para ver cómo pueden llegar. El equipo rojo también se enfrenta a un equipo azul de ingenieros de seguridad que pretenden detenerlos. Esto da a la organización la oportunidad de poner a prueba sus procedimientos prácticos de respuesta a incidentes.
Las organizaciones emplearán un equipo rojo interno o contratarán a un tercero para realizar ejercicios de equipo rojo. Para poner a prueba tanto las defensas técnicas como la concienciación de los empleados, el equipo rojo puede utilizar una serie de tácticas Entre los métodos habituales de los equipos rojos se encuentran los ataques simulados de ransomware, el phishing y otras simulaciones de ingeniería social, e incluso técnicas de vulneración in situ como el tailgating.
Los equipos rojos pueden realizar distintos tipos de pruebas en función de la cantidad de información de que dispongan. En una prueba de caja blanca, el equipo rojo tiene total transparencia sobre la estructura interna y el código fuente del sistema objetivo. En las pruebas de caja negra, el equipo rojo no tiene información sobre el sistema y tiene que penetrar en él como lo harían los ciberdelincuentes reales. En una prueba de caja gris, el equipo rojo puede tener algunos conocimientos básicos del sistema objetivo, como los rangos IP de los dispositivos de red, pero no mucho más.
La experiencia práctica en piratería informática, el conocimiento de los lenguajes de programación y la familiaridad con la seguridad de las aplicaciones web son vitales para los esfuerzos ofensivos de seguridad. Para validar su experiencia en estos ámbitos, los profesionales de la seguridad ofensiva suelen obtener certificaciones como Profesional Certificado en Seguridad Ofensiva (OSCP) o Hacker Ético Certificado (CEH).
Los equipos OffSec también siguen metodologías de piratería ética establecidas, incluidos proyectos de código abierto como OSSTMM (Open Source Security Testing Methodology Manual) y PTES (Penetration Testing Execution Standard).
Los profesionales de seguridad ofensiva también dominan las herramientas de seguridad ofensiva habituales, en particular:
Metasploit: un marco para desarrollar y automatizar la explotación de vulnerabilidades en sistemas informáticos. Se utiliza principalmente para pruebas de penetración y evaluación de vulnerabilidades.
Kali Linux: un sistema operativo Linux diseñado para pruebas de penetración e investigaciones digitales.
Burp Suite: herramienta de pruebas de seguridad de aplicaciones web capaz de analizar vulnerabilidades, interceptar y modificar el tráfico web y automatizar ataques.
Wireshark: analizador de protocolos de red que captura e inspecciona el tráfico para identificar problemas de seguridad en las comunicaciones de red.
Nmap: un escáner de red utilizado para detectar dispositivos conectados a una red, analizar puertos e identificar servicios alojados.
Aircrack-ng: un conjunto de herramientas para comprobar la seguridad de las redes Wi-Fi mediante la detección de paquetes y el establecimiento de enlaces y el descifrado de contraseñas.
John the Ripper: una herramienta de pirateo de contraseñas que lanza ataques de fuerza bruta contra las funciones hash de las contraseñas.
SQLMAP: herramienta que automatiza el proceso de explotación de vulnerabilidades de inyección SQL en aplicaciones web.
Los servicios de seguridad ofensiva de X-Force Red pueden ayudar a identificar, priorizar y corregir fallos de seguridad que abarcan todo su ecosistema digital y físico.
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la corrección de los fallos que podrían exponer sus activos más críticos.
Los ejercicios de simulación de adversarios, que incluyen equipos rojos y morados, pueden detectar y colmar lagunas en sus equipos, controles y procesos de respuesta a incidentes para ayudarle a minimizar los daños en caso de infracción.
Las pruebas de penetración son ataques de seguridad por etapas que los especialistas en pruebas de penetración utilizan para ayudar a los equipos de seguridad a descubrir vulnerabilidades de seguridad críticas y mejorar la posición de seguridad general.
La gestión de vulnerabilidades es el descubrimiento continuo, la priorización y la resolución de vulnerabilidades de seguridad en la infraestructura informática y el software de una organización.
La piratería (también llamada piratería cibernética) es el uso de medios no convencionales o ilícitos para obtener acceso no autorizado a un dispositivo digital, un sistema informático o una red informática.