Hola a todos!
Seguimos con el tema, y una vez revisada la parte de la agilidad vamos a aprender más sobre cómo podemos conocer a nuestro enemigo.
Los artículos anteriores:
En la mente del criminal… (II)
Pensar como un hacker nos ayudará a comprender mejor los medios por los que va a venir el ataque, que va a explotar el atacante.
La mayoría de las organizaciones (intentaremos usar este término en vez de empresa ya que puede tratarse de ONG u otros entes) siguen adoptando una aproximación que podríamos llamar «convencional», en la que las empresas se centran en varios puntos:
- Documentación de los activos.
- Identificación de las vulnerabilidades y gestión de las mismas.
- Gestión de la brecha sobre un cronograma.
Esta de hecho era una de las bases sobre las que yo personalmente trabajaba en las empresas donde operaba hasta hace no demasiado.
El problema que nos encontramos en una situación de ataque es que es poco flexible y nos obligará a pensar de una manera muy diferente a la que piensa el atacante; al fin y al cabo, nosotros estamos pensando en listas de activos cruzadas con vulnerabilidades.
Durante un ataque, es posible que la evolución no siga las reglas que nosotros hemos establecido, porque nuestro libro de jugadas es distinto al del atacante, y este habrá usado un medio de prospección que probablemente diste mucho del que hemos utilizado nosotros.
Para tener una idea más clara de lo que está sucediendo y de lo que puede pasar a continuación, por donde puede seguir el atacante, deberemos de ver nuestra infraestructura de modo gráfico, quizá con un enfoque de grafos.
Esos grafos se construirán pensando en cosas como:
- ¿Qué activos conectan con otros?
- ¿De qué manera?
- ¿Hay relaciones de confianza?
- Si las hay… ¿Cómo son?
- ¿Qué activos están en espacios limítrofes con el exterior?
- ¿Qué conecta desde ahí?
- ¿Qué niveles de privilegio tiene en cada sitio?
- ¿Qué servicios corren en cada uno?
- ¿Qué puertos tenemos activos?
- ¿Está asegurado el activo de alguna manera?
Con todo esto podemos hacer un barrido pensando en los movimientos que puede hacer el atacante a lo largo de la infraestructura.
Otro de los problemas a los que debemos saber adaptarnos es sobre la priorización de las actividades que necesitamos para recuperar el control de nuestros sistemas una vez han sido atacados.
Tenemos que ser muy rápidos en la toda de decisiones sobre que se debe recuperar inmediatamente, que puede esperar y que puede quedarse para el final de la lista; para ello debemos tener muy claro que es lo más importante para el negocio, recordemos que, en realidad, nuestros servicios son transversales al negocio y por mucho que nos creamos el ombligo del mundo, en la mayoría de los casos nosotros solo damos servicio para que se pueda llevar a fin la actividad de la organización.
En el próximo artículo, comenzaremos con otra sección en la que trataremos realmente como debemos pensar para convertirnos, al menos en lo que a nuestra mente se refiere a atacantes o “hackers”, aunque muchos ya sabéis lo que opino del uso de esa palabra.
Gracias por leernos.
Un saludo
