Hola a todos!
Seguimos con el tema de cómo aproximarnos al pensamiento del atacante, o como pensar como un hacker (me reitero en lo de que “hacker” está muy mal usado en este contexto).
Los artículos anteriores:
En este caso vamos a intentar entender las tácticas usadas por los atacantes. Conocer y entender las tácticas usadas por los atacantes es algo que puede ayudar notablemente a comprender como evoluciona un ataque y a planificar la mejor defensa o al menos la mejor respuesta y remediación al mismo.
No existe una guía absoluta que catalogue todos los tipos de ataques, pero existen numerosas fuentes que nos pueden ayudar a entender como funcionan estos, por ejemplo, yo he asistido a los cursos de Securizame, a los de EC Council de Certified Ethical Hacker (CEH) | World’s No. 1 Ethical Hacking Course (eccouncil.org), Certified SOC Analyst Training | CSA Certification (eccouncil.org) y Computer Hacking Forensic Investigator (CHFI) | Digital Forensics Course (eccouncil.org) donde he aprendido bastante sobre ataques, como hacerlos, como se fundamentan, etc. Además, se tiene que estar constantemente leyendo sobre noticias, fallas de seguridad, kb, etc.
En el mundo actual, lo complejidad ha crecido exponencialmente, los atacantes utilizan tanta automatización como sea posible para atacar la enorme cantidad de sistemas en las redes modernas, y más pensando que tiran a todo lo que se mueve, con lo que necesitan aún más potencia y complejidad. Todo esto nos alerta de prepararnos frente a distintos tipos de ataques como los de fuerza bruta, registradores de pulsaciones, kits de explotación, etc.
Además, debemos pensar que nuestros equipos, deben formarse continuamente para asegurarse de que no tengan problemas de quedarse anticuados, nuevamente deberemos mirar hacia la formación, que, gracias al cielo, hoy en día está al alcance de todos los bolsillos. Este año, por ejemplo, yo he empezado a formarme con la universidad de Educación a Distancia de España (UNED), matriculándome en 3 cursos de perito forense que me ayudan a entender leyes, procedimientos, ataques, etc.
También debemos pensar que en un mundo tan complejo como este, las vulnerabilidades no están realmente aisladas, ya que se suelen interconectar para facilitar los movimientos de los atacantes y así conformar una ruta de ataque completa, una “jugada” como se les suele llamar.
Los técnicos de seguridad debemos tener una visión holística para ver el todo y no quedarnos solo en una parte del entorno.
Es importante, como en los proyectos, identificar “los caminos críticos” que los atacantes pueden tomar a lo largo del ataque, partiendo desde el reconocimiento del entorno hasta la explotación y el impacto; conociendo todo esto se podrá priorizar que fuego apagar primero.
Los atacantes suelen usar una aproximación similar a la que usaría un dispositivo Cisco para buscar el camino entre dos puntos mediante El Algoritmo de Dijkstra, que en el caso de los atacantes es el de menor resistencia a su penetración. Por eso, ellos suelen buscar las rutas explotables y a partir de ahí ir escalando hacia activos que tengan el mayor impacto.
Siempre debemos evaluar el impacto potencial de las vulnerabilidades que detectamos y se necesitan remediar para de esta manera dar prioridad a los activos de más alto valor y las brechas de seguridad según su criticidad.
Seguiremos hablando de este interesante tema.
Gracias por leernos.
Un saludo