Cómo realizar una auditoría de seguridad avanzada para redes

En los últimos años, las redes empresariales han evolucionado considerablemente. Todo, desde el
cómputo móvil hasta la nube –y por no hablar de todos los sistemas internos nuevos, servicios y
aplicaciones– están haciendo a las redes actuales más complejas que nunca. Incluso las mismas
herramientas que se utilizan para administrar la seguridad de la red pueden expandir la superficie de
ataque y crear sus propias vulnerabilidades.

Uno de los desafíos centrales que enfrentan las empresas hoy es no saber, en un momento dado, dónde
se encuentran realmente las cosas con sus vulnerabilidades de red y los riesgos del negocio. Si una
empresa va a realizar mejoras tangibles en la seguridad, tiene que tomar sus pruebas de seguridad de
red al siguiente nivel. En este consejo, voy a explicar cómo empezar.

Iniciando una auditoría de seguridad de red de siguiente generación

En primer lugar, es importante recordar las diferencias entre las auditorías de seguridad, los análisis de
vulnerabilidades, las pruebas de penetración y las evaluaciones de riesgos de la información. Hay
similitudes entre todos ellos –a saber, encontrar y corregir los fallos de seguridad de la red antes de que
sean explotados–, pero los enfoques, herramientas, conjuntos de habilidades y el tiempo requeridos
para cada uno varían considerablemente.

Lo más importante que se debe entender con las auditorías de seguridad es qué es lo que su empresa
está tratando de lograr. No le decimos a nuestros radiólogos e inspectores de viviendas que limiten su
alcance sobre la base de lo que suponemos que necesitamos; ¿por qué limitar el foco de las pruebas de
seguridad de la red a una sola cosa, como penetrar en la red desde el exterior, escanear una página web
por el cumplimiento de PCI DSS, validar que se está llevando a cabo el ingreso a la auditoría y la
colocación de parches, o asegurar la existencia de políticas documentadas? Se justifica una combinación
de todos los métodos de pruebas tradicionales; yo lo llamo una "evaluación de seguridad." Y a través de
la exploración, el análisis manual, los tutoriales físicos y entrevistas, he encontrado que este es el mejor
enfoque.

Una ley fundamental de la seguridad de red es que usted no puede asegurar lo que no reconoce. Antes
de que una organización pueda afirmar verdaderamente qué tan seguro es su entorno, debe estar
segura de que está mirando todas las áreas correctas –y que lo está haciendo de manera periódica y
constante. Esto no significa que la empresa tiene que ver cada uno de los sistemas, en cada segmento
de la red, en todo momento, pero sí que debe centrarse en lo que es más importante y más visible. En
otras palabras, como mínimo, mire la información más sensible sobre los sistemas más críticos y
resuélvalo desde allí. Si eventualmente es capaz de evaluar la seguridad de todos los sistemas y
aplicaciones –tanto internos como externos a la red– eso es genial. Después de todo, si tiene una
dirección IP, una dirección URL o –dadas las cosas en estos días– un interruptor de encendido/apagado,
probablemente es un blanco legítimo para atacar.

Herramientas del oficio

Con el fin de obtener una imagen real de la seguridad, deje de depender de los análisis básicos de
puertos y vulnerabilidades. El negocio tiene que estar dispuesto a invertir en herramientas que le
permiten excavar más, lo que requerirá las siguientes herramientas:

Analizadores de red que pueden encontrar anomalías en el protocolo, el sistema y el usuario/host.

Crackers de contraseña y cifrado que ponen a prueba la seguridad de los sistemas operativos,
dispositivos móviles y encriptación completa de disco.

Herramientas de búsqueda de información con identificación personal que pueden encontrar archivos
asegurados en forma incorrecta en recursos compartidos de red y computadoras portátiles sin encriptar.

Inyector de SQL y herramientas de proxy para pruebas de aplicaciones web de mayor profundidad.

Escáneres de base de datos que buscan bases de datos en vivo que no están contabilizadas.

Analizadores de base de reglas de firewall, que permiten descubrir fallas de red básica que podrían ser
difícil encontrar de otra manera.

Analizadores de código fuente para descubrir problemas que acechan en la web y aplicaciones móviles.

Herramientas de explotación para demostrar lo que puede suceder cuando se descubren ciertas fallas

Antes de empezar

Planificar las cosas con mucha antelación es fundamental para una buena prueba de seguridad. Eso
establece las expectativas de todos los involucrados, incluyendo la administración, los desarrolladores y
el personal de operaciones de TI. Estas son las principales áreas para atender:

¿Quién es el patrocinador de la prueba? ¿Quién llevará a cabo las pruebas?

¿Qué se va a probar?

(Es decir: interna, externa, con o sin autenticación de usuario)

¿Cuándo será probado?

¿Se requiere análisis manual? (La dependencia periódica en los análisis automatizados está bien, pero la
dependencia total sin realizar nunca un análisis manual es peligrosa, aunque demasiado común)

¿Alrededor de cuánto tiempo va a tomar la prueba? (Será más larga de lo que piensa, sobre todo cuando
se involucra el escaneo web)

¿Se proveerá información completa del sistema o será una prueba a ciegas? (Yo prefiero la primera para
asegurar un alcance definitivo y que nada se pasa por alto)

¿Cuál es su plan de contingencia en caso de un problema, como la negación de servicio a la red o un

escáner de vulnerabilidades web que rellena una base de datos de producción?

Ejecución de las pruebas

Puede tomar todo un libro para cubrir esta fase de las auditorías de seguridad de red, pero aquí hay
cuatro subfases que su empresa querrá ejecutar:

Reconocimiento. Para determinar cuáles sistemas, aplicaciones, personas/procesos, etc. deben ser
analizados.

Enumeración. Para ver qué se está ejecutando dónde, para que usted pueda desarrollar un plan de
ataque.

Descubrimiento de vulnerabilidades. Para descubrir fallas específicas, tales como contraseñas débiles,
inyección SQL y actualizaciones de software que faltan.

Demostración de vulnerabilidad. Para mostrar la importancia de las vulnerabilidades que usted

encuentra y cómo importan en el contexto de su entorno de red y/o negocio.

Una vez más, realizar un análisis manual es una parte grande y muy importante de las pruebas de
seguridad. Un mono puede ejecutar un escáner de vulnerabilidad; el valor real viene cuando usted
utiliza su sabiduría y sentido común para descubrir y explotar las fallas que requieren de intervención
humana.
Construcción de un informe eficaz

En esta etapa, el informe que usted construye esboza dónde y cómo se hacen las cosas; sin embargo,
este paso generalmente no es tomado tan en serio como debería ser. Incluso si se descubre todas las
mayores brechas de seguridad y exploits, si estos riesgos no se comunican bien a los demás dentro de la
organización, entonces probablemente no se actuará respecto a ellos y el ciclo de brechas de seguridad
continuará.

Desde mi propia experiencia, he encontrado que un informe oficial que contiene tanto un resumen
ejecutivo informativo (es decir, no solo un par de frases de pelusa), como una lista de los detalles
técnicos de cada hallazgo crítico y no crítico funciona bien; cuanto más breve, mejor. Nunca entregue
informes exportados de las herramientas de pruebas de seguridad y espere que otros tomen en serio el
informe.

Cualquiera que lea el informe final tiene que saber tres cosas básicas:

Cuáles son los hallazgos.

Dónde están presentes.

Qué se puede hacer al respecto.

Incluso con capturas de pantalla y otros detalles técnicos, a menudo se puede enumerar dos o tres
conclusiones en una sola página del informe. Tenga en cuenta que cuanto más detallado sea el informe,
mayores serán las posibilidades de que algo sea pasado por alto. Remita a un apéndice, datos de prueba
suplementarios (por ejemplo, reportes en PDF o HTML de las herramientas que utilizó) o sitios web,
siempre que sea posible.

Su tiempo y su conocimiento son todo lo que tiene. Las empresas dependen en gran medida de los
resultados de las evaluaciones de seguridad de red, por lo que las mejoras continuas son una necesidad.
A veces se trata de sus herramientas, a veces es su metodología, pero a menudo es solo una cuestión de
mejorar en lo que hace. Teniendo en cuenta todas las evaluaciones que realizo cada año, me he dado
cuenta que si usted afina su enfoque hacia las pruebas de seguridad, puede obtener resultados mucho
mejores en un período de tiempo más corto –incluso con toda la complejidad presente en las redes
actuales