Simulación de ciberataques: Personaliza y automatiza la validación de seguridad de tu compañía

La ciberseguridad es una cuestión estratégica para empresas y administraciones públicas. En octubre, tres centros médicos públicos de Cataluña sufrieron un ciberataque que paralizó su actividad. Los agentes maliciosos emplearon un ransomware para secuestrar los datos de los pacientes y exigir un rescate económico a la Administración. Esta clase de incidentes demuestran la relevancia de contar con servicios de ciberseguridad avanzados, como la simulación de ciberataques, para analizar la estrategia de seguridad de una organización, identificar nuevos vectores de ataque y tomar medidas para remediarlas.

La crisis de seguridad vivida por los centros médicos catalanes evidencia cómo los ciberataques exitosos pueden poner en entredicho algo tan importante como la salud de las personas… y de los negocios. Es más, un incidente de seguridad puede desencadenar consecuencias económicas, legales y reputacionales de gran magnitud. ¿Cómo evita una organización que esto suceda?

La simulación de ciberataques puede ser un aliado clave para validar la seguridad de una compañía o institución. ¿Por qué? Este servicio de gran valor, prestado por especialistas en ciberseguridad, se sustenta sobre dos características fundamentales. Por un lado, es personalizable, es decir, los profesionales adaptan su diseño y ejecución a las necesidades y características de la organización. Por otro, las técnicas empleadas en la simulación de ciberataques se pueden automatizar, lo que facilita la labor de generar un número de pruebas muy elevado en poco tiempo. A la vez que permiten monitorizar de forma continua la seguridad.

A continuación, vamos a analizar el servicio de simulación de ciberataques de Tarlogic y sus beneficios para las compañías que deseen mejorar sus capacidades de detección y respuesta ante posibles ciberamenazas.

1. Tecnología BAS, una aliada para automatizar la validación de seguridad

La automatización de las técnicas puestas en marcha en la simulación de ciberataques es posible gracias al uso de la tecnología Breach and Attack Simulation (BAS). Estas soluciones de vanguardia, como el propio nombre de la tecnología indica, sirven para llevar a cabo la simulación de ciberataques.

Estas herramientas permiten realizar simulaciones de brechas y ataques. El objetivo de dicha simulación de ciberataques es identificar y mitigar los agujeros de seguridad existentes en las aplicaciones web, email y endpoints de las organizaciones.

Asimismo, el caudal de información obtenido al emplear la tecnología BAS permite generar informes y evaluar los riesgos, usando para ellos metodologías de referencia en el sector como MITRE-ATT&CK.

Una de las grandes ventajas del uso este tipo de tecnología es que estas herramientas efectúan una actualización continua del repositorio de amenazas, lo que facilita la detección de ataques innovadores y disruptivos y la anticipación a ellos.

1.1. MITRE-ATT&CK, un framework que sistematiza las tácticas y técnicas maliciosas

¿Qué tácticas y técnicas se pueden emplear para realizar la simulación de ciberataques? Por ejemplo, las que figuran en el framework ATT&CK elaborado por MITRE, una organización sin ánimo de lucro que investiga y desarrolla tecnología para diversas agencias del gobierno de Estados Unidos en áreas tan importantes como la defensa o la ciberseguridad.

Dentro de su labor de innovación en el ámbito de la seguridad en internet, MITRE diseñó ATT&CK un framework que sistematiza las principales tácticas y técnicas empleadas por los delincuentes para atacar a las organizaciones.

En su última versión, publicada en abril de 2022, el framework recoge hasta 14 tácticas que van, desde el reconocimiento, es decir, las acciones puestas en marcha por los atacantes para obtener información que pueda resultarles útiles para futuras operaciones. Hasta el impacto, o dicho de otra forma, el conjunto de técnicas empleadas por los agresores para manipular, interrumpir o destruir los sistemas y la información de una organización. Otras tácticas son la obtención de credenciales de acceso, la escalada de privilegios o la exfiltración de datos.

A su vez, ATT&CK establece las técnicas que emplean los agresores a la hora de cumplir con los objetivos de cada una de las 14 tácticas. De esta forma, la matriz recopila y sistematiza las principales técnicas desarrolladas e implementadas a la hora de llevar a cabo ciberataques.

En el caso de la táctica de evasión de la defensa, mediante la que se busca evitar la detección por parte de los sistemas de seguridad de la organización, MITRE recopila hasta 40 técnicas que pueden emplear los agresores. Lo que da buena muestra de la amplia panorámica sobre los ciberataques que dibuja este framework.

1.2. Simulación de ciberataques a la carta

Por otra parte, también debemos destacar que la simulación de ciberataques puede limitarse, únicamente, a una serie de elementos o activos críticos.

Esto es de gran utilidad, puesto que cada compañía o institución tiene sus propias casuísticas y no todos tienen los mismos componentes implantados en su infraestructura. A la hora de diseñar una simulación de ciberataques a la carta se tienen en cuenta las necesidades, características, objetivos y recursos económicos y humanos de la organización.

De tal manera que, algunas compañías pueden decidir que la simulación de ciberataques se centre en la seguridad de endpoints o la exfiltración de datos, mientras que para otras sea fundamental el Full Kill Chain o los cortafuegos de aplicaciones web.

Esta forma de diseñar la simulación de ciberataques, permite al equipo que presta el servicio adaptar el mismo a cada cliente, incidiendo en aquellos vectores de amenazas más relevantes para la organización en cuestión.

1.3. Un servicio de gran valor añadido para todo tipo de compañías

Así como en términos de amenazas, todas las empresas están expuestas en un grado similar, en función, claro está, de su sector económico; en lo que respecta a las vulnerabilidades, cada una es un mundo.

Hay compañías que han apostado decididamente por situar a la ciberseguridad en el centro de su estrategia empresarial, invirtiendo dinero, contratando servicios de ciberseguridad avanzados y sensibilizando a toda la organización sobre los riesgos a los que se enfrentan. En cambio, otras empresas se encuentran en un estado más embrionario.

El equipo que realiza la simulación de ciberataques debe ayudar a las compañías a identificar y seleccionar los componentes que le reporten un mayor beneficio en lo que respecta a mejorar la seguridad de sus sistemas.

1.4. Escenario avanzado

Además de diseñar la simulación de ciberataques a la carta, en función de los vectores de intrusión prioritarios para la organización, también se puede plantear un escenario de simulación de ciberataques que recoja la totalidad del framework de MITRE.

De esta forma, se obtiene una validación de seguridad extraordinariamente completa, atendiendo a todos los vectores e implementando todas las tácticas y técnicas empleadas por los agentes maliciosos.

Estos servicios avanzados visibilizan los gaps de seguridad de los sistemas de una organización y sirven de punto de partida para realizar las acciones necesarias para subsanarlos. Así, el CISO de una compañía, a la luz de los resultados puede priorizar sus recursos y las acciones a desarrollar.

2. La importancia del talento humano: Las actividades que se llevan a cabo

Como ya señalamos, la tecnología BAS es un avance pionero que permite a los profesionales de la ciberseguridad realizar una simulación de ciberataques personalizada y automatizada.

Esto tiene como consecuencia que, en la actualidad, existan pocos proveedores capaces de ofrecer este servicio de ciberseguridad con el nivel de conocimiento de esta tecnología que tiene el equipo de Tarlogic.

Como es la tónica habitual en el ámbito de la ciberseguridad, cada día se detectan nuevos tipos de amenazas y los datos en torno a ellas se incorporan a este desarrollo tecnológico. De tal manera que los profesionales deben formarse periódicamente y reciclarse para que su conocimiento esté permanentemente actualizado.

Además, dada su complejidad, es crucial que cualquier herramienta que emplee tecnología BAS sea implementada por un equipo altamente cualificado en su uso y en las principales metodologías y buenas prácticas del sector.

Todo ello nos dirige hacia una conclusión que debemos destacar: esta innovadora tecnología no sustituye la importancia del talento humano, sino que la realza.

2.1. El análisis de la información es clave

El empleo de esta clase de herramientas reporta un enorme caudal de datos sobre la seguridad de los sistemas de una compañía. Pero es clave saber analizar dicha información. Para ello es preciso realizar un filtrado de los datos y saber con exactitud cuáles son los aspectos más relevantes de cada ítem en función de las características de la compañía en la que se está realizando la simulación de ciberataques.

Por ejemplo, mediante una solución sustentada sobre la tecnología BAS, se puede saber cuántas veces se repite una determinada vulnerabilidad. Pero dicha herramienta no cualifica la gravedad de la vulnerabilidad. Para una organización que una vulnerabilidad X se detecte 10 veces puede ser menos relevante que una vulnerabilidad que solo se ha detectado una vez pero que afecta a activos críticos de la compañía.

De ahí que el talento humano detrás del manejo de la herramienta y del análisis de sus datos sea de vital importancia. De entre las diferentes actividades que lleva a cabo el equipo de Tarlogic que presta el servicio de simulación de ciberataques podemos destacar seis.

2.2. Implementación, configuración y ejecución de pruebas

La orquestación del servicio es fundamental. Llevar a cabo la gestión y coordinación de todos los componentes requiere un profundo conocimiento de la herramienta que se utiliza, así como una amplia experiencia en su uso. Además también resulta clave que el equipo a cargo de la simulación de ciberataques también cuente una gran experiencia en pentesting, como en el caso de Tarlogic.

Los profesionales de ciberseguridad se encargan de implementar y configurar la herramienta y proceder a ejecutar las pruebas.

2.3. Análisis de los datos y diseño de indicadores de seguridad

Como ya señalamos anteriormente, al emplear la tecnología BAS se consiguen una gran cantidad de datos. Esta información debe ser analizada para resultar útil de cara a fortalecer los sistemas y resolver las vulnerabilidades detectadas.

Por ello, el análisis de datos es una de las claves del servicio de simulación de ciberataques. Los profesionales que lo llevan a cabo generan indicadores de seguridad, de cara a facilitar a los cargos directivos de las empresas la comprensión de la información y, por ende, la toma de decisiones.

El equipo de Tarlogic Security cuenta con una metodología propia para priorizar las amenazas, fruto de la experiencia y los conocimientos acumulados en la prestación de este servicio avanzado de ciberseguridad.

2.4. Recomendación de medidas de contención y prevención

El análisis de los datos obtenidos gracias a esta clase de herramientas permite al equipo que realiza la simulación de ciberataques determinar los problemas de seguridad, priorizarlos y proponer una serie de medidas tanto de contención como de prevención de las ciber amenazas.

No todas las organizaciones tienen los mismos recursos, de ahí que la priorización de las recomendaciones, ajustándose a las características y necesidades de cada compañía, sea tan importante.

De esta forma, el equipo que realiza la simulación de ciberataques ofrece a la empresa los mimbres para confeccionar una hoja de ruta para optimizar la seguridad de sus sistemas. Además, Tarlogic dispone de servicios de Advisory para alinear los resultados, entre otros, con los CIS Benchmarks o con el framework del NIST.

2.5. Investigación proactiva y trabajos manuales complementarios

Más allá de la implementación de la tecnología BAS y el análisis de los datos obtenidos, también es fundamental que los profesionales lleven a cabo una investigación proactiva, completando la información que ofrece la herramienta.

Esto permite al equipo estar permanentemente al tanto de las nuevas técnicas puestas en marcha por los agentes maliciosos. Pudiendo, así, implementarlas en los entornos reales, de cara a securizar a las organizaciones frente a ellas.

Es más, el equipo de Tarlogic ofrece un servicio extra que complementa las tareas que se pueden automatizar. Gracias a todo el conocimiento acumulado por los profesionales que lo conforman, el equipo es capaz de analizar los datos que arrojan las herramientas y realizar comprobaciones manuales que aumentan la probabilidad de éxito.

2.6. Información sobre las pruebas realizadas y colaboración con el Blue Team

La razón de ser de la simulación de ciberataques es validar la seguridad de los sistemas de una empresa y subsanar las vulnerabilidades o brechas detectadas. Para ello, el equipo que la realiza tiene que establecer un canal de comunicación eficiente y permanente con los profesionales de la organización a cargo de la ciberseguridad.

Además de informar sobre todas las pruebas realizadas, es clave que el equipo de simulación de ciberataques colabore con el Blue Team para ayudarlo a enfrentarse a las amenazas.

2.7. Seguimiento en la implementación de las recomendaciones

Los profesionales de Tarlogic Security no terminan sus servicios con la propuesta de recomendaciones para la mitigación de amenazas, sino que realizan un seguimiento para evaluar su implementación y asistir a la organización en todo lo que necesite.

3. Beneficios del servicio de simulación de ciberataques

Habida cuenta de todo lo que hemos relatado, la simulación de ciberataques puede ser un servicio crucial para las compañías e instituciones que deseen validar la seguridad de sus sistemas, comprobar que las medidas que han puesto en marcha funcionan debidamente y subsanar los problemas detectados.

3.1. Gestión integral de todos los componentes y actores

Algunas empresas optan por contratar herramientas BAS y emplearlas por su cuenta. Sin embargo, teniendo en cuenta que estamos hablando de soluciones de vanguardia y extraordinariamente complejas y completas, esto no resulta recomendable.

Si se quiere sacar todo el partido a esta herramienta, es fundamental que la gestión corra a cargo de profesionales versados en su uso y que se forman continuamente para adaptarse a los cambios que se realizan en cada versión.

Un servicio de simulación de ciberataques integral garantiza que la orquestación de las pruebas y la coordinación de todos los actores implicados se hará de manera óptima, contribuyendo a que el servicio sea de gran valor añadido para la dirección de la compañía que lo contrata.

3.2. Analítica, filtrado y priorización

En línea con el beneficio anterior, contratar un servicio de simulación de ciberataques es clave para facilitar el procesado y análisis de la información obtenida en las pruebas. No solo por la ingente cantidad de datos que se consiguen, sino también por lo complejo que resulta cualificarlos, filtrarlos y priorizarlos. Atendiendo, además, a las características propias de cada organización.

Así, los profesionales a cargo de la simulación de ciberataques realizan un filtrado de los falsos positivos, clasifican las amenazas en función de su importancia y ayudan a las organizaciones a priorizarlas.

3.3. Mejora de las medidas de contención y prevención de ciber amenazas

La clave de la simulación de ciberataques no reside tanto en los datos que se obtienen sobre la seguridad de los sistemas y los activos, sino en la posibilidad de transformarlos en medidas de contención y prevención efectivas.

El servicio de simulación de ciberataques prestado por profesionales con experiencia como los de Tarlogic:

• Aporta información cualitativa para mejorar la capacidad de detección del SOC y de los equipos de Blue Team.
• Sirve para contrastar el impacto que podrían tener los ciberataques en una organización y predecir qué porcentaje de agresiones podría tener éxito.
• Permite detectar vulnerabilidades que no habían sido aún identificadas.
• Ayuda a evaluar la eficacia de las medidas de seguridad que la compañía ya ha implementado.
• Asiste a los equipos de la empresa, facilitándoles la comprensión de todos los datos.
• Asesora a la organización a la hora de diseñar y poner en marcha planes de remediación y mitigación, incorporando los descubrimientos hechos durante la simulación de ciberataques.

3.4. Análisis continuo de las nuevas técnicas incorporadas a la herramienta

Una de las grandes ventajas de las herramientas que emplean la tecnología BAS es que se optimizan constantemente, incorporando información crucial sobre las tácticas y técnicas más relevantes empleadas por los malos.

Ello implica que el equipo que presta el servicio deba formarse para comprender y manejar las nuevas técnicas y, así, poder sacarles el máximo partido.

Más allá del uso de la herramienta, si los profesionales gozan de una amplia experiencia en el sector de la ciberseguridad, serán capaces de incorporar las últimas tendencias en el ámbito y analizar las investigaciones más punteras. Incorporando todo este caudal de conocimiento al diseño, ejecución y evaluación del servicio.

3.5. Personalización de la simulación de ciberataques

Quizás éste sea uno de los beneficios más importantes de un servicio de simulación de ciberataques. De nada sirve que los sistemas y activos de una compañía sean testeados a través de pruebas genéricas, que no tienen en cuenta las características de la organización. Puesto que los resultados obtenidos no reportarán una información precisa sobre su seguridad, ni serán útiles para tomar las medidas más pertinentes para solventar los problemas.

La personalización a lo largo de todo el proceso es fundamental. Desde la elección de los vectores de ataque, hasta la transferencia de la información, pasando por el establecimiento de los objetivos de los ataques. Todo debe amoldarse a las necesidades de la compañía y a las capacidades de sus equipos.

De ahí que una de las claves de un servicio de simulación de ciberataques integral sea la colaboración permanente entre el equipo que lo orquesta y los profesionales de la organización que se somete a la validación de seguridad.

Esta personalización se traduce, como no podía ser de otra forma, en entregables con los resultados totalmente adaptados a las demandas de la compañía que contrata el servicio. Así, se pueden facilitar documentos elaborados y estructurados en función del nivel de criticidad, las audiencias o los tipos de ataques.

Si todo esto fuese poco, la monitorización permanente de las pruebas, las vulnerabilidades y las medidas para mitigarlas garantizan la plena personalización del servicio.

3.6. Pintar un mapa de calor sobre la seguridad de todos tus activos

Precisamente, la simulación de ciberataques permite obtener una visión global del estado de seguridad de una compañía y del nivel de protección de sus activos.

Gracias a toda la información obtenida, filtrada, analizada y sistematizada es posible componer un mapa de calor de la seguridad de una empresa en el que figuren sus diferentes activos (WAF, email, endpoints…) y su porcentaje de seguridad.

De tal manera que, a partir de esta panorámica, se pueda dictaminar cuáles son los activos prioritarios y focalizar las medidas de remediación y protección en ellos.

Como ya indicamos anteriormente, la simulación de ciberataques permite confeccionar una hoja de ruta dinámica, que se va modificando en función de los avances conseguidos durante la prestación del servicio.

En definitiva, el servicio de simulación de ciberataques puede ser un aliado clave para validar la seguridad de una compañía, detectar vulnerabilidades, comprobar la eficiencia de las medidas de seguridad implementadas y gestionar los recursos disponibles para securizar los sistemas, equipos y activos de la organización.