Seguridad por casualidad. ¿ Necesita mi empresa una auditoria de seguridad?
Estimados amigos de Inseguros !!!
A lo largo y ancho de la geografía hablo con empresas de todo tipo. Con usuarios, con CEO´s y todo tipo de gerentes, con administradores de sistemas, con responsables de seguridad, con el portero del edificio, quien me conoce sabe que hablo por los codos :-)
En muchos casos me encuentro con la negativa desde todos los escalafones de la empresa a investir en seguridad. Que el responsable financiero, ejecutivo, de departamento,etc tenga sus reticencias, es normal. Vivimos en la crisis permanente en el mundo de la seguridad, y en general en el IT. El mismo presupuesto en un mueble o en un coche se acepta, y en una compra IT se revisa y revisa y se busca el "2.0" es decir, no pagar nada. Que el compañero técnico en mayor o menor grado de responsabilidad también se reticente a realizar una auditoria, me parece de escándalo. La haga el, la haga yo, la haga la empresa de la competencia, o quien sea !!!
Voy a empezar esta reflexión comparando el mundo "none-tech". Pongamos el ejemplo de la contabilidad de la empresa. No conozco a NINGUNA empresa que tenga un contable en plantilla, técnico que se dedica a realizar apuntes a diario, su gestión bancaria, facturas, cheques, etc, y que no cuente con una asesoría EXTERNA que guíe y controle los movimientos fiscales de la compañía, lo que viene siendo la ingeniería contable.
Si la empresa factura creo que 12 mill.€ o más, está obligada a realizar una auditoria externa para comprobar el buen funcionamiento.
Vamos a bajar un escalón más. RRHH. Conoces alguna empresa que tenga un sistema de auditoria continua al empleado, mediante control de acceso? Fichar al entrar y a salir?.
Vamos a bajar un escalón mas aún !!! Cámaras de vídeo vigilancia. Conoces alguna empresa que tenga una cámara ip conectada en algún punto?
Vamos a bajar un escalón mas, a ras del suelo. Una caja fuerte !!! Conoces empresas que haya una caja fuerte? no pienses en una de esas empotrada en la pared tras el cuadro. Piensa en una cajita de caudales con llave en el cajón de un despacho...
Todo esto son medidas de control, de auditoria, de seguridad !!!
El perfil de una empresa mediana, mediana en informática es 50/150 equipos para mi, suele ser un rango de ip públicas, 4, 5, 25, un /24 ... unos cuantos dominios, unas cuentas sedes, y un puñado de aplicaciones web y servicios.
Por lo general me suelo encontrar con que el portal de la empresa, el www.com es un CMS actualizado, o medianamente actualizado, pero no en versiones con exploit o fallos públicos. Si fueran públicos, ya los hubieran hackeado. El informático de vez en cuando actualiza el "wordpreee" pero no tiene un proceso que le notifique y por supuesto, no realiza anti-fingerprint ni cualquier otro tipo de fortificación. Los mas temerarios te contestan que como está en un hosting externo, la seguridad no es su problema.... bieeeeeeeeeeeen cuando te pongan un defacement con la foto de un islamista en tu web escribes una nota de prensa diciendo que la culpa es de tu hosting...
Los hay que tienen algún plugin anti brute force... pero no quitan el xmlrpc, bueno eso son muchos detalles.
En la parte perimetral, suelen tener un forti o mikrotik o similar, haciendo el trabajo de ROUTER y NAT , clásico, lo que se supone que viene antes de los NG-Firewalls. TODO lo que esté nateado, permitido, sin ningún control. Eso si, el appliance de seguridad tiene de todo, pero no está activado. El comercial lo vendió, se puso un día pero como no se podía navegar o mandar correos, se apagó todo y se dejo como un router de telefónica xD bieeennnn para eso si gastamos dinero.
Depende de la inversión que hicieran en este aparato, y el tiempo que hace de ello, el responsable de turno te contestará que están ya protegidos...
Si hace mucho que tienen el equipo en cuestión, aparecerán todo tipo de NATeos sin controlar, desde un RDP de algún comercial, algún portal de pruebas publicado hace tiempo, incluso el trabajo de becarios o amigos del jefe...
Como es normal, estos equipos no detectan redes de anonimato ni escaneos de puertos y las típicas baterías de pruebas ruidosas y escandalosas.
La parte de aplicaciones y servicios web suele ser un poema. Algunos no saben aún que se pueden escanear los 65500 puertos tcp y no solo los 1024 primeros !!! Esconder una app en el puerto 6666 no servirá de nada, Bueno quizás un novato piense en un servidor de IRC.
Estas aplicaciones suelen estar desarrolladas por el informático de turno de la empresa, o por el informático de turno de otra empresa proveedora externa, y no siempre muy bien diseñada. Aquí suele estar el filón en el test de intrusión ya que son cosas "que las llevas la otra empresa" y ahí es donde aparecen los webservers tomcat sin actualizar, los IIS, Sql server, mongo, webservices sin auth, etc etc.
Por supuesto que montar un WAF para estos sistemas es impensable, Puedes encontrar desde una webshell fácil, leaks de información sensible, y a las malas, la posibilidad de pasar 24 horas pasando scripts y pruebas, intentos de login, denegaciones de servicio, y el informático almorzando tranquilamente en el bar.
Puede ser que tras un proceso de auditoria o intrusión consigues cocina, entrar al segmento interno. Muchos informáticos entienden que si un atacante consigue entrar a la red interna, está todo perdido, pero sin embargo cuando les ofreces hacer un test interno para ver el alcance que tendría la intrusión, y sobre todo, como defenderse o minimizar el impacto, te dicen que no, porque lo importante es lo externo...
Algunos se ofenden si le muestras que el proceso de intrusión se produjo por una falta de actualizaciones, o por una contraseña débil o por defecto, o por una validación de usuario en un js de lado de cliente, cualquier Owasp Top 10 o cualquier aberración de las que nos encontramos los auditores. Pero no se ofenden al mirarse al espejo y saber que tienen estos fallos y no solucionarlos.
Vivimos en un mundo en el que debemos proteger nuestras organizaciones en internet de una cantidad ingente de posibles atacantes. Si un guardia de seguridad protege tu empresa por 25.000€/año solo 8 horas al día, para una posible masa de "atacantes" reducida a los 100/500/1000 manguis que haya en tu ciudad, el coste de defender la seguridad de tu empresa ante millones de posibles atacantes creo que debería ser al menos, equiparable.
Muchos de mis amigos son administradores de sistemas y no pretendo con esto decir que tengan que contratar servicios de auditoria caros. Puedes hacerlos tu. Simplemente usan artículos con procedimientos que hay en las mil páginas que hay, y aplica eso a tu empresa. Si no sabes como hacerlo pide ayuda, fórmate !!! pero no vale : me han hackeado pero ha sido por una tontería de wordpress sin actualizar. Esta bien, es una tontería técnica, pero la has permitido.
Uno de los problemas que hay en las medianas empresas es que se ve al departamento IT como los raros de la película. Ya sabes, hablamos en lenguajes raros y somos la mar de sociales !!!
Generalmente me encuentro con CEOs y consejos de dirección con una confianza 100% en sus chicos IT. En el informático!!!! Muchos hasta le temen, porque es el único que sabe como van las cosas y si le tocas la moral mucho se cabrea y me deja tirado...
Usar los servicios externos de auditoria de seguridad es una ayuda para la empresa y para el departamento IT en el proceso de seguridad de la empresa. Hay de todo tipo de precios y características, el dinero no debería ser una escusa para realizar este tipo de prácticas.
Espero que si administras, diriges, manejas, supervisar cualquier departamento en cualquier empresa tengas en cuenta estas reflexiones, y consideres al menos iniciar algún proceso de auditoria de seguridad interno o externo, pero no dejes en manos de los chicos malos la seguridad de tu empresa, porque "la otra parte del mundo" está solo a un click de tus datos.
Espero que os hayan gustado las reflexiones y os animo a comentar vuestras experiencias, tanto a la hora de contratar servicios como de ofrecerlos.
Gracias por leerme !!!
A lo largo y ancho de la geografía hablo con empresas de todo tipo. Con usuarios, con CEO´s y todo tipo de gerentes, con administradores de sistemas, con responsables de seguridad, con el portero del edificio, quien me conoce sabe que hablo por los codos :-)
En muchos casos me encuentro con la negativa desde todos los escalafones de la empresa a investir en seguridad. Que el responsable financiero, ejecutivo, de departamento,etc tenga sus reticencias, es normal. Vivimos en la crisis permanente en el mundo de la seguridad, y en general en el IT. El mismo presupuesto en un mueble o en un coche se acepta, y en una compra IT se revisa y revisa y se busca el "2.0" es decir, no pagar nada. Que el compañero técnico en mayor o menor grado de responsabilidad también se reticente a realizar una auditoria, me parece de escándalo. La haga el, la haga yo, la haga la empresa de la competencia, o quien sea !!!
Voy a empezar esta reflexión comparando el mundo "none-tech". Pongamos el ejemplo de la contabilidad de la empresa. No conozco a NINGUNA empresa que tenga un contable en plantilla, técnico que se dedica a realizar apuntes a diario, su gestión bancaria, facturas, cheques, etc, y que no cuente con una asesoría EXTERNA que guíe y controle los movimientos fiscales de la compañía, lo que viene siendo la ingeniería contable.
Si la empresa factura creo que 12 mill.€ o más, está obligada a realizar una auditoria externa para comprobar el buen funcionamiento.
Vamos a bajar un escalón más. RRHH. Conoces alguna empresa que tenga un sistema de auditoria continua al empleado, mediante control de acceso? Fichar al entrar y a salir?.
Vamos a bajar un escalón mas aún !!! Cámaras de vídeo vigilancia. Conoces alguna empresa que tenga una cámara ip conectada en algún punto?
Vamos a bajar un escalón mas, a ras del suelo. Una caja fuerte !!! Conoces empresas que haya una caja fuerte? no pienses en una de esas empotrada en la pared tras el cuadro. Piensa en una cajita de caudales con llave en el cajón de un despacho...
Todo esto son medidas de control, de auditoria, de seguridad !!!
El perfil de una empresa mediana, mediana en informática es 50/150 equipos para mi, suele ser un rango de ip públicas, 4, 5, 25, un /24 ... unos cuantos dominios, unas cuentas sedes, y un puñado de aplicaciones web y servicios.
Por lo general me suelo encontrar con que el portal de la empresa, el www.com es un CMS actualizado, o medianamente actualizado, pero no en versiones con exploit o fallos públicos. Si fueran públicos, ya los hubieran hackeado. El informático de vez en cuando actualiza el "wordpreee" pero no tiene un proceso que le notifique y por supuesto, no realiza anti-fingerprint ni cualquier otro tipo de fortificación. Los mas temerarios te contestan que como está en un hosting externo, la seguridad no es su problema.... bieeeeeeeeeeeen cuando te pongan un defacement con la foto de un islamista en tu web escribes una nota de prensa diciendo que la culpa es de tu hosting...
Los hay que tienen algún plugin anti brute force... pero no quitan el xmlrpc, bueno eso son muchos detalles.
En la parte perimetral, suelen tener un forti o mikrotik o similar, haciendo el trabajo de ROUTER y NAT , clásico, lo que se supone que viene antes de los NG-Firewalls. TODO lo que esté nateado, permitido, sin ningún control. Eso si, el appliance de seguridad tiene de todo, pero no está activado. El comercial lo vendió, se puso un día pero como no se podía navegar o mandar correos, se apagó todo y se dejo como un router de telefónica xD bieeennnn para eso si gastamos dinero.
Depende de la inversión que hicieran en este aparato, y el tiempo que hace de ello, el responsable de turno te contestará que están ya protegidos...
Si hace mucho que tienen el equipo en cuestión, aparecerán todo tipo de NATeos sin controlar, desde un RDP de algún comercial, algún portal de pruebas publicado hace tiempo, incluso el trabajo de becarios o amigos del jefe...
Como es normal, estos equipos no detectan redes de anonimato ni escaneos de puertos y las típicas baterías de pruebas ruidosas y escandalosas.
La parte de aplicaciones y servicios web suele ser un poema. Algunos no saben aún que se pueden escanear los 65500 puertos tcp y no solo los 1024 primeros !!! Esconder una app en el puerto 6666 no servirá de nada, Bueno quizás un novato piense en un servidor de IRC.
Estas aplicaciones suelen estar desarrolladas por el informático de turno de la empresa, o por el informático de turno de otra empresa proveedora externa, y no siempre muy bien diseñada. Aquí suele estar el filón en el test de intrusión ya que son cosas "que las llevas la otra empresa" y ahí es donde aparecen los webservers tomcat sin actualizar, los IIS, Sql server, mongo, webservices sin auth, etc etc.
Por supuesto que montar un WAF para estos sistemas es impensable, Puedes encontrar desde una webshell fácil, leaks de información sensible, y a las malas, la posibilidad de pasar 24 horas pasando scripts y pruebas, intentos de login, denegaciones de servicio, y el informático almorzando tranquilamente en el bar.
Puede ser que tras un proceso de auditoria o intrusión consigues cocina, entrar al segmento interno. Muchos informáticos entienden que si un atacante consigue entrar a la red interna, está todo perdido, pero sin embargo cuando les ofreces hacer un test interno para ver el alcance que tendría la intrusión, y sobre todo, como defenderse o minimizar el impacto, te dicen que no, porque lo importante es lo externo...
Algunos se ofenden si le muestras que el proceso de intrusión se produjo por una falta de actualizaciones, o por una contraseña débil o por defecto, o por una validación de usuario en un js de lado de cliente, cualquier Owasp Top 10 o cualquier aberración de las que nos encontramos los auditores. Pero no se ofenden al mirarse al espejo y saber que tienen estos fallos y no solucionarlos.
Vivimos en un mundo en el que debemos proteger nuestras organizaciones en internet de una cantidad ingente de posibles atacantes. Si un guardia de seguridad protege tu empresa por 25.000€/año solo 8 horas al día, para una posible masa de "atacantes" reducida a los 100/500/1000 manguis que haya en tu ciudad, el coste de defender la seguridad de tu empresa ante millones de posibles atacantes creo que debería ser al menos, equiparable.
Muchos de mis amigos son administradores de sistemas y no pretendo con esto decir que tengan que contratar servicios de auditoria caros. Puedes hacerlos tu. Simplemente usan artículos con procedimientos que hay en las mil páginas que hay, y aplica eso a tu empresa. Si no sabes como hacerlo pide ayuda, fórmate !!! pero no vale : me han hackeado pero ha sido por una tontería de wordpress sin actualizar. Esta bien, es una tontería técnica, pero la has permitido.
Uno de los problemas que hay en las medianas empresas es que se ve al departamento IT como los raros de la película. Ya sabes, hablamos en lenguajes raros y somos la mar de sociales !!!
Generalmente me encuentro con CEOs y consejos de dirección con una confianza 100% en sus chicos IT. En el informático!!!! Muchos hasta le temen, porque es el único que sabe como van las cosas y si le tocas la moral mucho se cabrea y me deja tirado...
Usar los servicios externos de auditoria de seguridad es una ayuda para la empresa y para el departamento IT en el proceso de seguridad de la empresa. Hay de todo tipo de precios y características, el dinero no debería ser una escusa para realizar este tipo de prácticas.
Espero que si administras, diriges, manejas, supervisar cualquier departamento en cualquier empresa tengas en cuenta estas reflexiones, y consideres al menos iniciar algún proceso de auditoria de seguridad interno o externo, pero no dejes en manos de los chicos malos la seguridad de tu empresa, porque "la otra parte del mundo" está solo a un click de tus datos.
Espero que os hayan gustado las reflexiones y os animo a comentar vuestras experiencias, tanto a la hora de contratar servicios como de ofrecerlos.
Gracias por leerme !!!