Grupo de pruebas de ataques e infiltraciones de Microsoft IT
El desarrollo de un grupo de pruebas de ataques e infiltraciones eficaz presenta dificultades singulares en cuanto a la administración. Puede resultar difícil encontrar a las personas adecuadas, los evaluadores pueden tener acceso a los datos corporativos más confidenciales y los propietarios de los sistemas evaluados pueden no mostrarse dispuestos a colaborar.
Para la buena marcha de los negocios, las corporaciones necesitan hoy en día conectar sus empresas a Internet. La propiedad intelectual básica de cualquier empresa con una red de equipos conectados a Internet puede sufrir ataques a través de Internet. Las leyes de los Estados Unidos de América, como Sarbanes-Oxley, el proyecto de ley del senado de California 1386 (SB 1386) y la Ley sobre la Transferibilidad y Responsabilidad de los Seguros Médicos (HIPAA), exigen que las empresas protejan la información identificable de índole personal. Las organizaciones de IT deben considerar multitud de opciones para mejorar la seguridad de sus redes corporativas.
Deben evaluar los riesgos, crear directivas que mitiguen dichos riegos y desarrollar sistemas que exijan el cumplimiento de las directivas. Una vez instaurada una directiva, la organización debe disponer de mecanismos para comprobar su cumplimiento. La comprobación de ataques e infiltraciones es un conjunto de técnicas y metodologías destinadas a comprobar el cumplimiento de las directivas de seguridad para detectar puntos débiles hasta entonces desconocidos. El objetivo general es limitar los puntos de exposición y restringir la capacidad de acceso de atacantes desconocidos.
Nota: Para obtener más información sobre cómo la organización Microsoft IT define directivas en función de un esquema de evaluación de riesgos, consulte los documentos en las direcciones http://www.microsoft.com/technet/itsolutions/msit/security/mssecbp.mspx y http://www.microsoft.com/technet/itsolutions/msit/security/securingITenviron.mspx (en inglés).
Si no se comprueban los ataques y las infiltraciones, es difícil evaluar la eficacia de las medidas de seguridad.
La comprobación de los ataques e infiltraciones es la práctica consistente en intentar infiltrarse en un objetivo para determinar su nivel de seguridad. Es una parte esencial en la evaluación de la seguridad de la empresa: la comprobación definitiva que determinará la eficacia de las demás medidas de seguridad.
La comprobación de ataques e infiltraciones puede subcontratarse a proveedores externos o desarrollarse dentro de la empresa. La finalidad de este documento es describir la experiencia del grupo Microsoft IT en la creación y desarrollo de un grupo de pruebas de ataques e infiltraciones interno.
Este documento está dirigido a profesionales de IT de la empresa; proporciona una descripción general de la organización del grupo de pruebas de ataques e infiltraciones de Microsoft y explica las fases de diseño, creación, implementación y puesta en marcha de un grupo de pruebas de ataques e infiltraciones. Se basa en la experiencia y las recomendaciones de Microsoft IT y no pretende ser una guía de procedimientos. Las circunstancias de cada entorno empresarial son únicas, por lo que cada organización deberá adaptar los planes y las lecciones aprendidas que se describen en este documento para satisfacer sus necesidades específicas.
En este documento se describe el proceso de desarrollo de un grupo de pruebas de ataques e infiltraciones, sin detenerse demasiado en las herramientas, técnicas y tecnologías utilizadas por Microsoft IT.
En esta página
Información general sobre Microsoft IT
Microsoft IT tiene una amplia variedad de responsabilidades. Su función principal es la de proporcionar servicios de IT que van desde el soporte técnico a los usuarios finales y la administración de telecomunicaciones hasta las operaciones de servidores y redes. Microsoft IT asegura que aproximadamente 56.000 empleados, 7.000 contratistas y 28.000 proveedores de más de 400 ubicaciones de Microsoft distribuidas por todo el mundo puedan tener acceso a la red corporativa las 24 horas del día y los siete días de la semana.
Entorno
Microsoft IT trabaja en un entorno de seguridad extremadamente activo y complicado. Las dificultades a las que tiene que hacer frente son las siguientes:
| • | Cada mes, Microsoft sufre alrededor de 100.00 intentos de infiltración |
| • | Cada mes, Microsoft sondea, examina y pone en cuarentena más de 150.000 mensajes de correo electrónico infectados con virus |
| • | Microsoft dispone de entornos de IT exclusivos para el desarrollo, comprobación y asistencia técnica de productos, que exigen una seguridad especial |
Esta combinación de factores (un contexto de seguridad en constante evolución repleto de posibles vulnerabilidades que opera a través de un entorno de IT dinámico y de grandes proporciones) presenta toda una serie de variables que agregan complejidad.
Definición de la comprobación de ataques e infiltraciones
La comprobación de ataques e infiltraciones es un método sistemático de identificar puntos débiles en objetivos ya implementados. Un objetivo puede ser una red, un conjunto de equipos host o una aplicación que forma parte de una organización, función o segmento empresarial objeto de análisis. La comprobación de ataques e infiltraciones implica utilizar técnicas y herramientas similares a las que utilizan los atacantes para penetrar en objetivos confidenciales de la empresa. Los grupos de pruebas de ataques e infiltraciones desarrollan una metodología para detectar e identificar puntos débiles.
La mayoría de los puntos débiles expuestos a ataques son de dos tipos. Los distintos grupos de puntos débiles son comunes a tecnologías diferentes. Por ejemplo, los puntos débiles de las plataformas se pueden clasificar en:
| • | Denegación de servicio |
| • | Incremento escalonado de los privilegios hasta convertirse en usuarios válidos |
| • | Acceso no autorizado al host |
| • | Ejecución de secuencias de comandos remotas |
La comprobación de ataques e infiltraciones consiste en intentar de forma metódica aprovechar los puntos débiles de cada tipo, así como intentar combinaciones de ataques y crear ataques nuevos con el fin de averiguar qué se necesita para desbaratar un objetivo o infiltrarse en él.
Los grupos de pruebas de ataques e infiltraciones utilizan una serie de herramientas en sus comprobaciones, como escáneres de puertos automatizados, rastreadores de paquetes de red, descifradores de contraseñas y secuencias de comandos de prueba (las mismas herramientas que utilizan los atacantes reales) para intentar tener acceso no autorizado a una red corporativa.
Organización del grupo de seguridad de Microsoft IT
En Microsoft, el grupo de pruebas de ataques e infiltraciones es un grupo pequeño de evaluadores especializados dentro de la organización de seguridad corporativa, que forma parte de Microsoft IT.
Este grupo trabaja en estrecha colaboración con otros grupos de Microsoft, entre los que se incluyen:
| • | El grupo de evaluación de riesgos. El grupo de evaluación de riesgos dentro de la organización de seguridad corporativa es el responsable de identificar los riesgos más importantes de seguridad y de definir prioridades para el grupo de pruebas de ataques e infiltraciones. |
| • | Propietario de recursos de IT (propietario del objetivo). El gran número de grupos de IT que utilizan aplicaciones empresariales en Microsoft IT son los objetivos habituales de la comprobación de ataques e infiltraciones. Los grupos de propietarios de objetivos son los propietarios de las aplicaciones de recursos humanos, sistemas financieros, nóminas, correo electrónico corporativo y otros sistemas relacionados con la infraestructura. |
| • | Grupos de auditoría: La comprobación de ataques e infiltraciones es un tipo de auditoría. Aunque las técnicas y habilidades implicadas son completamente diferentes, los grupos de auditoría de procesos de IT trabajan a menudo con los grupos de auditoría de tecnologías para garantizar el cumplimiento preceptivo de aplicaciones específicas. |
| • | Administradores de programas de seguridad. Un grupo de administradores de programas actúa de interlocutor entre el grupo de pruebas de ataques e infiltraciones y los propietarios de objetivos. Sirven de consultores de seguridad a los programadores de objetivos, administradores y grupos de administración, ofreciendo su experiencia para ayudar a resolver los problemas detectados durante las pruebas. Actúan también como administradores de programas para el grupo de pruebas de ataques e infiltraciones. Los administradores de programas se ocupan de la mayor parte de la administración del proyecto de las distintas evaluaciones y realizan tareas tales como encontrar el momento oportuno para realizar las pruebas, realizar un seguimiento de los problemas detectados y ayudar a los grupos de propietarios de objetivos a resolver esos problemas una vez finalizadas las pruebas. |
Diseño de un programa de comprobación de ataques e infiltraciones
Para planear el desarrollo de un programa de comprobación de ataques e infiltraciones, debe:
| • | Realizar una evaluación de los riesgos de los datos de la empresa y su exposición a ataques |
| • | Considerar si se debe crear un grupo interno o subcontratar el servicio |
| • | Inventariar los objetivos que deben comprobarse y el número de personas que es preciso contratar |
| • | Determinar las disposiciones legales y preceptivas que se aplican a la empresa y a sus datos |
Evaluación de riesgos
Antes de realizar la comprobación de ataques e infiltraciones, es importante conocer los riesgos e identificar su importancia. Los objetivos expuestos a mayores riesgos deben evaluarse primero, y los que están expuestos a menores riesgos deben evaluarse en último lugar.
En Microsoft, un grupo aparte de evaluación de riesgos se encarga de identificar los objetivos y de establecer su importancia para el grupo de pruebas de ataques e infiltración.
Los riesgos deben evaluarse desde varios puntos de vista, entre los que se incluyen los siguientes:
1. | ¿Qué grado de importancia o validez tienen los datos? Por ejemplo, los activos de propiedad intelectual básicos de la empresa, los datos de recursos humanos y los datos identificables de índole personal como tarjetas de crédito y números de la seguridad social deben evaluarse como esenciales. |
2. | ¿Cuál es el grado de exposición de un objetivo? Por ejemplo, ¿cómo se conecta a la red? ¿Qué usuarios se pueden conectar a los equipos host que contienen los datos? |
3. | ¿Cuáles son los daños potenciales? Por ejemplo, ¿cuál sería el costo para la empresa si se irrumpe en un host particular o se desconecta? |
4. | ¿Existe algún modo de aprovechar los puntos débiles conocidos asociados a una tecnología? ¿Es fácil para un atacante aprovechar un punto débil? ¿Podría desarrollarse un gusano o un virus que aprovechará el punto débil? |
5. | ¿Cuáles son las restricciones legales? Por ejemplo, ¿qué aplicaciones contienen datos necesarios para cumplir las normativas, como la ley HIPAA, Sarbanes Oxley o California SB 1386? |
El equipo de evaluación de riesgos utiliza estos y otros criterios para determinar el riesgo global de un determinado objetivo e identificar su importancia para la comprobación de ataques e infiltraciones.
Para reducir el riesgo global, no basta con comprobar únicamente los objetivos fundamentales. Debe realizarse también un muestreo de todos los objetivos de la red corporativa, incluidos los que poseen un valor menor. Por ejemplo, un ataque con éxito a un host de poco valor podría exponer a una aplicación de mayor valor a un ataque dañino.
Microsoft IT recomienda desarrollar un equipo de evaluación de riesgos que identifique el valor de los datos en los distintos objetivos. Este equipo debe identificar las prioridades de la comprobación de ataques e infiltraciones antes de poner en marcha un programa destinado a tal fin.
Nota: Para obtener más información sobre la evaluación de riesgos, consulte la “Guía de seguridad de administración de riesgos” (http://www.microsoft.com/technet/security/guidance/secrisk/default.mspx, en inglés), el documento “Seguridad de la administración de respuestas a incidentes en Microsoft” (http://www.microsoft.com/technet/itsolutions/msit/security/msirsec.mspx, en inglés) y el documento de infraestructura de administración de riesgos de "Seguridad de IT en Microsoft" (http://www.microsoft.com/technet/itsolutions/msit/security/mssecbp.mspx, en inglés).
Realizar internamente la comprobación de ataques e infiltraciones o subcontratar el servicio
Muchas empresas de seguridad están especializadas en realizar comprobaciones de ataques e infiltraciones como un servicio de consultoría. Para las empresas pequeñas, o para las empresas en las que es urgente realizar dicha comprobación, la subcontratación de este tipo de servicio puede ser la mejor opción a corto plazo para objetivos cuya comprobación es esencial.
A largo plazo, son muchas las ventajas de crear un grupo de pruebas de ataques e infiltraciones interno, entre las que se incluyen las siguientes:
| • | Una cobertura más continua. La comprobación de seguridad debe ser un proceso continuo y no una iniciativa ocasional. Prácticamente cada día se descubren nuevos puntos débiles. Los grupos de aplicaciones desarrollan software nuevo regularmente. Los sistemas antiguos acaban siendo olvidados y pueden exponer a la empresa a riesgos no conocidos. Sólo un programa de comprobación de ataques e infiltraciones continuo puede detectar estos riesgos e identificar el modo de mitigarlos. |
| • | Costo menor a largo plazo. Como solución a largo plazo para los requisitos de control de seguridad, los consultores de seguridad resultan caros. Las empresas que invierten en contratar a sus propios profesionales de seguridad se ahorran los costos a largo plazo de la comprobación de ataques e infiltraciones, y obtienen resultados de mayor calidad, ya que los profesionales de seguridad acaban familiarizándose con los sistemas internos. Téngase en cuenta que las auditorías externas periódicas pueden ser adecuadas como complemento al grupo de ataques e infiltraciones interno. |
| • | Menor riesgo de divulgación de datos confidenciales. Cuando la comprobación de los ataques e infiltraciones se realiza internamente, es mayor el control sobre la divulgación de datos confidenciales. |
Determinar el tamaño del grupo y la capacidad
La comprobación de ataques e infiltraciones requiere una amplia variedad de conocimientos tecnológicos. Es improbable que una sola persona disponga de los conocimientos para realizar todos los tipos de pruebas de ataques e infiltraciones necesarias incluso en una empresa pequeña. Es importante seleccionar un equipo de expertos en seguridad con aptitudes complementarias en tres amplias áreas de conocimientos técnicos:
1. | Host. Los especialistas en equipos host saben cómo infiltrarse en los equipos. Conocen los servicios que se ejecutan en cada puerto y saben encontrar los puntos débiles y las configuraciones incorrectas habituales y el modo de aprovecharse de ellas. Los especialistas en host suelen tener conocimientos en ingeniería de sistemas o administración de servidores. |
2. | Redes. Los expertos en redes conocen perfectamente los protocolos de red subyacentes y saben cómo analizar el tráfico de red, perpetrar ataques de nivel de protocolo y probar los controles de red. Los especialistas en redes suelen tener amplios conocimientos sobre enrutadores, topologías de red, mecanismos de control de acceso a redes y las distintas capas de la pila de red. Los expertos en redes normalmente han trabajado previamente en ingeniería de redes o, algunas veces, en telecomunicaciones. |
3. | Aplicaciones. Los expertos en aplicaciones saben cómo están diseñadas e implementadas las aplicaciones de redes y de host, y cómo aprovecharse de los errores de codificación comunes para infiltrarse en un sistema. Los especialistas en aplicaciones con conocimientos prácticos sobre la arquitectura de las aplicaciones pueden identificar los distintos modos de infringir daños en las aplicaciones, y saben dónde se pueden utilizar datos imprevistos para trucar la aplicación y permitir el acceso al host de un modo u otro. Los expertos en aplicaciones suelen tener experiencia en el desarrollo de aplicaciones. |
Como requisito mínimo, se recomienda que el grupo de pruebas de ataques e infiltraciones este formado por tres personas, especializadas cada una de ellas en una de estas tres áreas. Es probable también que las tres personas con diferentes experiencias, puntos de vista e ideas formen un grupo más completo y sean capaces de detectar una mayor cantidad de puntos débiles. Cuando contrate a un equipo, debe contratar a un experto en cada una de las tecnologías ampliamente implementadas en la red. En Microsoft, la mayoría de los expertos en host están especializados en la plataforma Windows. Seleccione a los expertos en función de los sistemas que ha implementado.
El grupo de tres expertos debe comenzar comprobando las aplicaciones que presentan mayores riesgos. Según el número de objetivos implementados en una red, es posible que el grupo de pruebas de ataques e infiltraciones deba ampliarse para proporcionar la cobertura adecuada. En Microsoft, este grupo rondaba en torno a cinco personas en el momento de redactar este documento. Con personal adicional aumentará la capacidad del grupo y podrán evaluarse más objetivos internos. La experiencia de los integrantes adicionales del grupo se determinará a grosso modo en función de los riesgos identificados por el grupo de evaluación de riesgos, concediendo particular importancia a la experiencia en las tecnologías específicas ampliamente utilizadas en la empresa.
Aspectos legales
En función del sector industrial, puede haber diferentes normativas que rijan los distintos métodos de comprobar la integridad y seguridad de los sistemas de información. Por ejemplo, el proyecto de ley California SB 1386 requiere que toda la información identificable de índole personal esté cifrada cuando se transmite a través de una red. El grupo de pruebas de ataques e infiltraciones comprueba que este requisito se satisfaga de dos modos. Analizan el tráfico de información identificable de índole personal no cifrada y comprueban el cifrado cuando se transmite este tipo de información.
Creación de un programa de comprobación de ataques e infiltraciones
En esta sección se describen las personas, el proceso y la tecnología que se han utilizado para crear el programa de comprobación de ataques e infiltraciones de Microsoft IT.
Creación de un grupo de pruebas de ataques e infiltraciones
La parte más complicada en la creación de un programa de comprobación de ataques e infiltraciones es encontrar a la primera persona. La comunidad de expertos en seguridad es un grupo pequeño con muchos nexos de unión, y encontrar a una persona con experiencia para poner en marcha un programa de comprobación de ataques e infiltraciones puede ser complicado.
Una estrategia es empezar a trabajar con una consultora de seguridad y pedir referencias sobre algún candidato adecuado.
Una vez encontrada a la persona con amplia experiencia en seguridad que lidere el grupo, es posible formar a otras personas con vastos conocimientos en solución de problemas informáticos para que ocupen las demás vacantes. Estas personas suelen tener experiencia en ingeniería de redes, comprobación de software o en asistencia técnica. La comprobación de ataques e infiltraciones tiene muchas similitudes con el control de calidad (QA): la finalidad es subvertir el funcionamiento normal del objetivo. El objetivo es el conjunto de host, redes y aplicaciones que se van a comprobar. Las personas con aptitudes para trabajar en el control de calidad pueden resultar idóneas para la comprobación de ataques e infiltraciones.
Es importante encontrar a personas que no sólo tengan las aptitudes técnicas para detectar puntos débiles y disposición para intentar averiar sistemas, sino también buenas habilidades de equipo e interpersonales. Los evaluadores de ataques e infiltraciones tendrán que cooperar con los propietarios de los sistemas que intentan quebrantar para remediar de forma eficaz los puntos débiles detectados.
Por encima de todo, es esencial encontrar a candidatos de confianza. Los evaluadores de ataques e infiltraciones tendrán acceso probablemente a la información más confidencial de la empresa; es imprescindible que mantengan esta información en secreto. Por este motivo, muchos profesionales de asesoramiento de seguridad externos están avalados. Todos los candidatos deben ser examinados exhaustivamente y deben someterse a una comprobación de antecedentes.
Formación y certificación
El Instituto de administración de sistemas, auditoría, redes y seguridad (SANS, SysAdmin, Audit, Network, and Security Institute) proporciona una formación excelente para los profesionales de seguridad con una gran variedad de programas y cursos. El instituto SANS concede también certificados a los profesionales de seguridad con un programa llamado Certificación de control de información global (GIAC, Global Information Assurance Certification).
Apoyo de la dirección
El tipo de personas a cargo de la comprobación de ataques e infiltraciones que realizan satisfactoriamente su trabajo son individuos inteligentes, creativos y con una gran motivación. Los profesionales de la seguridad están muy demandados y esperan ser debidamente compensados y disponer de un alto grado de independencia durante el desempeño normal de sus tareas.
En Microsoft, el grupo de pruebas de ataques e infiltraciones se ha convertido en un grupo cordial y competitivo integrado por componentes del mismo rango. Durante las revisiones de rendimiento, el empleado recibe opiniones del resto de los componentes del grupo, así como de los directivos. Existe un espíritu de competitividad en el grupo que incita a cada componente a ser el primero en encontrar el punto débil en el nuevo objetivo sometido a comprobación. El liderazgo de los distintos proyectos va rotando entre los diferentes integrantes del grupo para equilibrar las oportunidades de crecimiento del equipo.
Una de las principales motivaciones de todos los evaluadores del equipo es la búsqueda de conocimientos. Parte del trabajo consiste habitualmente en investigar. Cada empleado dedica parte de la jornada laboral a estudiar nuevos puntos débiles y ataques, o a aprender una nueva tecnología. Periódicamente, un integrante del equipo abandona la comprobación activa para investigar más a fondo un tema determinado que se considera útil para el grupo. El evaluador de ataques e infiltraciones típico de Microsoft dedica alrededor de un 80% de su tiempo a trabajar en las evaluaciones, el 10% a investigar nuevos puntos débiles y a actualizar sus conocimientos en el sector y otro 10% a trabajos adicionales como contestar el correo electrónico.
Cuando los integrantes del equipo adquieren más experiencia, una gran parte de su tiempo la dedican a investigar y administrar o a tutelar a otros componentes del equipo. Los integrantes del equipo con experiencia dedican alrededor del:
| • | 50% de su tiempo a realizar evaluaciones |
| • | 20% de su tiempo a investigar, a desarrollar nuevas herramientas para la comprobación de infiltraciones y a ponerse al corriente de los nuevos desarrollos en el campo de la seguridad |
| • | 30% de su tiempo a trabajos adicionales, con especial hincapié en la definición de metodologías y directivas, incluido el asesoramiento a otros componentes del equipo |
El rendimiento de los evaluadores del grupo de pruebas de ataques e infiltraciones debe evaluarse en función del número de puntos débiles descubiertos, de los tipos de puntos débiles previamente desconocidos que han detectado en los sistemas que les han sido asignados y del grado de eficacia en su trabajo con el propietario del sistema para solucionar un punto débil.
El jefe del grupo de pruebas de ataques e infiltraciones debe ser un líder firme con buenas aptitudes técnicas, que se gane el respeto necesario para liderar el equipo. Debe mantener una comunicación fluida con los directivos para conseguir apoyo de la dirección. El jefe del equipo debe ocuparse también de cerrar el bucle de proceso de evaluación, haciendo responsables a los propietarios de objetivos vulnerables de su protección. Lo ideal sería que el jefe del equipo fuera capaz de tutelar a los componentes del grupo, ayudándoles a elegir vías de investigación y formación que beneficien al empleado, al equipo y a la empresa.
Desarrollo de una metodología de comprobación de ataques e infiltraciones
Las metodologías de comprobación de ataques e infiltraciones suelen desarrollarse internamente con el tiempo y se consideran propiedad intelectual de la empresa. Un motivo para contratar profesionales de seguridad que pongan en marcha un equipo es que disponen de experiencia propia en el desarrollo de una metodología eficaz para una determinada empresa. Esta metodología variará en función de la tecnología, la cultura corporativa y otros factores específicos de la organización.
El grupo de pruebas de ataques e infiltraciones de Microsoft IT considera clientes a los distintos propietarios de aplicaciones empresariales. La mayor parte de la metodología desarrollada reflejará modos satisfactorios de interacción entre el grupo de pruebas de ataques e infiltraciones y los propietarios de los objetivos vulnerables.
Nota: La comunidad de expertos en seguridad utiliza un conjunto común de procedimientos y metodologías para los tipos de auditoría de seguridad, incluida la comprobación de ataques e infiltraciones. Algunos sitios Web con esta información son:
Junto con la metodología, el grupo de pruebas de ataques e infiltraciones debe disponer de normas de conducta claras que establezcan un acuerdo entre los evaluadores y los propietarios de los objetivos. Las normas de conducta deben estar destinadas a reducir la repercusión en las operaciones y a aumentar al mismo tiempo el conocimiento obtenido gracias a las pruebas de infiltración. Estas normas deben especificar también cómo controlar una circunstancia imprevista mediante un mecanismo de respuesta a incidentes. En Microsoft, estas normas funcionan de forma similar a un Acuerdo de nivel de servicio (SLA) de IT estándar.
Como mínimo, las normas de conducta deben especificar:
| • | Los tipos de pruebas que se van a realizar |
| • | El alcance de todas las pruebas de infiltración activas |
| • | Los riesgos asociados a los tipos de pruebas |
| • | El período de tiempo durante el que se realizarán las pruebas |
| • | Los criterios de éxito |
| • | Qué hacer si se descubre información confidencial, como los sueldos de los empleados |
| • | Cómo resolver los problemas de seguridad detectados |
| • | Cómo poner en marcha al equipo de respuestas a incidentes si se detecta una infiltración anterior o actual |
En Microsoft, los objetivos del grupo de pruebas de ataques e infiltraciones son exactamente los opuestos a los de los grupos de IT de unidad de negocio (BUIT) que son propietarios de las aplicaciones. El grupo de pruebas considera el hecho de que un objetivo esté en peligro como un éxito, mientras que los grupos BUIT consideran que las pruebas son un éxito si los evaluadores fueron incapaces de infiltrarse en el objetivo. Los administradores del programa de seguridad ayudan a mediar entre los dos grupos, asegurando que el proceso se desarrolle sin problemas.
En casi todos los casos, los evaluadores han encontrado algún punto débil capaz de sufrir un ataque. Los evaluadores consideran, que si no han podido encontrar un punto débil, debe haber algo que se les ha pasado por alto. Estos tipos de pruebas pueden resultar difíciles de aceptar y de abordar para los grupos BUIT, pero, en última instancia, el resultado es una mayor seguridad en la red corporativa. Un proceso bien definido y directivas claras de niveles aceptables de seguridad son necesarios para encontrar un equilibrio entre los objetivos en conflicto
Tecnología de la comprobación de ataques e infiltraciones
Cada evaluador utiliza un conjunto de herramientas adecuadas para el tipo de ataques que realiza. Estas herramientas incluyen herramientas de exploración de puntos débiles, herramientas de rastreo de la red, herramientas de comprobación de infiltraciones y secuencias de comandos personalizadas diseñadas para investigar un punto débil concreto. Las herramientas utilizadas para un determinado ataque dependen totalmente del objetivo.
El grupo de pruebas de ataques e infiltraciones utiliza un entorno de pruebas dedicado formado por un conjunto de equipos con distintas configuraciones, que ejecutan diferentes sistemas operativos, conectados a una serie de ubicaciones de red. Los evaluadores utilizan este entorno para lanzar una serie de ataques contra los sistemas objetivo desde puntos distintos con el fin de obtener la información máxima posible.
Implementación y puesta en marcha del programa de comprobación de ataques e infiltraciones
Una vez organizado el grupo de pruebas de ataques e infiltraciones, comienza la evaluación real de los puntos débiles. En una evaluación típica se realizan los pasos básicos mostrados en la Figura 1.
1. | Elegir el objetivo que se va a comprobar. Normalmente, el equipo de evaluación de riesgos identifica los objetivos en función de su evaluación de riesgos. Las aplicaciones que contienen datos extremadamente valiosos o los host conectados a Internet se consideran fundamentales y se comprueban en primer lugar. La comprobación de otras aplicaciones empresariales va rotando a partir de un muestreo, para obtener una noción suficientemente completa del estado de los puntos débiles de la red. |
2. | Solicitar acceso al grupo BUIT. El jefe del proyecto de seguridad se pone en contacto con el grupo BUIT, notifica a sus integrantes la comprobación que se va a realizar y les solicita información de diseño e implementación sobre el objetivo que se va a evaluar, así como las credenciales de acceso. |
3. | Evaluar el objetivo. Mediante la documentación proporcionada por el propietario del objetivo, el conocimiento de los evaluadores del grupo y la investigación sobre los puntos débiles típicos del objetivo, el grupo de pruebas de ataques e infiltraciones evalúa distintas partes del objetivo, entre las que se incluyen: la autenticación, la autorización, el cifrado, las tecnologías utilizadas y la configuración. |
4. | Confeccionar y comunicar el plan. Mediante la información recabada, el grupo identifica los posibles puntos débiles del objetivo y desarrolla un plan de pruebas en el que se describen los tipos de pruebas que se van realizar, los criterios de éxito y otros puntos débiles que requieren investigación. El grupo comunica este plan a los propietarios de los objetivos, junto con información sobre la procedencia de los ataques. Asimismo, se mantiene informado al grupo de seguridad corporativa y el equipo de operaciones de red globales de Microsoft IT para evitar la puesta en marcha de una respuesta a incidentes. |
5. | Realizar pruebas del sistema cerradas. A menudo, las pruebas se inician en las fases preliminares del proceso, antes de que el grupo BUIT reciba la notificación, mientras se espera a recibir la información de diseño e implementación. Se realizan análisis de vulnerabilidad iniciales, y las pruebas se efectúan sin los derechos de acceso al objetivo para averiguar si la implementación se ha realizado de un modo seguro y concuerda con los documentos proporcionados por los grupos BUIT. En esta fase, los evaluadores intentan infiltrarse en el objetivo, husmear en la información confidencial y realizar otras comprobaciones para asegurarse de que el acceso básico está establecido en el nivel de seguridad adecuado. |
6. | Realizar pruebas con una cuenta de usuario. Cuando el grupo de pruebas de ataques e infiltraciones dispone de cuentas de usuario en el host o aplicación, comienzan las pruebas del sistema abiertas. En esta fase, el grupo prueba una cuenta de usuario para cada nivel de autorización de la aplicación e intenta tener acceso a datos cuyo acceso no está autorizado con esa cuenta de usuario. El objetivo es determinar si se pueden infringir las directivas de seguridad de la aplicación establecidas. Se examina también el código fuente, si está disponible, para averiguar en qué lugares el código no se ha escrito con las prácticas de seguridad adecuadas. Por ejemplo, una aplicación Web que no valide los datos procedentes de un formulario de usuario puede ser vulnerable a un ataque de inyección SQL, con el que el usuario puede destruir o falsear datos almacenados en una base de datos. |
7. | Registrar y resolver los problemas. Si se descubre un punto débil crítico mientras se realizan las pruebas, los evaluadores se lo notifican inmediatamente al propietario del objetivo y trabajan con el grupo para proporcionar los conocimientos necesarios para resolver el problema. En caso contrario, los evaluadores realizan un seguimiento de los puntos débiles descubiertos en una base de datos de seguimiento de problemas. |
8. | Informar de los resultados al propietario del objetivo. Una vez realizada la comprobación, los evaluadores informan de sus resultados. Escriben informes en los que se abordan las necesidades tácticas y estratégicas. Se asignan recursos tácticos para corregir los problemas descubiertos. En el caso de problemas comunes fáciles de resolver, el grupo de pruebas de ataques e infiltraciones trabaja con el propietario del objetivo para resolverlos inmediatamente. Los recursos estratégicos se encargan de cambios de mayor alcance y de la adopción de conceptos y requisitos de seguridad más amplios. En el caso de los puntos débiles de difícil solución, el grupo de pruebas de ataques e infiltraciones proporciona una evaluación del riesgo de explotación y toda la información conocida sobre la vulnerabilidad. |
9. | Evaluar y documentar el proyecto. El grupo de pruebas de ataques e infiltraciones realiza evaluaciones continuas de su metodología y sus procesos, mejorándolos en cada nuevo proyecto de evaluación. Todas las acciones y resultados se documentan por motivos preceptivos y para aumentar los conocimientos globales del grupo. En Microsoft, el grupo de pruebas de ataques y penetraciones pasa por una revisión trimestral en la que se evalúan las opiniones de los clientes internos y de otros componentes del grupo sobre rendimiento, actuación y eficacia. |
Prácticas recomendadas
La mayor parte de las directrices incluidas en este documento son el resultado de las experiencias del grupo de pruebas de ataques e infiltraciones de Microsoft.
| • | Mantener registros exhaustivos. Cuando se descubren puntos débiles en un tipo de objetivo (host, red o aplicación), es muy normal que aparezcan en otros sistemas del mismo tipo. Mantener un repositorio centralizado de los hallazgos puede ayudar a todo el grupo a aumentar la eficacia en evaluaciones futuras. Si una organización está obligada a proporcionar pruebas del cumplimiento de las normas, los registros de comprobación de ataques e infiltraciones pueden mostrar exactamente los descubrimientos hallados en el objetivo en cuestión, documentar la dificultad de infiltrarse en el objetivo y proporcionar medidas para que el objetivo satisfaga con mayor rigor las normativas. Por último, si un objetivo está en peligro, los registros pueden ayudar a realizar un seguimiento del origen del ataque y a limitar los daños. |
| • | Desarrollar un grupo fuerte. Existe una gran demanda de profesionales de seguridad. Puede ser difícil atraerlos a la organización y retenerlos. La mayoría de los profesionales de seguridad están altamente motivados y dispuestos a adquirir nuevas capacidades. Si se les concede tiempo para realizar su propia investigación, se les proporcionan periódicamente oportunidades de formación y se les ayuda a convertirse en expertos en su campo, dispondrán de la motivación necesaria para permanecer en la organización y contribuirán enormemente a la iniciativa de seguridad. |
| • | Encontrar nuevos talentos. El grupo de pruebas de ataques e infiltraciones debe estar liderado por una persona con amplia experiencia en seguridad. Otros candidatos idóneos para la comprobación de ataques e infiltraciones se pueden encontrar en los departamentos de control de calidad, en los grupos de desarrollo o en los grupos de administración de redes, además de en las organizaciones especializadas en la comprobación de infiltraciones. Busque personas con talento para desarmar objetos, curiosos por naturaleza y con inclinación a conocer sus sistemas por dentro y por fuera. Éstos son los tipos de personas que tendrán éxito como evaluadores de ataques e infiltraciones. |
| • | Evaluar el rendimiento del grupo. Es importante medir la eficacia de la comprobación de ataques e infiltraciones. Para evaluar la eficacia de cada uno de los componentes del grupo, el equipo de Microsoft IT mide varios factores, entre los que se incluyen el número, la gravedad y la calidad de los puntos débiles descubiertos por el grupo, junto con las opiniones de los propietarios de los objetivos y de los demás componentes del grupo. |
| • | Seguir las prácticas recomendadas de seguridad del sector. El sector de la seguridad está formado por un grupo relativamente pequeño de personas con enormes conocimientos. Muchas prácticas eficaces se han desarrollado para mejorar la seguridad y trabajar de forma responsable con los propietarios de los objetivos. Los evaluadores de ataques e infiltraciones deben recibir formación en estas prácticas recomendadas y en los códigos de conducta internos. El éxito de un grupo de comprobación de ataques e infiltraciones depende de la profesionalidad, exhaustividad, precisión, imaginación y conciencia de la confidencialidad de la misión de sus integrantes. |
Conclusión
Un programa de comprobación de ataques e infiltraciones puede ayudar a una organización a evaluar la vulnerabilidad de determinados objetivos y a determinar con exactitud su grado de exposición global a los ataques. La comprobación de ataques e infiltraciones proporciona inspecciones de seguridad esenciales para evaluar la seguridad de la red corporativa de Microsoft.
Al seleccionar los objetivos que se van a comprobar, se puede utilizar un enfoque consistente en cuantificar los costos que supone para la empresa que el sistema esté expuesto a atacantes, a la competencia o al público general. Microsoft IT recomienda que los departamentos de IT de cada empresa realicen algún tipo de comprobación de ataques e infiltraciones. Utilice el valor empresarial de los datos de cada sistema para determinar qué sistemas deben evaluarse en primer lugar y cuántos recursos deben agregarse al grupo.
Los departamentos de IT de las empresas pueden subcontratar este trabajo a consultores o crear un grupo interno. La creación de un grupo de Microsoft IT interno ha supuesto una reducción de costos y una mejora de la seguridad global de IT, y ha ayudado a Microsoft IT a mejorar los productos empresariales de Microsoft mediante la información del producto obtenida en las pruebas preliminares.
Para obtener más información
Para obtener más información acerca de los productos o servicios de Microsoft, llame al Microsoft Sales Information Center al número de teléfono (800) 426-9400 (sólo desde los EE.UU.). En Canadá, llame al Microsoft Canada Information Centre al número de teléfono (800) 563-9048. Fuera de Canadá o de los 50 estados de EE.UU., póngase en contacto con la subsidiaria local específica de Microsoft. Para obtener acceso a la información a través del World Wide Web, vaya a las direcciones siguientes (páginas en inglés):
http://www.microsoft.com/itshowcase
http://www.microsoft.com/technet/itshowcase
Si tiene alguna pregunta, comentario o sugerencia acerca de este documento, o desea obtener más información acerca de Microsoft IT Showcase, envíe un mensaje de correo electrónico a la dirección: