BAS, o cómo la simulación de ataques puede aumentar tu seguridad

Que los ciberdelincuentes son cada vez más agresivos no es un secreto, como tampoco lo es que los fabricantes de seguridad están respondiendo con nuevas tecnologías.

Este contenido forma parte del número de Septiembre de la revista IT Digital Security, cuyo tema de protada se centró en la Black Cloud. Puedes descargarla desde este enlace.

La situación actual del mercado de la ciberseguridad es la que sigue: crecerá un 8,5% este año hasta los 96.600 millones de dólares, estando el mayor incremento y ventas en las tecnologías empresariales, según Gartner. El mercado de consumo, valorado en unos 7.750 millones de dólares permanecerá plano. Los servicios son el mayor segmento, 57.720 millones de dólares, seguido de infraestructura con 17.540 millones de dólares, seguridad de red con 11.920 millones y gestión de identidades y accesos (4.720 millones). Las cifras son de Gartner, que asegura que las soluciones BAS (Breach and attack simulation) representan un nuevo y emergente mercado adyacente al mercado de Vulnerability Assessment; “realizan pruebas de seguridad automatizadas y modelan la cadena de ataque que identifica la ruta más probable que un atacante utilizaría para comprometer un entorno .... También ayudan a presentar una visión más real del mundo de las vulnerabilidades que conducirán a una brecha contra la cantidad total de vulnerabilidades presentes”.

La Normativa europea sobre protección de datos, GDPR, están impulsando el gasto en seguridad. Datos de la misma consultora indican que las empresas de Europa están invirtiendo 1,4 millones de dólares en cumplimiento, cifra que en Estados Unidos es de un millón para cumplir con la nueva ley de seguridad. La lista de las inversiones en seguridad para los próximos dos años se inicia con productos de CASB (Cloud Access Security Manager), seguido de gestión de accesos con privilegio, monitorización y análisis de conducta de entidades y usuarios (UEBA), testing de seguridad de las aplicaciones, cifrado/tokenización, gestión de eventos y seguridad de la información (SIEM), endpoint detection and response (EDR), data loss prevention (DLP) y seguridad del Gateway.

Todas estas herramientas y otras muchas que no aparecen porque son inversiones consolidadas en el tiempo, tienen como objetivo mantener las empresas a salvo. El número de herramientas y productos que se gestionan crece. De hecho, una organización de tamaño medio invierte en al menos 35 tecnologías de seguridad diferentes, y eso hace que el control sobre los mismos sea cada vez más complicado. Priorizar la inversión en seguridad es el desafío más grande de muchas organizaciones porque los programas de evaluación de vulnerabilidad y las pruebas de penetración no pueden conectar los riesgos con las métricas de negocios.

Las plataformas basadas en tecnología BAS permiten a las organizaciones ejecutar simulaciones de ciberseguridad continuas y bajo demanda en cualquier momento sin afectar sus sistemas. Bajo un modelo de Software-as-a-Service (SaaS), simula ataques multivectoriales, internos o externos al enfocarse en las vulnerabilidades más recientes. Estos ataques simulados exponen brechas de vulnerabilidad que le permiten a la organización determinar si su arquitectura de seguridad brinda la protección adecuada y si sus configuraciones se implementan correctamente.

Pentesting, más de medio siglo de historia

Corría la década de los ’60 cuando la popularidad de los sistemas informáticos de tiempo compartidos accesibles a través de líneas de comunicación telefónica crearon nuevas preocupaciones de seguridad. En 1965, en una de las primeras conferencias de seguridad organizada por la System Development Corporation (SDC), se detectó que  uno de sus empleados había evadido las protecciones añadidas al sistema informático de tiempo compartido AN/FSQ-32 de la SDC. Que el otro único modelo fabricado estuviera en manos de la Agencia Central de Inteligencia de los Estados Unidos motivó que se propusiera una de las primeras peticiones formales para usar la penetración de computadoras como una herramienta para el estudio de la seguridad de sistemas. Según recoge Wikipedia, fue durante esa conferencia donde “los expertos en seguridad informática Willis Ware, Harold Petersen y Rein Tern, todos de la Corporación RAND, y Bernard Peters de la Agencia de Seguridad Nacional (NSA), utilizaron la frase ‘penetración’ para describir un ataque contra un sistema informático”.

En años sucesivos, el uso del pentesting como una herramienta para la evaluación de seguridad se volvería más refinada y sofisticada. Por cierto, ¿qué es el pentesting? Es la práctica de atacar diversos entornos con la intención de descubrir vulnerabilidades u otros fallos de seguridad, para así poder prevenir ataques externos hacia esos equipos o sistemas.

Lo que impulsa este mercado de pruebas de penetración no es otra cosa que la necesidad de protección contra diversos ciberataques y el aumento del número de usuarios y aplicaciones móviles. El mercado de pruebas de penetración está creciendo rápidamente debido a las crecientes necesidades de seguridad de las tendencias de Internet de las cosas (IoT) y Bring Your Own Device (BYOD) y una mayor implementación de aplicaciones empresariales basadas en la web y en la nube. Se espera que este mercado crezca desde los 594,7 millones de dólares de 2016 hasta los 1.724,3 para 2021, según MarketsandMarkets.

Lo habitual es que las empresas realicen una o dos acciones de pentesting al año para conocer el estado de su seguridad. Y a la sombra de este mercado nace BAS. En un post publicado en el blog de Gartner dos ejecutivos de la consultora hablan de ir “más allá del pentesting, teaming rojo, pruebas de aplicaciones, evaluaciones de madurez [bueno, el último elemento no es realmente una prueba per se], etc. al meta-desafío de probar su seguridad general. ¿No será divertido?”, para a continuación anunciar que quieren ver más de cerca las tecnologías llamadas Breach and Attack Simulation (BAS), enumerar algunos fabricantes de los que han oído hablar, como Cymulate, SafeBreach o Verodin; “Tal y como lo entendemos, estas herramientas pretender realizar cosas similares a lo que harán los atacantes (como movimiento lateral, exfiltración, abuso de privilegios, quizás explotación, etc.) para probar cómo funcionan sus controles de seguridad (prevención, detección, respuesta)”.

De forma que, evolución del pentesting, BAS es un concepto relativamente nuevo. Sin tener un cuadrante dedicado, Gartner ya ha acuñado el término y enumera algunas empresas relevantes, una de las cuales de Cymulate, a la que la nombrado ‘cool vendor’ y sobre la que dice que “ofrece beneficios inmediatos mediante la automatización de procesos que los usuarios pueden programar fácilmente y comenzar una evaluación con cualquiera de los vectores de amenaza obteniendo resultados y recomendaciones para mitigar en el momento”.

Con menos de dos años de vida y más de cien clientes en todo el mundo, la plataforma de simulación de brechas y ataque de Cymulate, basada en la nube, evalúa la postura de seguridad de los clientes utilizando métodos de ataque reales. Al exponer las vulnerabilidades ocultas y ofrecer información procesable, Cymulate ayuda a identificar y resolver las brechas de seguridad antes de que sea demasiado tarde.

Daniela Kominsky es la responsable de Cymulate en España, una compañía israelí que trabaja a través de Ingecom. “Nosotros no venimos a evaluar el pentesting, sino a evolucionarlo”, asegura Daniela. Explica la directiva que uno de los fundadores de la compañía, experto en pentesting, se dio cuenta que la necesidad que tenían las empresas de poder evaluar de manera continua el nivel de seguridad real de las organizaciones. Porque la “evaluación continua” es la principal diferencia entre BAS y el pentesting tradicional.

Cuando se realiza un pentesting, el cliente recibe un informe que, en un mercado como el de la seguridad, cuando se crean malware y se detectan vulnerabilidades a diario, queda desactualizado en muy poco tiempo. Por supuesto que los pentesting sí que sirven, asegura Daniela Kominsky, “pero cada día nos levantamos con una nueva amenaza o alguna noticia de empresas que han sido comprometidas”, por eso, “lo que tiene realmente de potente esta tecnología es la evaluación y simulación continua; es probar de manera continua todos los controles y todos los productos que protegen a nuestra organización”.

Y eso es lo que hace Cymulate, que ha desarrollado una plataforma de simulación de ataques, automatizada y multivector que responde de manera continua a la pregunta: ¿cuán seguro estoy en estos momentos? Esto es lo que te permite la tecnología BAS.

“Nosotros lo que hacemos es simular ataques para poner a prueba, por ejemplo, el correo electrónico, la navegación, las aplicaciones web, campañas de phishing… Después de la simulación de los ataques lo que hacemos es un reporte con el detalle de las diferentes vulnerabilidades y recomendaciones de mitigación”, nos cuenta Daniela Kominsky, a quien preguntamos si en esas pruebas de cómo están funcionando las diferentes herramientas y soluciones de seguridad se han encontrado con alguna que no funcione como se espera. Asegurando que las empresas están invirtiendo mucho dinero en seguridad dice la responsable de Cymulate para España, Portugal y Latinoamérica que “nosotros no cuestionamos los productos”, reconoce en todo caso, que muchas empresas no aprovechan el 100% de las capacidades que les ofrecen estos productos o soluciones. Según datos que maneja la compañía, las empresas sólo utilizan entre el 20% y el 30% de las capacidades de los productos y en ocasiones las brechas o problemas de seguridad surgen por problemas de configuración. “La idea es que utilizando nuestra tecnología pueden incrementar el ROI de las inversiones. Nosotros tenemos más de cien clientes a nivel mundial y lo que nos dicen es que utilizando Cymulate pueden incrementar entre un 20-30% el nivel de seguridad de la compañía sin más inversiones, lo que es muy interesante”.

Sobre el tipo de empresas que están adoptando la tecnología BAS, los verticales van desde la banca y aseguradoras, pero también con empresas de infraestructuras críticas, retail. incluso se acaba de cerrar un acuerdo con las fuerzas y cuerpos de seguridad del estado. “En general es más fácil para las grandes corporaciones, pero también para las empresas de entre 400 y 500 empleados”, dice Daniela Kominsky.

En todo caso el camino de Cymulate es largo. Trabajan a través de canal de distribución y cuentan con dos perfiles, por un lado, el partner que vende la solución y el que la ofrece como un servicio, que es cuando se puede llegar a más empresas, o de menor tamaño.

No es el momento de dar cifras, salvo los más de cien clientes que tienen en España y las dos personas que actualmente se encargan de la actividad de Cymulate en España, Portugal y Latinoamérica, pero el futuro, dice Daniela, es prometedor. “Sí te puedo decir que cada vez estamos teniendo más clientes, y el pronóstico para fin de año será muy bueno porque se suman muchas empresas que no puedo mencionar. Acabamos de cerrar un acuerdo con los cuerpos de seguridad del estado y en las próximas semanas se irán anunciando novedades”.