SilentForce, el arte de la ciberseguridad

  • Reportajes

Digital redes

SilentForce es una empresa de nueva creación. Es española y busca abordar la seguridad desde una perspectiva ofensiva, simulando el comportamiento de un adversario real sobre una organización a través de una oferta de productos y servicios. Esta joven empresa ha sido co-fundada por Eduardo Arriols, quien reparte su tiempo emprendiendo en ciberseguridad y dando clases en el centro universitario U-tad.

Hace más de diez años que Arriols se mueve en el mercado de la seguridad, “sobre todo en el área de hacking ético”, un servicio que contratan las empresas para saber cuáles son sus vulnerabilidades. Durante los últimos seis años este emprendedor formó parte y dirigió los equipos de red teams de dos grandes empresas, Synak e Innotec, que no ofrecían “el típico ejercicio de auditoría”, sino “un ejercicio que pusiera a prueba realmente las capacidades de la empresa a nivel global mediante una simulación de un ataque dirigido como si fuera un atacante real”.

Este contenido salió publicado en el número de Noviembre de 2021 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

Manos a la obra. Sin que el equipo de seguridad de la compañía objetivo sepa nada, se identifican los activos, sobre todo a nivel de internet, y se buscaba la manera de comprometerlos, entrar en los sistemas, tomar el control y demostrar qué se podía hacer. Una vez finalizado el ejercicio se evalúa la capacidad real de la empresa, si se puede comprometer, o no, y hasta dónde, así como medir la capacidad de detección y respuesta de la empresa. Fruto de toda esta experiencia nació SilentForce. Explica Arriols que, por su tamaño, las grandes empresas nunca tienen controlada su exposición a Internet. Pueden existir páginas creadas por determinados departamentos en momentos puntuales que se abandonan y es por donde entran los atacantes. Con esta idea en mente se desarrolla un ASM, Atack Surface Management, que permite “tener vigilado todos esos activos que tienes expuestos a Internet de forma automática” y que se ha bautizado como Atlas y que recoge toda la metodología que se hace en los ejercicios de red team empezando por identificar todos los activos de una empresa, identifica de qué proveedores depende y el riesgo, por lo que permite “tener controlada tu exposición en Internet”.

Añade Eduardo Arriols que el objetivo es mantener la herramienta funcionando de manera constante, una monitorización continua que tengas controlados los activos y el riego y que “si sale una vulnerabilidad nueva la conozcas al momento”, lo que además convierte a Atlas en un sistema de alerta temprana.

Reconoce Arriols que en el mercado hay productos que hace cosas parecidas, pero “seguramente no sean muy buenos identificando activos”. No lo dice a la ligera, ya que han realizado diferentes pruebas comparativas “y en la que menos casi siempre sacamos como sacamos casi un 30 por ciento más de activos”. De forma que el objetivo es que Atlas haga muy la identificación de activos y luego hay un servicio, CAST (Continuous Attack Surface Test) que hace pruebas de manera continua en un proceso que es medio automático, medio manual; “es decir, no vamos a buscar cualquier vulnerabilidad, sino aquellas que realmente puedan permitir llegar a hacer una intrusión. El objetivo es tener control de todo para evitar ataques dirigidos, ataques que realmente sean críticos, no tanto vulnerabilidades medias”.

SilentForce ya cuenta con algún cliente tanto para Altlas como para CAST. Se buscan entre las empresas grandes, que tienen un mayor nivel de exposición y les cuesta mantener los activos, pero Atlas tiene una versión para pymes que adapta la metodología al mundo de las pequeñas y medianas empresas.

  • Pymes Security, que es como se ha bautizado al servicio para pequeñas y medianas empresas, se oferta en cuatro planes diferentes:
  • Entorno Web. Auditoría de vulnerabilidades y análisis continuo de las medidas de seguridad existentes en las aplicaciones web y servidores que lo alojan.
  • Infraestructura Pública Completa. Auditoría de vulnerabilidades y análisis continuo de las medidas de seguridad existentes en las aplicaciones web, móviles e infraestructura principal pública.
  • Análisis y Exposición PYME. Servicio completo para la identificación de activos en Internet, así como información pública confidencial o potencialmente peligrosa.
  • Análisis continuo de las medidas de seguridad existentes.
  • Plan Integral de Auditoría. Conjunto completo de pruebas sobre todos los activos digitales de la organización, tanto el servicio completo de identificación de activos e información como la auditoría y análisis sobre entornos web, móvil, infraestructura pública y redes Wi-Fi.