22 de julio de 2010

A prueba de intrusos

Working-Hard
Claudio Caracciolo, especialista de Seguridad de la Información A prueba de intrusos
Con el manejo de información sensible, y la utilización constante de servicios basados en sistemas informáticos alojados o no en la nube, cada vez se hace más palpable en las empresas de cualquier tamaño la necesidad de desenvolver la actividad profesional y laboral dentro de un ambiente seguro. Por este motivo entrevistamos a Claudio Caracciolo, especialista de Seguridad de la información con certificaciones internacionales, apasionado por las técnicas y metodologías de Ethical Hacking, técnicas de defensa y análisis forense y autor del libro "Ethical Hacking, un enfoque metodológico para profesionales", entre muchas otras competencias. A continuación sus reflexiones.

  • ¿Qué es Ethical Hacking y qué rol está cumpliendo hoy para las empresas?

Es un tipo de análisis de seguridad en donde los profesionales contratados intentan encontrar la mayor cantidad de fallas posibles en un sistema; tanto de diseño como de desarrollo, de implementación o hasta incluso de uso. Y una vez halladas, tratan de aprovecharlas para ganar privilegios y escalar dentro de los sistemas intentando acceder a información sensible y/o nuevos equipos. Muchas empresas automatizan sus escaneos de vulnerabilidades pensando que están ejecutando un Ethical Hacking, pero esa es sólo una tarea dentro de un proyecto (Vulnerability Assessment)... Una de las principales características de este tipo de análisis es la creatividad del atacante para superar los controles habituales, y obviamente esto no se automatiza.
  • ¿Cómo puede ser "ético" si estamos hablando de hacking?

Esta confusión habitual se debe a la deformación de la palabra, donde para algunos es sinónimo de ladrón informático...Un hacker es una persona con el conocimiento suficiente y la curiosidad en su máximo exponente, capaz de utilizar aquello sobre lo que conoce de forma diferente para lo cual fue creado... Un Ethical Hacking parte de la base fundamental de la autorización otorgada al profesional por parte del dueño o representante del sistema, donde se le permite realizar las pruebas necesarias a fin de encontrar fallas que permitan armar un plan de mejoras a la empresa.
  • ¿Cuáles son los problemas de seguridad que más habitualmente encuentras en los últimos tiempos?

Lamentablemente, no cambian mucho de los tiempos anteriores... Siguen siendo falta de parches, claves default o triviales, servicios que se ejecutan sobre protocolos inseguros (http, ftp, telnet, etc.), falta de concientización de los usuarios, etc. Increíblemente existen soluciones y mucho trabajo de empresas como Microsoft para mitigar muchas de ellas, pero es evidente que por parte de los implementadores no existe la conciencia de la importancia real de estos temas. De hecho, el tema Seguridad en las universidades sigue siendo visto muy por encima, en algunos casos como materias opcionales y en algunos lugares, ni siquiera es estudiado.
  • Ante la evolución constante de fraudes, virus, malware, spyware, etc. ¿Cómo se hace para estar protegido de forma actualizada? ¿Y qué previsiones recomiendas a futuro?

Primero que nada, mantener los sistemas actualizados a la última versión disponible, aunque algunos piensen que los Updates son molestos, son necesarios y hasta podríamos decir mandatorios. Segundo, aprovechar las características de seguridad de los sistemas, como el Firewall o los bloqueadores de código en los navegadores, y hasta el UAC en Windows. Tercero, mantener actualizadas las aplicaciones de antivirus y anti-spyware en los equipos. En seguridad de la información, no hay nada que nos garantice el 100% pero por lo menos minimizamos las probabilidades de tener malas experiencias.
  • ¿Qué destacarías del aporte de Microsoft a que las empresas tengan niveles superiores de seguridad informática?

Realmente el cambio de filosofía de Microsoft desde 2000 en adelante es notorio, y se va notando la evolución año a año, en cada nuevo producto. Sin duda para mí, han contribuido con muchas herramientas y características que permiten mitigar riesgos (wsus, bitlocker, el firewall personal con reglas entrantes y salientes de Windows 7, y varias herramientas más: la granularidad de administración del AD, el UAC, y varias características extras), pero creo no equivocarme si menciono como uno de los más importantes logros/avances al desarrollo del SDLC
 
. Muchos profesionales están tomando el modelo incluso en el desarrollo sobre otras plataformas, y eso ayuda a la comunidad entera.
  • ¿Que recomiendas se haga en una empresa en referencia a su seguridad, en forma periódica?

Esto es muy difícil de generalizar pero básicamente:

    - Verificar si el proceso de actualización automático esta funcionando correctamente (tanto de los sistemas operativos como de las aplicaciones instaladas). Tanto en servidores, como estaciones de trabajo.
    - Trabajar en campañas serias de concientización de usuarios. Definir objetivos y armar una estrategia, no solo dar una charla o pegar un afiche.
    - Ejecutar periódicamente análisis de vulnerabilidades aunque sea automatizados y una vez al año, un Ethical Hacking por un tercero ajeno a la empresa.
    - Conocer sus riesgos, aceptar los que considere aceptables y mitigar los que considere que expongan a su empresa o a sus empleados.
Más información y contacto con Claudio Caracciolo
 
y en Root-Secure
 
Publicadas por
Etiquetas: ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)