Una nueva encuesta realizada a 300 hackers éticos permite conocer no sólo los medios más comunes de acceso inicial, sino cómo se produce un ataque completo de principio a fin.
Alrededor del 40% de los hackers éticos encuestados recientemente por el SANS Institute afirmó que pueden entrar en la mayoría de los entornos que prueban, si no en todos. Casi el 60% afirmó que necesita cinco horas o menos para entrar en un entorno corporativo una vez que identifica un punto débil.
La encuesta sobre hacking ético de SANS, realizada en colaboración con la empresa de seguridad Bishop Fox, es la primera de este tipo y recogió las respuestas de más de 300 hackers éticos que trabajan en diferentes funciones dentro de las organizaciones, con distintos niveles de experiencia y especialización en diferentes áreas de la seguridad de la información.
La encuesta reveló que, por término medio, los hackers necesitarían cinco horas para cada paso de la cadena de ataque: reconocimiento, explotación, escalada de privilegios y exfiltración de datos, y que un ataque de principio a fin tardaría menos de 24 horas.
La encuesta pone de manifiesto la necesidad de que las organizaciones mejoren su tiempo medio de detección y de contención, especialmente si se tiene en cuenta que los hackers éticos tienen restringidas las técnicas que pueden utilizar durante las pruebas de penetración o los compromisos del equipo rojo. Utilizar técnicas de sombrero negro, como hacen los delincuentes, mejoraría significativamente la tasa de éxito y la velocidad del ataque.
Los piratas informáticos encuentran puntos débiles explotables en sólo unas horas
Cuando se les preguntó cuánto tiempo suelen necesitar para identificar un punto débil en un entorno, el 57% de los hackers encuestados indicó diez horas o menos: El 16% respondió entre seis y diez horas, el 25% entre tres y cinco horas, el 11% entre una y dos horas y el 5% menos de una hora.
También cabe destacar que el 28% respondió que no sabía, lo que podría deberse a múltiples razones y no necesariamente a que les llevara más de diez horas.
Una posibilidad es que muchos hackers éticos no lleven la cuenta de cuánto tiempo les puede llevar el descubrimiento del perímetro y el sondeo porque no es una métrica importante para ellos o un asunto sensible al tiempo. Muchos factores podrían influir en esto, desde el tamaño del entorno y el número de activos hasta su familiaridad preexistente con el entorno probado.
Más de dos tercios de los hackers encuestados indicó que trabajan o trabajaron en el pasado como miembros de equipos de seguridad internos y la mitad dijo que trabajaban como consultores para proveedores de seguridad ofensiva.
Casi el 90% de los encuestados tenía una certificación de seguridad de la información y las principales especializaciones entre ellos eran la seguridad de redes, las pruebas de penetración internas, la seguridad de aplicaciones, el red-teaming y la seguridad en la nube. La seguridad a nivel de código, la seguridad del Internet de las Cosas (IoT) y la seguridad móvil eran menos comunes, con una prevalencia del 30% o menos.
«Nuestros datos muestran que la mayoría de los encuestados con experiencia en seguridad de aplicaciones, seguridad de redes y pruebas de penetración internas fueron capaces de encontrar una exposición explotable en cinco horas o menos», dijo en el informe Matt Bromiley, instructor de forense digital y respuesta a incidentes de SANS.
Alrededor del 58% indicaron que necesitaban cinco horas o menos para explotar una debilidad una vez encontrada, con el 25% diciendo que entre una y dos horas y el 7% menos de una hora.
Cuando se les pidió que clasificaran los diferentes factores que conducen a las exposiciones, la mayoría indicó las conexiones de terceros, el rápido ritmo de desarrollo y despliegue de aplicaciones, la adopción de la infraestructura en la nube, el trabajo remoto y las fusiones y adquisiciones.