«¡¡Os he encontrado un fallo en la web!!» (Parte 2: Empresas y Bug Bounty)

6 septiembre, 2019
18 Compartido 1,689 Visualizaciones

Empieza el curso de nuevo, y retomamos la rutina… ¡¡ Plan, Do, Check, Act !! Y como comentábamos en la primera parte, seguramente muchas empresas empiecen con un RFP en busca de la mejor oferta para el pentesting anual, y comprobar si están a salvo de los ciberdelicuentes mas rastreros.

Puede que se descubra que la lógica de una aplicación subida a producción a principios de año, pueda ser alterada y permita acceder a información la cual no está pensaba para escrutinio público, o algún software de terceros tendrá una vulnerabilidad que nadie ha parcheado o incluso puede que el equipo de la consultora contratada encuentre un activo del que nadie se acordaba en el cliente y esté abierto de par en par.

Antonio Fernandes, Tecnólogo Renacentista
Antonio Fernandes, Tecnólogo Renacentista

Después, informe en mano, se deberán tomar acciones para remediar todos los problemas encontrados, y, bueno… Hay muchos proyectos y desarrollos que sacar adelante, así que… ¡Hasta el año que viene!

Y como siempre, pensaréis que soy un agorero y un reduccionista cuándo hablo de la realidad de las empresas… Pero no, ahora es que acabo de hablar de las que tiene un MÍNIMO interés por la CIBERSEGURIDAD. Y lamentablemente, no son ni TODAS ni se le ACERCA.

Y recalco MÍNIMO, porque un “pentesting tradicional” se enfoca a vulnerar la tecnología de la organización, única y exclusivamente. Podríamos decir que últimamente está más de “moda” contratar un “Red Teaming” o “Simulación de Adversario”, en dónde se intentan vulnerar tanto tecnología, como procesos y personas.

powered by Typeform

El segundo sabor, sería mas completo, mas largo y mas caro… Pero ni todo el mundo da lo que ofrece, ni nos podemos permitir la mayoría tener este servicio ofrecido por gente competente 365 días al año.

Por cierto, creo que marcos de trabajo como la Cyber Kill Chain o el Modelo de Diamante se han quedado un poco desfasados a la hora de definir la Taxonomía de un CiberAtaque, así que si te lo preguntas, estoy utilizando y pensando en CAT mientras escribo este artículo.

Fuente: Github.com

Según el estudio de 2019 del Instituto Ponemon, la media para detectar una brecha es de  206, y la de una vez detectada contenerla, otros 76 días más.

Es evidente que cuanto mayor sea este tiempo, mayor será la exposición de la empresa a potenciales peligros como el sufrir algún tipo de parada de servicio, un robo de datos o un secuestro de información.

Hemos de encontrar una forma de poner a prueba nuestros mecanismos de detección, y siempre reducir el tiempo de respuesta.

Multitud de empresas a nivel mundial están adheriéndose a programas de recompensas (Bug Bounty Programs), en los que investigadores particulares encuentran fallos en los sistemas y se lo reportan a cambio de una recompensa, en ocasiones de índole económica en otras regalos o simplemente darle las gracias.

Empresas como HackerOne de Estados Unidos o YesWeHack de Europa, están ofreciendo sus plataformas para acercar el conocimiento de la comunidad de hackers a las empresas, y que estas últimas sólo paguen por vulnerabilidad confirmada.

Estos programas al ser por objetivos nos permite saber que entre “pentest” y “pentest” de nuestras consultoras de confianza, tendremos a expertos de la seguridad husmeando en las nuevas aplicaciones que subamos a producción o en las máquinas que se no quedan olvidadas, permitiendo así reducir el tiempo que tenemos estas vulnerabilidad expuestas a posibles cibercriminales.

¿Mas ventajas? Podremos afinar nuestros sistemas de detección constantemente y verificar si los departamentos de desarrollo y sistemas están haciendo caso omiso a las recomendaciones de seguridad…

¿Y el talento? ¿Es que nadie a pensado en el TALENTO? Creo que trataremos de eso en mi próxima opinión…

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

David Levin, nuevo director de seguridad de la información para American Express GBT
Actualidad
12 compartido942 visualizaciones
Actualidad
12 compartido942 visualizaciones

David Levin, nuevo director de seguridad de la información para American Express GBT

Vicente Ramírez - 5 noviembre, 2019

American Express Global Business Travel (GBT), líder mundial en la gestión de viajes corporativos, ha nombrado a David Levin como…

5 Tácticas que usan los hackers para atacar una PYME
Ciberespionaje
23 compartido2,731 visualizaciones
Ciberespionaje
23 compartido2,731 visualizaciones

5 Tácticas que usan los hackers para atacar una PYME

Vicente Ramírez - 5 noviembre, 2018

Las Pymes son el blanco fácil de los hackers. Mientras que las grandes compañías cuentan los profesionales y los recursos…

Nozomi Networks sella su apuesta por el mercado ibérico y desgrana su estrategia de negocio
Actualidad
25 compartido1,831 visualizaciones
Actualidad
25 compartido1,831 visualizaciones

Nozomi Networks sella su apuesta por el mercado ibérico y desgrana su estrategia de negocio

Vicente Ramírez - 28 marzo, 2019

Tras abrir oficina en España, Nozomi aspira a replicar su éxito internacional, como solución líder para asegurar la visibilidad y…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.