«¡¡Os he encontrado un fallo en la web!!» (Parte 2: Empresas y Bug Bounty)

6 septiembre, 2019
18 Compartido 1,420 Visualizaciones

Empieza el curso de nuevo, y retomamos la rutina… ¡¡ Plan, Do, Check, Act !! Y como comentábamos en la primera parte, seguramente muchas empresas empiecen con un RFP en busca de la mejor oferta para el pentesting anual, y comprobar si están a salvo de los ciberdelicuentes mas rastreros.

Puede que se descubra que la lógica de una aplicación subida a producción a principios de año, pueda ser alterada y permita acceder a información la cual no está pensaba para escrutinio público, o algún software de terceros tendrá una vulnerabilidad que nadie ha parcheado o incluso puede que el equipo de la consultora contratada encuentre un activo del que nadie se acordaba en el cliente y esté abierto de par en par.

Antonio Fernandes, Tecnólogo Renacentista
Antonio Fernandes, Tecnólogo Renacentista

Después, informe en mano, se deberán tomar acciones para remediar todos los problemas encontrados, y, bueno… Hay muchos proyectos y desarrollos que sacar adelante, así que… ¡Hasta el año que viene!

Y como siempre, pensaréis que soy un agorero y un reduccionista cuándo hablo de la realidad de las empresas… Pero no, ahora es que acabo de hablar de las que tiene un MÍNIMO interés por la CIBERSEGURIDAD. Y lamentablemente, no son ni TODAS ni se le ACERCA.

Y recalco MÍNIMO, porque un “pentesting tradicional” se enfoca a vulnerar la tecnología de la organización, única y exclusivamente. Podríamos decir que últimamente está más de “moda” contratar un “Red Teaming” o “Simulación de Adversario”, en dónde se intentan vulnerar tanto tecnología, como procesos y personas.

powered by Typeform

El segundo sabor, sería mas completo, mas largo y mas caro… Pero ni todo el mundo da lo que ofrece, ni nos podemos permitir la mayoría tener este servicio ofrecido por gente competente 365 días al año.

Por cierto, creo que marcos de trabajo como la Cyber Kill Chain o el Modelo de Diamante se han quedado un poco desfasados a la hora de definir la Taxonomía de un CiberAtaque, así que si te lo preguntas, estoy utilizando y pensando en CAT mientras escribo este artículo.

Fuente: Github.com

Según el estudio de 2019 del Instituto Ponemon, la media para detectar una brecha es de  206, y la de una vez detectada contenerla, otros 76 días más.

Es evidente que cuanto mayor sea este tiempo, mayor será la exposición de la empresa a potenciales peligros como el sufrir algún tipo de parada de servicio, un robo de datos o un secuestro de información.

Hemos de encontrar una forma de poner a prueba nuestros mecanismos de detección, y siempre reducir el tiempo de respuesta.

Multitud de empresas a nivel mundial están adheriéndose a programas de recompensas (Bug Bounty Programs), en los que investigadores particulares encuentran fallos en los sistemas y se lo reportan a cambio de una recompensa, en ocasiones de índole económica en otras regalos o simplemente darle las gracias.

Empresas como HackerOne de Estados Unidos o YesWeHack de Europa, están ofreciendo sus plataformas para acercar el conocimiento de la comunidad de hackers a las empresas, y que estas últimas sólo paguen por vulnerabilidad confirmada.

Estos programas al ser por objetivos nos permite saber que entre “pentest” y “pentest” de nuestras consultoras de confianza, tendremos a expertos de la seguridad husmeando en las nuevas aplicaciones que subamos a producción o en las máquinas que se no quedan olvidadas, permitiendo así reducir el tiempo que tenemos estas vulnerabilidad expuestas a posibles cibercriminales.

¿Mas ventajas? Podremos afinar nuestros sistemas de detección constantemente y verificar si los departamentos de desarrollo y sistemas están haciendo caso omiso a las recomendaciones de seguridad…

¿Y el talento? ¿Es que nadie a pensado en el TALENTO? Creo que trataremos de eso en mi próxima opinión…

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Google implanta un informe sobre la transparencia en la propaganda política de la UE en 2019
Actualidad
15 compartido943 visualizaciones
Actualidad
15 compartido943 visualizaciones

Google implanta un informe sobre la transparencia en la propaganda política de la UE en 2019

Vicente Ramírez - 7 mayo, 2019

Cualquiera puede acceder y usar esta información, que está indexada, para que los usuarios puedan clasificar de manera sencilla los…

España es el tercer país más preocupado por la ciberdelincuencia
Actualidad
28 compartido2,179 visualizaciones
Actualidad
28 compartido2,179 visualizaciones

España es el tercer país más preocupado por la ciberdelincuencia

Vicente Ramírez - 8 mayo, 2019

El informe de Affinion, “El cibercrimen y su relación con el consumidor”, revela que España es el tercer país más…

Check Point descubre un nuevo vector de ciberataque para atacar a los usuarios de plataformas multimedia
Soluciones Seguridad
709 visualizaciones
Soluciones Seguridad
709 visualizaciones

Check Point descubre un nuevo vector de ciberataque para atacar a los usuarios de plataformas multimedia

Redacción - 28 mayo, 2017

La empresa calcula que este nuevo vector de ataque podría poner en jaque a cientos de millones de usuarios de…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.