«¡¡Os he encontrado un fallo en la web!!» (Parte 2: Empresas y Bug Bounty)

6 septiembre, 2019
18 Compartido 1,245 Visualizaciones

Empieza el curso de nuevo, y retomamos la rutina… ¡¡ Plan, Do, Check, Act !! Y como comentábamos en la primera parte, seguramente muchas empresas empiecen con un RFP en busca de la mejor oferta para el pentesting anual, y comprobar si están a salvo de los ciberdelicuentes mas rastreros.

Puede que se descubra que la lógica de una aplicación subida a producción a principios de año, pueda ser alterada y permita acceder a información la cual no está pensaba para escrutinio público, o algún software de terceros tendrá una vulnerabilidad que nadie ha parcheado o incluso puede que el equipo de la consultora contratada encuentre un activo del que nadie se acordaba en el cliente y esté abierto de par en par.

Antonio Fernandes, Tecnólogo Renacentista
Antonio Fernandes, Tecnólogo Renacentista

Después, informe en mano, se deberán tomar acciones para remediar todos los problemas encontrados, y, bueno… Hay muchos proyectos y desarrollos que sacar adelante, así que… ¡Hasta el año que viene!

Y como siempre, pensaréis que soy un agorero y un reduccionista cuándo hablo de la realidad de las empresas… Pero no, ahora es que acabo de hablar de las que tiene un MÍNIMO interés por la CIBERSEGURIDAD. Y lamentablemente, no son ni TODAS ni se le ACERCA.

Y recalco MÍNIMO, porque un “pentesting tradicional” se enfoca a vulnerar la tecnología de la organización, única y exclusivamente. Podríamos decir que últimamente está más de “moda” contratar un “Red Teaming” o “Simulación de Adversario”, en dónde se intentan vulnerar tanto tecnología, como procesos y personas.

powered by Typeform

El segundo sabor, sería mas completo, mas largo y mas caro… Pero ni todo el mundo da lo que ofrece, ni nos podemos permitir la mayoría tener este servicio ofrecido por gente competente 365 días al año.

Por cierto, creo que marcos de trabajo como la Cyber Kill Chain o el Modelo de Diamante se han quedado un poco desfasados a la hora de definir la Taxonomía de un CiberAtaque, así que si te lo preguntas, estoy utilizando y pensando en CAT mientras escribo este artículo.

Fuente: Github.com

Según el estudio de 2019 del Instituto Ponemon, la media para detectar una brecha es de  206, y la de una vez detectada contenerla, otros 76 días más.

Es evidente que cuanto mayor sea este tiempo, mayor será la exposición de la empresa a potenciales peligros como el sufrir algún tipo de parada de servicio, un robo de datos o un secuestro de información.

Hemos de encontrar una forma de poner a prueba nuestros mecanismos de detección, y siempre reducir el tiempo de respuesta.

Multitud de empresas a nivel mundial están adheriéndose a programas de recompensas (Bug Bounty Programs), en los que investigadores particulares encuentran fallos en los sistemas y se lo reportan a cambio de una recompensa, en ocasiones de índole económica en otras regalos o simplemente darle las gracias.

Empresas como HackerOne de Estados Unidos o YesWeHack de Europa, están ofreciendo sus plataformas para acercar el conocimiento de la comunidad de hackers a las empresas, y que estas últimas sólo paguen por vulnerabilidad confirmada.

Estos programas al ser por objetivos nos permite saber que entre “pentest” y “pentest” de nuestras consultoras de confianza, tendremos a expertos de la seguridad husmeando en las nuevas aplicaciones que subamos a producción o en las máquinas que se no quedan olvidadas, permitiendo así reducir el tiempo que tenemos estas vulnerabilidad expuestas a posibles cibercriminales.

¿Mas ventajas? Podremos afinar nuestros sistemas de detección constantemente y verificar si los departamentos de desarrollo y sistemas están haciendo caso omiso a las recomendaciones de seguridad…

¿Y el talento? ¿Es que nadie a pensado en el TALENTO? Creo que trataremos de eso en mi próxima opinión…

Te podría interesar

Las claves del II Congreso Auditoría y GRC de ISACA Madrid Chapter
Actualidad
24 compartido2,156 visualizaciones
Actualidad
24 compartido2,156 visualizaciones

Las claves del II Congreso Auditoría y GRC de ISACA Madrid Chapter

Vicente Ramírez - 5 marzo, 2019

Este congreso, motivado por la creciente sensibilidad de las compañías en materia de Gobierno, Riesgo y Cumplimiento, se enfoca en generar…

El 72% de los españoles se arriesga a perder sus fotos de las vacaciones, puesto que no hace copia de seguridad, según Kingston
Actualidad
9 compartido773 visualizaciones
Actualidad
9 compartido773 visualizaciones

El 72% de los españoles se arriesga a perder sus fotos de las vacaciones, puesto que no hace copia de seguridad, según Kingston

Vicente Ramírez - 15 abril, 2019

El 64% de los españoles toma más de 100 fotos durante sus vacaciones. Las vacaciones son el momento en el…

Los equipos de TI están desbordados por ciberataques de todo tipo y sufren para poder estar al día en ciberseguridad
Security Breaches
25 compartido2,152 visualizaciones
Security Breaches
25 compartido2,152 visualizaciones

Los equipos de TI están desbordados por ciberataques de todo tipo y sufren para poder estar al día en ciberseguridad

Vicente Ramírez - 16 julio, 2019

El informe de Sophos muestra cómo las técnicas de ataque son diversas y, a menudo, cuentan con múltiples fases, lo…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.