Breach & Attack Simulation: por qué es la evolución del Pentesting

11 abril 2023

El primer paso para entender el concepto “Breach & Attack Simulation” (BAS por sus siglas en inglés) es conocer lo que es el Pentesting, también conocido como Test de Penetración o Prueba de Penetración. En los últimos años, el Pentesting se ha convertido en una piedra angular del proceso de gestión de la seguridad de los datos en las empresas.

Cierto es que validar concretamente el nivel de resistencia frente a una amplia gama de vulnerabilidades bien conocidas, mejora significativamente la postura de seguridad. Sin embargo, las amenazas no sólo crecen en cantidad, sino también en calidad: la explotación de vulnerabilidades menos conocidas o difíciles de remediar hace necesario validar la seguridad cada vez con más frecuencia, con especial incidencia en los vectores de ataque más complejos.

Estas son las razones que han conducido al desarrollo de las modernas herramientas de simulación de ataques, llamadas BAS por su nombre en inglés (Breach & Attack Simulation). Los BAS son soluciones de software altamente automatizadas, capaces de lanzar ataques realistas contra una red y de superar muchas de las limitaciones de las pruebas de penetración tradicionales.

Diferencia entre Test de Penetración y Breach & Attack Simulation

El Test de Penetración se basa en el enfoque de la detección de todas las vulnerabilidades que podrían permitir a un atacante potencial obtener accesos o privilegios no deseados dentro de una infraestructura informática. Para ello, se intentan varias técnicas con un enfoque eficaz, con el fin de detectar la mayor cantidad posible de vulnerabilidades. Por lo tanto, no se adoptan criterios específicos para que los sistemas de defensa detecten esta actividad, ya que el objetivo es una exploración de gran alcance, realizada en el mayor número posible de activos. De hecho, a menudo esta tarea se coordina con el Blue Team de la empresa, quienes pueden definir reglas de exclusión adecuadas, para evitar que la actividad del pentester sea identificada como malévola y obstaculizada por los programas de defensa instalados.

En resumen, un Test de Penetración no suele trabajar en profundidad, ya que de lo contrario sería necesario interactuar con el Blue Team para eliminar todas las barreras que el pentester se esfuerza por superar después de haber lanzado ciertas técnicas, a menudo eficaces pero fácilmente detectables por las herramientas de defensa.

“Breach & Attack Simulation” o BAS hace referencia a una metodología que permite a las organizaciones simular toda una cadena de ciberataques en su infraestructura de red. A diferencia de los tests de penetración, que suelen ser realizados por un hacker ético humano, la automatización permite a las soluciones BAS garantizar resultados coherentes y reproducibles, reduciendo así tanto el coste como el tiempo necesarios para realizar las actividades de Red Teaming.

Red Teaming, un enfoque más realista

Es precisamente la idea de Red Teaming la que constituye la segunda diferencia clave entre Pentesting y Breach & Attack Simulation. BAS adopta en su lugar la filosofía de evaluación del Red Team: al igual que en un escenario de ataque real, el software tiene como objetivo atacar determinados puntos críticos, eludiendo las defensas y dejando poco o ningún rastro. Los sistemas de protección de la red se mantienen normalmente activos, con el fin de evaluar su eficacia más allá de la posible presencia de vulnerabilidades clasificables según un CVE (Common Vulnerabilities and Exposures). Hoy en día, estas vulnerabilidades no son el recurso más utilizado por los ciberdelincuentes más peligrosos, que en su lugar realizan ataques selectivos.

Concretamente, muchas soluciones BAS simulan escenarios de ataque típicos de distintos grupos cibercriminales, siguiendo las secuencias técnicas predeterminadas de técnicas, y funcionan de acuerdo al modelo de la Lógica Difusa, ampliamente utilizada actualmente. En cambio, las soluciones más innovadoras pueden realizar un razonamiento contextual, basado en la información que obtienen, y crear un escenario dinámico, emulando el comportamiento de un atacante experimentado, a veces incluso utilizando algoritmos de IA y ML. Evaluar la eficacia de los sistemas de defensa en la identificación y neutralización de comportamientos inusuales es el principal objetivo de la validación por parte de un BAS, que de hecho restringe la gama de técnicas probadas, seleccionando sólo aquellas con mayores probabilidades de éxito, y realiza las comprobaciones más indirectas posibles antes de intentar un ataque, con el fin de reducir la posibilidad de que los sistemas de defensa lo descubran, incluso antes del inicio del ataque.

Los actores de la simulación: Red Team, Blue Team y Purple Team

Podemos encontrar una buena definición de la expresión “Red Team” en el libro “Red Team Development and Operations” de Joe Vest y James Tubbervill:

“Red Teaming es el proceso de utilizar tácticas, técnicas y procedimientos (TTPs) para emular una amenaza del mundo real, con el objetivo de medir la eficacia de las personas, procesos y tecnologías utilizadas para defender un entorno”.

Para simular correctamente todos estos procedimientos, y evaluar así la capacidad de reacción de la organización, el Red Team deberá alcanzar su objetivo sin que el personal encargado de proteger a la organización de los ciberataques lo detecte. Este equipo, que podríamos catalogar como el “adversario” del Red Team, es lo que se denomina “Blue Team”.

Una vez más, en “Red Team Development and Operations” de Joe Vest y James Tubberville se ofrece una buena definición de este proceso:

“Los Red Teams se utilizan para medir la eficacia de las personas, los procesos y la tecnología utilizados para defender una red, formar o medir a un Blue Team (operaciones de seguridad defensiva), y probar y comprender amenazas específicas o escenarios de amenazas”.

Además, en los últimos años ha surgido otro actor, el Purple Team. Su papel principal es supervisar la actividad de los otros dos equipos, con el fin de optimizar los resultados. Esto no sólo implica ser un mediador entre el Red Team y el Blue Team, sino que también garantiza una visión de conjunto desde una perspectiva, que es diferente tanto de la posición del atacante como de la del defensor. Gracias a esta metodología menos conocida pero no por ello menos importante, la organización puede tener una idea mucho más clara de su exposición a un ataque objetivo y de su reacción ante el mismo.

Por último, el siguiente gráfico muestra la cobertura IPDRR (Identificar, Proteger, Detectar, Responder, Recuperar), en función de la metodología adoptada por la organización

Cobertura de observación y medición del IPDRR (Identificar, Proteger, Detectar, Responder y Recuperar)

Brecha de origen interno y externo

Todo lo dicho hasta ahora se refiere en particular a los aspectos relacionados con una actividad interna, en la que se supone que se ha producido una intrusión (brecha). En realidad, el ataque a menudo se lleva a cabo externamente, a través de un sistema de Command & Control, que intenta establecer una conexión con las máquinas comprometidas dentro de la red, con el fin de realizar nuevos ataques y extraer datos sensibles.

Este último escenario es poco probable que ocurra con un Test de Penetración: normalmente, en el caso de un Pentesting Interno la actividad se limita a la ejecución de técnicas desde dentro de la red, mientras que un Test de Penetración Externo evalúa las vulnerabilidades que podrían conducir a una brecha, y no las consecuencias reales de la misma. Por el contrario, un BAS simula una brecha, poniendo a prueba la capacidad de los mecanismos de defensa para impedir la extracción de datos, así como para dificultar la conexión de un atacante desde el exterior.

Plan de remediación y mitigación

Tanto el Test de Penetración como el BAS conducen a un Plan de Remediación como resultado final, es decir, un plan de acción sugerido para mitigar las vulnerabilidades detectadas. En el caso del Test de Penetración, esas vulnerabilidades se refieren en la mayoría de los casos a errores de software, sistemas obsoletos y políticas por actualizar: por lo tanto, suele ser posible eliminar con precisión y casi en su totalidad las fugas identificadas.

En el caso de BAS, la principal herramienta de mitigación está representada por los sistemas de “Detección y Respuesta” instalados, ya que en la mayoría de los casos se realizan técnicas que explotan vulnerabilidades difícilmente controlables y corregibles. Esto puede dar lugar a la necesidad de adoptar soluciones de defensa alternativas, que además se adapten mejor a las características de la propia infraestructura, o de revisar la configuración de las existentes, para hacerlas más sensibles a actividades inusuales, como las que se llevan a cabo durante un BAS.

Estas medidas aumentan la capacidad de defensa de forma complementaria a un Test de Penetración. Es por ello que la utilización de un software BAS es cada vez más decisiva para determinar el nivel de seguridad de una infraestructura informática.

Cómo puedo probar una solución Breach & Attack Simulation

Si deseas conocer más a fondo lo que un BAS puede ofrecerte, te recomendamos que visites la página sobre ZAIUX® Evo. ZAIUX® Evo es la última solución de Pikered que permite a cualquier MSP o MSSP realizar un Breach & Attack Simulation sin necesidad de tener conocimientos sobre ciberseguridad. Además, si eres un MSSP con un equipo capacitado para realizar la remediación de amenazas y brechas de seguridad, ¡ZAIUX® Evo te ayudará a incrementar tus ingresos y a ahorrar tiempo!

Artículo basado en las siguientes publicaciones:
Why Breach & Attack Simulation is the evolution of Penetration Test
Red Team and Penetration Test: differences and objectives

PUBLICADO POR:<br>José Luis Pozo Valverde
PUBLICADO POR:
José Luis Pozo Valverde
PUBLICADO POR:<br>José Luis Pozo Valverde
PUBLICADO POR:
José Luis Pozo Valverde

Artículos relacionados

DNS sobre HTTPS, cómo y por qué debes activarlo

DNS sobre HTTPS, cómo y por qué debes activarlo

Cuando tu navegador accede a un sitio web, primero necesita traducir la URL amigable (como dotforce.es) a la dirección IP del servidor público que aloja ese sitio web. Esto se conoce como búsqueda DNS. El DNS tradicional no está cifrado, a diferencia del tráfico web...