COMENTARIO
En el pasado, los profesionales de la seguridad eran verdaderos hackers de corazón: personas apasionadas que ganaban dinero haciendo lo que amaban: romper sistemas, traspasar límites y aprender constantemente. Desarrollaron sus habilidades por pura curiosidad y dedicación.
Hoy en día, sin embargo, muchos actores de la seguridad son simplemente “profesionales” que han encontrado un trabajo bien remunerado pero que no tienen una mentalidad de hacker. No les motiva el amor por los desafíos ni la sed de aprender. Es posible que tomen clases ocasionales o aprendan algunos trucos técnicos, pero a menudo hacen lo mínimo. Esto conduce a una seguridad débil. Mientras tanto, ¿los atacantes? Todavía tienen esa antigua pasión hacker, aprendiendo y evolucionando constantemente por amor al desafío.
Hemos entendido completamente mal cómo garantizar la seguridad. En lugar de simular realmente a los malos y prepararnos para la realidad, jugamos con herramientas automatizadas y las llamamos seguridad “ofensiva”. Muchos ejercicios del equipo rojo simplemente siguen una lista de verificación de vulnerabilidades conocidas sin adaptarse al entorno específico. Por otro lado, una simulación de adversario real requiere creatividad y una comprensión profunda de las debilidades del objetivo, creando rutas de ataque personalizadas y ajustando tácticas sobre la marcha. Se trata de ir más allá de las habilidades técnicas y realmente entrar en la mentalidad del oponente.
Seamos realistas: las habilidades técnicas por sí solas no salvarán a nadie. Para frustrar a los atacantes, debemos cultivar una mentalidad de hacker: comprender las motivaciones, las tácticas y la psicología detrás de los ataques, centrándonos en la creatividad y la adaptabilidad en lugar de simplemente marcar casillas.
¿Por qué los oponentes hacen lo que hacen?
Demasiados defensores se quedan estancados en el “cómo” de un ataque (los exploits técnicos, las herramientas y las vulnerabilidades), pero para mantenernos a la vanguardia, debemos preguntarnos el “por qué”. Los atacantes no sólo presionan botones; toman decisiones estratégicas, eligiendo el camino de menor resistencia y máxima ganancia específica para sus objetivos.
Los atacantes saben que los defensores son predecibles. Conocen a los defensores, a menudo demasiado centrados en lo que parece aterrador en lugar de lo que realmente es. vulnerable – solucionará grandes vulnerabilidades ignorando configuraciones erróneas o exceso de confianza integraciones de terceros. Los equipos rojos pueden pasarlos por alto, pero los verdaderos adversarios saben que son excelentes oportunidades. Los atacantes aprovechan integraciones confiables para mover o filtrar datos lateralmente sin generar alarmas. Por eso es crucial comprender el “por qué” de los ataques. Los atacantes no sólo apuntan a la tecnología: buscan el camino de menor resistencia y, con demasiada frecuencia, ahí es donde nos quedamos atrás.
Deja de ser un pulsador de botones
Esta es la dura verdad: depender únicamente de herramientas automatizadas y procesos prediseñados es una receta para el fracaso. Si bien estas herramientas son útiles, los atacantes prosperan gracias a la previsibilidad. Por lo tanto, cuanto más dependan los equipos de seguridad de las mismas herramientas y scripts, más fácil les resultará colarse.
Pensar en vientos solares infringirdonde los atacantes explotaron un proceso automatizado y confiable para comprometer miles de sistemas porque los defensores no evaluaron críticamente sus propias herramientas. SolarWinds es una lección sobre el peligro de la confianza ciega en la automatización. Si simplemente presionas botones, facilitas su trabajo.
Los atacantes ponen a prueba constantemente los límites, actúan de forma inesperada y encuentran grietas desapercibidas. Para defenderte de esto, debes hacer lo mismo. Sea curioso, sea creativo y no tenga miedo de cuestionar las reglas. Esto es lo que hacen los atacantes todos los días.
Detección de intenciones en la nube
La nube es un juego de pelota completamente nuevo. Las viejas defensas perimetrales ya no son suficientes: se trata de comprender la intención. Los atacantes no sólo aprovechan las vulnerabilidades; utilizan servicios de nube legítimos en su contra, se mueven lateralmente, aumentan sus privilegios y se mezclan con la actividad habitual de los usuarios.
Llevar el significado infringir: El atacante aprovechó los errores de configuración de la nube y las credenciales legítimas para acceder a datos confidenciales. No entraron por la fuerza, sino que iniciaron sesión. El atacante descubrió cómo mimetizarse con la actividad típica del usuario. Reconocer la intención en la nube es fundamental; se trata de ver los objetivos del atacante y cortarlos antes de que lo consiga.
Si nota actividad inusual, no espere una alerta. Sea dueño de su intención y comience a investigar. Cuanto antes comprenda por qué sucede algo, antes podrá detenerlo.
Construyendo una cultura hacker
Desarrollar y perfeccionar una mentalidad hacker es un viaje y no se logra leyendo un libro ni asistiendo a un curso. Se necesita tiempo, práctica, tutoría y experiencia práctica. Empareja a los nuevos miembros del equipo con personas que han pasado por las trincheras, involucra al equipo de defensa en los ejercicios del equipo rojo y déjales cometer errores. El verdadero aprendizaje ocurre haciendo.
¿Quieres saber si tienes mentalidad hacker? Pruébalo Prueba de ataque de Jack (JIT), donde la creatividad –no el contenido– revela el verdadero pensamiento de los hackers. Por ejemplo, encontrar 10 formas diferentes de “apagar las luces” es como encontrar 10 formas de realizar un ataque de denegación de servicio (DoS). Los piratas informáticos piensan conceptualmente, mientras que los profesionales de la seguridad pueden perderse en los detalles, afirmando que “no saben nada sobre electricidad”.
Otra cosa: dale a los miembros de tu equipo la oportunidad de pensar como atacantes. Realiza simulaciones de ataque en las que deben ponerse en el lugar del hacker. Obtenga un informe de inteligencia sobre amenazas y pídales que le expliquen el por qué, no el cómo. Desafíelos a adoptar enfoques no convencionales. Los atacantes son maestros de lo inesperado y, si los defensores quieren seguir el ritmo, también deben hacerlo.
Adoptar la mentalidad del adversario
En última instancia, la seguridad no se trata sólo de herramientas: también se trata de comprender cómo piensa el enemigo y por qué toma ciertas decisiones. Cada movimiento que hacen –cada objetivo, hazaña y escalada– es deliberado. Para mantenerse a la vanguardia, los defensores deben adoptar esta mentalidad. Al comprender la estrategia detrás de sus acciones, los defensores pueden identificar puntos débiles en su defensa. No se trata sólo de tecnología; se trata de comprender la intención, anticipar lo inesperado y cuestionar la norma. Ninguna herramienta puede reemplazar una mente curiosa dispuesta a ponerse en el lugar del oponente y hacer lo que sea necesario para mantenerse a la vanguardia.