Com preparar-vos per a una auditoria ofensiva i aprofitar-la de debò

Quan una empresa ens contracta una auditoria ofensiva, hi ha un reflex que es repeteix gairebé sempre. Els dies previs, l’equip d’IT es llança a apedaçar servidors, tancar accessos antics i revisar configuracions a contrarellotge perquè el dia de la prova tot estigui impecable.

És comprensible i és, gairebé sempre, un error.

Una auditoria ofensiva no és un examen que s’hagi d’aprovar. És una foto de com esteu de debò un dimarts qualsevol, quan ningú no ha fet neteja el cap de setmana anterior. Si maquilleu l’entorn per a l’ocasió, estareu pagant perquè us auditin una empresa que no existeix la resta de l’any. El que de debò us interessa preparar és una altra cosa. Gairebé res no té a veure amb tapar forats abans d’hora.

Això és el que sí que val la pena tenir a punt.

Decidiu què voleu saber

“Proveu-ho tot” no és un abast, és una manera de no decidir. Una auditoria té un pressupost i un temps. Com es reparteixen depèn de la pregunta que us tregui la son.

No és el mateix voler saber si algú entra des d’internet sense credencials, que si un empleat descontent pot escalar fins al control del domini, que si un ransomware que cau en un portàtil es propaga als servidors. Cadascuna d’aquestes preguntes porta a un tipus d’auditoria diferent i a un punt de partida diferent.

Aquesta és la part on el client aporta més valor. No cal ser tècnic per fer-ho. N’hi ha prou amb posar sobre la taula què és el que més mal us faria si sortís malament. Nosaltres ho traduïm a un abast tècnic, però la prioritat la marqueu vosaltres.

Sapigueu què teniu

No es pot acotar el que no sabeu que existeix. Abans de començar convé tenir una llista, encara que sigui aproximada, dels dominis, les IPs públiques, les aplicacions importants i qui és responsable de cada cosa.

No cal que sigui un inventari perfecte. De fet, el moment de muntar-lo sol ser revelador, perquè és quan apareix el servidor que va muntar algú que ja no hi és, el subdomini d’una campanya de fa tres anys o el panell d’administració que ningú no recordava que seguia publicat. Això que apareix és, molt sovint, el primer que mira un atacant.

Deixeu llesta la logística

Aquesta és la part avorrida i és la que decideix si l’equip és productiu des de la primera hora o es passa el matí esperant un accés.

Segons el tipus d’auditoria, això pot voler dir credencials i comptes de prova a diferents nivells de privilegi, un accés VPN, un punt de xarxa per a l’auditoria interna o una màquina dins l’oficina. Convé també acordar la finestra en què es faran les proves i deixar una persona de contacte que pugui desbloquejar el que calgui sense haver d’obrir un tiquet que trigui dos dies.

Cada hora que l’equip passa esperant un permís és una hora que no passa buscant la fallada que de debò us importa.

Decidiu a qui aviseu i a qui no

Aquesta és una decisió estratègica, no un tràmit. Convé pensar-ho amb calma.

La pregunta de fons és si aviseu o no el vostre equip de seguretat. Si l’aviseu, la prova transcorre sense ensurts i ningú no activa per error el protocol d’un incident real, però renuncieu a mesurar una cosa que la resta de l’any no es mesura mai, que és la capacitat de detectar i frenar un atac mentre passa. Si no l’aviseu, aquesta capacitat sí que es posa a prova, a canvi d’assumir algun ensurt i alguna trucada de matinada.

No hi ha una resposta correcta. Depèn de si el que voleu mesurar és només la tecnologia o també les persones i els processos que han de reaccionar quan passa alguna cosa. El que sí que ha d’estar clar abans és l’autorització per escrit de qui té potestat per donar-la i un parell de contactes d’emergència per si alguna cosa es torça.

No maquilleu l’entorn la setmana abans

Tornem al principi, perquè és l’error més car i el més fàcil de cometre.

No apedaceu en massa, no canvieu configuracions, no aixequeu defenses noves només per a l’ocasió i no netegeu els logs. Cada canvi d’última hora converteix l’auditoria en el retrat d’un sistema que no tindreu funcionant la setmana següent.

Si hi ha alguna cosa que sabeu que està malament i us fa vergonya, deixeu-la. Precisament això és el que voleu que aparegui documentat, amb el seu impacte i la seva prioritat, per poder justificar internament el temps i el pressupost d’arreglar-ho.

Tingueu les còpies de seguretat al dia

Una auditoria ofensiva es fa amb cura, però treballa sobre sistemes reals. De tant en tant un servei fràgil o una aplicació heretada no ho encaixa bé.

Abans de començar convé tenir les còpies de seguretat recents i verificades, saber qui sap restaurar-les i acordar què passa si trobem alguna cosa crítica a mig camí. Definir aquest llindar de parar i avisar per endavant evita decisions improvisades en calent.

Prepareu-vos per actuar, no per arxivar

Això enllaça amb una cosa que ja vam explicar quan vam parlar de per què passar una auditoria de compliment no significa estar segurs. Una auditoria que acaba en un PDF guardat en un calaix no us ha protegit de res.

La preparació més important passa abans de començar i consisteix a decidir qui s’encarregarà de corregir les troballes, reservar temps de l’equip per a les setmanes següents i pressupostar la reauditoria que confirma que el que s’ha corregit està realment tancat. L’auditoria és la part barata. El valor es realitza arreglant. Això s’ha de planificar des del dia zero.

Com més ben resolts tingueu aquests punts, més barata i més profunda surt l’auditoria, perquè el temps de l’equip se’n va a trobar problemes reals i no a esperar una credencial. Preparar una auditoria ofensiva no és posar-se guapo per a la foto, és assegurar-se que la foto serveixi per a alguna cosa.

---

Si esteu pensant a auditar la seguretat de la vostra organització i voleu ajuda per definir l’abast, escriviu-nos a [email protected].