CIO
A veces, la mejor defensa es un buen ataque. Esa fue la filosofía detrás de los esfuerzos de la compañía de seguridad SCYTHE para crear la plataforma de evaluación de vulnerabilidades, Crossbow. Implementada utilizando software como servicio (SaaS) o mediante una instalación local, Crossbow es un entorno de amenazas virtual que permite a los administradores cargar e implementar ataques históricos reales como WannaCry , Goldeneye o Haxdoor, o crear nuevas amenazas desde cero .
Una vez cargados o creados, esos ataques pueden enviarse contra una red protegida para detectar posibles vulnerabilidades.
Crossbow es quizás uno de los programas defensivos más peligrosos que CSO haya revisado alguna vez. Todos los ataques que puede cargar o crear son reales, utilizando técnicas y tácticas reales que históricamente han roto las defensas de ciberseguridad en muchas organizaciones.
Solo la carga útil se neutraliza, e incluso, esa parte es opcional. Esto convierte a Crossbow en una de las herramientas más realistas para acceder, probar y administrar vulnerabilidades. Para ponerlo en perspectiva, Crossbow es mucho más parecido a un ejercicio de disparo real en el ejército que a una simulación, porque las amenazas virtuales de Crossbow son reales.
No se pierda: Episodios más difíciles para la ciberseguridad en 2017
Los ingenieros de SCYTHE crearon Crossbow para probar los tres pilares de las defensas de ciberseguridad que existen en casi todas las organizaciones: los empleados, los productos de seguridad y el personal de TI.
Las campañas pueden diseñarse para probar las defensas individuales, como enviar un ataque de phishing a los empleados para ver cómo reaccionan, o implantar un agente corrupto en una máquina cliente utilizando credenciales de administrador para simular una cuenta de administrador comprometida y ver cuánto tardan los equipos de TI en notar y reaccionar.
Debido a que Crossbow proporciona herramientas de ataque del mundo real, simplificadas en una interfaz fácil de usar, se pueden crear campañas para probar, y con suerte fortalecer cualquier aspecto de la ciberseguridad de una organización.
La interfaz principal de Crossbow se asemeja más a un kit de ataque de malware artesanal, como el que puede encontrarse o comprarse en la dark web. Pero la mayoría de ellos solo ofrecen uno o dos métodos de ataque.
Crossbow parece cubrir todas las vulnerabilidades que se pueden utilizar para infiltrarse en una red o poner en peligro a un host, además permite mezclarlas según se requiera. Cuando se utiliza un ataque previo, basta con un par de clics para armarlo.
Crear su propia amenaza no es mucho más difícil que elegir una exitosa del historial. Todo está configurado con bloques de construcción fáciles de usar, sin necesidad de programar nada. Por lo tanto, puede mezclar y combinar capacidades, como instalar un keylogger y luego usar HTTP o DNS para extraer los datos.
Crossbow está bien versado en las técnicas más avanzadas, como usar Twitter como servidor de comando y control, o imágenes para enviar el malware.
A pesar de que la interfaz es extremadamente fácil de usar, los tipos de ataques que pueden construirse y desplegarse a través de Crossbow son las peores pesadillas para los encargados de la seguridad cibernética.
Los ataques también se pueden configurar de forma muy precisa. Por ejemplo, podría crearse una cepa de malware existente en keydrives, que luego se distribuiría en un estacionamiento de empleados para ver cómo reacciona el personal.
El panel de control de Crossbow permite a los administradores monitorear las pruebas, buscando cualquier signo de debilidad en sus defensas.
Crossbow es minucioso durante el proceso de creación de malware. La mayoría de los programas maliciosos se implementan a través de agentes y se pueden configurar estrechamente. Un buen ejemplo son los agentes de ransomware que usan encriptación. Se pueden configurar para que hagan copias de todos los archivos encriptados para así tener una copia de seguridad. A los agentes también se les da un rango de fechas válido durante su creación, por lo que no pueden existir más allá de la hora establecida como fecha de vencimiento o antes de su hora de inicio. De esta forma, si ocurriera el escenario improbable en el que el malware de prueba se desatara más allá de la prueba, no durará mucho en la naturaleza o su red.
Todo lo que los ataques de prueba hacen a sus objetivos es grabado por la consola principal de Crossbow. Debido a que los ataques exitosos involucran comunicaciones salientes, cualquier dato que llegue proporciona una confirmación sólida de que un ataque ha tenido éxito.
El programa principal de Crossbow registra cada vez que un sistema se ve comprometido al usar una de sus amenazas. La forma de evaluación de vulnerabilidad de Crossbow es una de las más activas, y posiblemente, realistas, en el mercado. En lugar de confiar en simulaciones o escaneos de red, permite que los administradores se conviertan en probadores de penetración, dirigidos a amenazas persistentes avanzadas como un láser dirigido a cualquier parte de las defensas de ciberseguridad de una red.
El único inconveniente es que esto requiere la participación activa de los administradores: alguien debe crear, planificar, ejecutar y monitorear los ataques para generar esos datos valiosos. Si una organización ya tiene un “equipo rojo” encargado de lanzar ataques, entonces Crossbow simplemente puede convertirse en un gran multiplicador de fuerzas para ellos. De lo contrario, alguien tendrá que ser puesto a cargo de los ataques de prueba.
Las organizaciones que quieran probar sus defensas contra las amenazas del mundo real en un entorno seguro deberían probar Crossbow. Al igual que una ballesta real, el programa es una herramienta peligrosa que puede convertirse en un enlace invaluable en las defensas cuando es manejado por defensores capaces.