Zibersegurtasuna izan zen protagonista azaroaren 16an (osteguna) BALUARTE batzar-jauregi eta auditoriumean egindako Segurtasun Digitaleko Nafarroako Foro & Developers Challenge ekitaldiaren hirugarren edizioan. Eta han egon zen Euskaltel, hacking etiko aurreratua aztertzen duen txosten bat aurkezten.
Ezin genuen huts egin halako ekitaldi bat, funtsezkoa baita Nafarroako enpresak zibersegurtasuneko tresna egokiak izateak duen garrantziaz ohartarazteko. Punta-puntako adituak bildu ziren foroan. Agertoki profesional ezin hobeak dira halako ekitaldiak ezagutzak, gako nagusiak eta arrakasta-kasuak partekatzeko eta erabakitzeko nola ezar daitezkeen modu egokian segurtasun digitaleko sistemak enpresetan. Zibersegurtasuna arrisku handiko elementua da enpresentzat, eta arriskuen kudeaketa funtsezkoa da enpresen jardun zuzena bermatzeko.
Gure izenean, Jokin Glaría Euskaltelen Enpresa Handien Negozioko Aholkulariak parte hartu du “Hacking etiko aurreratua: Igor vs Vasili, azken bataila” izenburuko hitzaldiarekin.
Zein da “hackingaren zirkulua”?
Jokinek adierazi du beharrezkoa dela enpresetan segurtasunaren aurkako jardunbideak ezartzea, betiere adituek eginak eta kontrolatuak, eraso erreal bati aurre egiten ikasteko; hau da, hacking etiko aurreratua praktikatzea.
Lehenik, “hackingaren zirkulua” zer den argitu du. Sei pausok osatzen dute:
- Azterketa edo footprintinga. Pasiboa izan daiteke, informazio-iturrietan bilatuz, edo aktiboa, informazioa konpainiarekin izandako interakzioren baten bidez lortzen denean. Kontuan izan behar da beti Deep Weba, rol erabakigarria baitu.
- Eskaneatzea. IPak, sistema eragileak eta abar bilatzea.
- Irispidea lortzea. Eraso baten helburu nagusia administratzailearen pasahitzak lortzea edo direktorio aktibora sartzea da.
- Irispideari eustea. Sisteman sartzea lortu ondoren, helburua da ahalik eta onurarik gehien lortzea (onura ekonomikoak gehienetan) edo, are, konpainia guztiz itxi dadin lortzea (aldi baterako edo betiko).
- Aztarnak ezabatzea. Hori da aldea hacking etiko baten eta etikoa ez den beste baten artean; etikoak ez du aztarnak ezabatu beharrik; delitua bilatzen duenak, ordea, bai.
- Txostena. Entregatzen dena; ikusi eta aztertzen dena. Ezinbestekoa da irakurgarria eta erabilgarria izatea; hauek bildu behar ditu: laburpen exekutibo bat, irudiak/bideoak, bitakora-kaiera, aurkitutakoen erregistroa…
Zer da hacking etiko aurreratua?
Beraz, nola definituko genuke hacking etiko aurreratua?
Zenbait atal bildu behar ditu. Hiru motatakoa izan daiteke:
- Kanpokoa: intrusioa konpainiatik kanpo hasiko litzateke.
- Barrukoa: enpresa barrurik hedatuz jotzen da erasoa.
- Deep Web.
Zenbait modutakoa izan daiteke, gainera:
- Black Box: konpainian sartzeko inolako informaziorik gabe.
- Grey Box: informazio pixka batekin, barnean zein kanpoan lortua.
- White Box: informazio ugari baliatuz, eta dena delako konpainiaren lankidetza erabatekoarekin (sarearen egitura, zerbitzu aktiboak…)
Zer zerbitzu osagarri kontrata daitezke? Ingeniaritza soziala, wardrivinga, bezeroaren wifi-sareen aurkako erasoa, ekipo-lapurreta, segurtasun fisikoa (funtsezkoa da idatziz ongi definituta egotea, delitua izan baitaiteke edo delitu izatetik oso gertu egon).
Bestalde, hacking etiko aurreratuaren osagarri diren bi kontzeptu garrantzitsu argitu ditu Jokinek: pentestinga, hau da, kanpoko ikuspegitik bakarrik egindako erasoa, eta phishinga, hots, norbaiten nortasuna ordezteko barne-erasoa, posta elektronikoaren bidez gauzatua, ingeniaritza soziala baliatuz.
Hacking etikoari errendimendua ateratzea: eskuzko ustiapena vs ustiapen automatikoa
Baina, Jokinen ustez, zalantzarik gabe, “hacking-zirkulu”aren alderdirik garrantzitsuena irispideari eustea eta kontrola lortzea da. Eta, behin hori lortuta, nola egiten duzun errentagarri posizio hori.
Bi eratara egin daiteke: eskuzko ustiapena, ezagutza handiko pertsona baten bidez, edo ustiapen automatikoa, hainbeste giza jakintzarik gabe, hirugarrenen tresna bat erabiliz erasoa egiteko.
Kontrol handiagoa dago eskuzko ustiapenean, automatikoa softwarearen fabrikatzailearen mende baitago.
Gainera, hainbat protokolo ezagutu behar dira: TCP/IP, Windows, programazio-lengoaiak… Ustiapen automatikorako, nahikoa da aplikazio baten interfazea erabiltzen jakitea.
Azken batean, informatika ondo ezagutzen duenak exploit edo ustiapen berariazkoak erabiliko edo garatuko ditu, eta informatika-aditu ez denak, berriz, tresnak berak dakartzan exploitak bakarrik erabili ahal izango ditu.
Mitreren matrizea
Enpresa batean sartu nahi duen hacker baten eskuliburua Mitreren matrizea da, zeina zenbait kategoriaz osatua baitago. Kategoria horietako bakoitzak, bestalde, eraso bat egiteko teknikak edo taktikak biltzen ditu. Hainbat sistemetarako teknikak daude: macOS, Linux, Network, containers, cloud…
Hori kontuan izanik, zer kontrata dezakezue eta zer egin dezakezue kalteak mugatzeko eta zuen enpresaren zibersegurtasuna zaintzeko?
- SIEM bat ezarri. Sarea zaintzeko software-tresna bat da.
- Security Operation Center bat kontratatu: enpresaren jarduera zibersegurtasunaren ikuspegitik kontrolatzeko zentroa.
- GIR bat erantsi (esku-hartze azkarreko taldea) eta analisi forentsea, hiru zerbitzu-mailarekin, aukeran: N1 (aurrez emandako prozeduren arabera jarduten duten pertsonak) 24×7; N2 (sistemen zenbait log aztertzeko gai diren pertsonak) 24×7: N3 (goi-mailako espezialistak).
- Analisi eta zaintza aktiboa egin, beharbada ahultasunak zaintzeko eta kudeatzeko ekipo baten laguntzaz.
Oro har, garrantzitsua da noizean behingo argazki huts bat ez izatea; etengabe egin behar da analisia, eta oso kontuan hartu behar dira Mitreren matrizearen simulazioak, hala gertatuko baitira erasoak. Gomendatzen dugu, batetik, hodeiko simulazioak egitea biki digitalak baliatuz, enpresarentzat oso arriskutsu izan daitezkeen ahultasunak detektatzeko, eta, bestetik, dirua inbertitzea inpaktu handiko ahultasun horiek —eta ez beste batzuk— arintzeko, arriskuan jar baitezakete enpresaren negozioa.
Horri lotutako beste kontzeptu garrantzitsu bat Breach Attack Simulator da.Analisiak egiten dituzten ahultasun-simulazioak dira, baina kanpotik bakarrik egiten dira, ez modu globalean; beraz, ez dira hacking etikoak, nahiz baliagarriak diren, hori bai, barne-auditoretzak egiteko.
Azkenik, Jokinek nabarmendu du enpresa akreditatuetara jo behar dela beti; ezagutza eta espezializazioa eskaintzen dute, ezaugarri ezinbestekoak biak ere zuen enpresaren zibersegurtasuna eraginkortasunez eta osoki zaintzeko. Zibersegurtasunak gai oso zehatz bati buruzko ezagutza-maila handia eskatzen du.
Enpresentzako gure soluzio teknologikoei buruz gehiago jakin nahi baduzu, harpidetu gure buletinean, edo jarri harremanetan zure aholkulari pertsonalarekin edo enpresetako gure sail komertzialarekin, inprimakiaren bidez. Eta azken albisteen berri izateko, jarrai iezaguzu LinkedInen.