¿Ha escuchado alguna vez sobre casos donde una agencia gubernamental o una empresa son víctimas de las actividades criminales de algunos individuos? A pesar de la frecuencia de las noticias documentando estos eventos, muchas organizaciones no priorizan la seguridad de sus propios sistemas. Proveedores como Rapid7, McAfee o Qualys ofrecen diferentes tipos de sistemas para evaluar, administrar y disminuir la vulnerabilidad de sus sistemas de tecnologías de la información. Hace poco presencie una demostración de los productos de Rapid7 y me gustaría señalar algunos de sus elementos que pueden contribuir a solidificar la seguridad de sus sistemas de TI. 

Algunos de los principales obstáculos que deben enfrentar empresas como Rapid7 (sitio Web) es que las empresas generalmente determinan un baja prioridad a la seguridad ya que

• tienen restricciones de presupuesto
• temen agregar más trabajo a su personal de TI
• la creencia que los sistemas existentes son suficientes para detectar la intrusión
 
Sin embargo, cualquier violación a la seguridad termina finalmente en sobrecarga financiera y trabajo adicional para reparar los daños incurridos. Los sistemas para detectar intrusiones, a pesar de ser útiles en las estrategias de seguridad, son utilizados generalmente parta identificar un intruso o para ayudar a resolver una violación a la seguridad que ya tuvo lugar, pero no previenen necesariamente el daño.

Rapid7 sacó recientemente un informe en el cual examinó 268 intrusiones en el sector gubernamental desde 2009 y concluyó que estas llevaron a la divulgación de archivos personales u otros tipos de daños (descargue su informe completo de este enlace. Inglés) Para resolver estos problemas, Rapid7 ofrece dos aplicaciones, Nexpose (para la evaluación de la vulnerabilidad) y Metasploit (para poner a prueba el sistema de manera proactiva), para ayudar a las organizaciones a prevenir cualquier violación a la seguridad.

Nexpose provee la evaluación y puesta a prueba de la vulnerabilidad. Este sistema recopila información sobre el ambiente TI de la organización al escanear los activos TI, es decir la red, los sistemas operativos, dispositivos, enrutadores (routers), etc. La información recopilada por Nexpose incluye la identificación de las vulnerabilidades en computadores individuales, sus configuraciones, la configuración del navegador, certificados emitidos inapropiadamente, soluciones de parches que faltan en los sistemas operativos y muchos otros problemas.

Finalmente, Nexpose Rapid7 pretende ayudar a las organizaciones a comprender los activos TI y a enfocarse en las áreas en las cuales tienen problemas de seguridad. Rapid7 reconoce que en la medida en que incrementa el uso de dispositivos personales para efectos laborales, los departamentos de TI tienen mayores dificultades para saber dónde se pueden presentar los problemas.

Es muy probable que los ejecutivos acepten la inversión en Nexpose bajo la premisa de que ahorra tiempo para los administradores de TI. TI y el personal deben invertir tiempo y esfuerzos para resolver apropiadamente los problemas de seguridad, pero la cantidad y el costo de estos esfuerzos no es siempre apreciado por el resto de la organización.

Sin embargo, Nexpose le envía informes cuya regularidad usted puede programar y que contienen los detalles de lo que se debe arreglar en el ambiente organizacional. (La información de Nexpose sale de fuentes como SecurityFocus y la base de datos sobre vulnerabilidad de Rapid7). A primera vista, estos informes parecen agregar a la carga de trabajo, pero por el contrario, estos informes de Nexpose contienen información útil que ayuda a reducir la carga laboral. Aunque estos informes identifican los problemas, también indican los pasos necesarios para arreglarlos. En algunos casos, estas intrusiones incluyen los vínculos para descargar los parches o el código ejemplo para arreglarlo. Esto debe ahorrarle tiempo al administrador no solo en identificar los problemas pero en la búsqueda de las soluciones. Adicionalmente, los informes indican el tiempo necesario que tomará arreglar cada uno de los problemas identificados. De esta manera, el personal de TI puede presupuestar su tiempo y planear activamente sus esfuerzos.

La herramienta de pruebas de penetración de Rapid7, Metasploit, complementa Nexpose, no solo con sus informes pero atacando las vulnerabilidades. Cuando Metasploit no puede penetrar las vulnerabilidades, se comunica con Nexpose para que este último ajuste sus informes de vulnerabilidad como corresponde. En otras palabras, Nexpose no considerá el evento como una vulnerabilidad. Metasploit provee ciertas características interesantes que mencionare en un momento.

Metasploit surgió del proyecto de código abierto de HD Moore sobre el desarrollo de explotación de vulnerabilidades. Rapid7 adquirió la plataforma en 2009 y continúa con el proyecto de código abierto. Además de la interfaz de la línea de comando del proyecto de código abierto, Rapid7 vende una versión profesional de Metasploit, la cual trae una interfaz basada en la Web, que permite el acceso de una gama más amplia de usuarios. La interfaz gráfica Metasploit de Rapid7 automatiza muchas tareas, incluyendo la habilidad de elegir cuantos elementos atacar y la sensibilidad de estos ataques.

Como muchos otros proyectos de código abierto, Rapid7 provee servicios de soporte comercial alrededor de Metasploit. La versión comercial y profesional de Metasploit tiene herramientas particularmente interesantes para manejar campañas de ingeniería social. En otras palabras, es una herramienta que no solo halla las vulnerabilidades tecnológicas, pero además ayuda a comprender las vulnerabilidades de su sistema e información en relación a la forma en la cual las personas operan y trabajan.

Rapid7 demostró, en cuestión de minutos, como un administrador puede generar un correo electrónico, que sería enviado a los empleados de la empresa como si hubiese sido enviado por LinkedIn (aunque como administrador, usted puede determinar el tipo de fuente del cual saldrá el mensaje). El correo electrónico contenía instrucciones para seguir un enlace y descargar un programa. A pesar de que algunas personas tienen claro que estos correos pueden ser peligrosos, muchas personas no se detienen a pensar o verificar hacia donde los llevan estos enlaces y descargan inescrupulosamente programas de este tipo.
 
Este tipo de campañas de ingeniería social es una forma común para los intrusos de obtener acceso a los sistemas, distribuir virus o generar daños. En su lugar, el envío de estos mensajes utilizando Rapid7 entrega un archivo con una carga inofensiva. Ya que en este caso se conecta con el servidor Web, este permite que el administrador supervise lo que sucedería cuando los usuarios hacen clic en este tipo de mensajes. Los administradores pueden así comprender mejor sus vulnerabilidades, concebir formas de fortalecer sus sistemas contra estas vulnerabilidades y educar a los usuarios para evitar que sean víctimas de ataques reales.

La empresa Rapid7 fue fundada en 2000 y establecida en Boston, EE.UU. En la actualidad la empresa tiene alrededor de 2.000 clientes en 65 países. Entre sus clientes se encuentran organizaciones gubernamentales como el Departamento de Seguridad Nacional de los Estados Unidos y su Departamento de Defensa entre otros. Rapid7 recientemente recibió cerca de $60 millones en financiamiento nuevo, lo cual permitirá su crecimiento. Espero que si la empresa continúa su ritmo acelerado y aprovecha los múltiples recursos de la comunidad de Metasploit, continuará incrementando su éxito con sus productos.

Traducido del inglés por Claudia Gómez