02 febrero 2013

Auditorías Low Cost: La crisis manda



Tiempo atrás, ya publiqué en SbD mi visión sobre cómo desgraciadamente los recortes que están presentes en todos los sectores, han afectado también a la seguridad. 

En mi caso personal, desde que decidí ponerme a trabajar por mi cuenta, en Mayo de 2012, creando la empresa Securízame, he realizado un montón de ofertas de servicios de seguridad. Ya sea luchando por generar proyectos por mi cuenta, como a través de partners que me han subcontratado varios trabajos, he tenido que escuchar las necesidades de los clientes para dimensionar los tiempos, los recursos y colaboradores, así como el coste que tendrán los servicios solicitados.

Cada vez me encuentro con más peticiones de auditorías con un presupuesto máximo ya asignado que, claramente, hace absolutamente imposible dar un servicio de la calidad esperable. Cuando me ha tocado explicar a mi interlocutor, cliente o intermediario, que lo que se puede llevar a realizar va a ser una "faena de aliño" y no un servicio en profundidad, que garantice que la seguridad de la organización es adecuada, la respuesta es la misma siempre: "ya, lo entiendo y no me importa. Empezad a auditar y hasta donde lleguéis". Esto, al menos en mi caso, suele derivar en una lucha moral entre querer hacer las cosas correctamente, dando un servicio de calidad en la que los clientes queden plenamente satisfechos, contra la gestión de recursos de una empresa propiamente dicha, en la que el objetivo es que además los proyectos sean rentables (o que al menos no se pierda dinero en la consecución de los mismos). Luego, que además los proyectos se cobren en tiempo y forma, será otra historia dependiendo de la (in)-formalidad de según qué clientes.


¿Con qué se conforman algunos clientes?

Pues en general, desde el punto de vista de la auditoría, el cliente lo que necesita es poder tachar de su lista el hito de "Auditoría anual realizada", cumpliendo con la normativa que le sea exigida y ya está. Realmente, que la seguridad de su organización esté completamente cubierta o no, es otra guerra, aunque esto ya lo comentamos en "Cumplimiento Normativo vs Seguridad".



Para cumplir, ¿qué es lo que hace falta en una auditoría?
  • Pues como siempre, la fase de information gathering, con un escaneo de puertos abiertos, identificando los servicios gracias a la herramienta imprescindible en cualquier auditoría
  • Análisis automatizado con herramientas de búsqueda e identificación de vulnerabilidades "de sistema" (servicios con versiones de software obsoletas, configuraciones por defecto, etc,...)
  • Análisis web mediante herramientas automatizadas que permitan mapear completamente una aplicación web integrando plugins de búsqueda de vulnerabilidades web como SQLi, XSS, File Inclusion, etc,... 

Es decir, fundamentalmente un set de herramientas de botón gordo o ./, que puedan ser encadenables en su proceso,  que derive en 4 ó 5 reports a revisar y  documentar en un bonito informe, con colorines y gráficos, en el que aparezca por medio muchas veces las palabras: alto, medio y bajo. 

A partir de ahí, cualquier tipo de actividad "manual" por parte de un auditor experimentado es una utopía "para cuando haya presupuesto", puesto que el coste/hora de una máquina "haciendo cosas" es relativamente barato. Si no hay que imputar prorrateo de costes de licencias de herramientas, costes fijos de empresa, desplazamientos, etc,…  la parte manual es el análisis de los informes, comprobación de las vulnerabilidades, desechar los falsos positivos y la elaboración del documento entregable. 

En caso que las cosas se quieran hacer bien, el coste de trabajos manuales, incrementan en mayor medida el proyecto: Recorrido manual de todas y cada una de las posibilidades de interacción con el usuario, pruebas de fuerza bruta/diccionario en pantallas de autenticación, desarrollo de herramientas/scripts a medida para casos concretos, elaboración mediante ingeniería social, análisis corporativo en búsqueda de metadatos de ficheros expuestos, direcciones de correo, APT, spoofing teléfonico, y un larguísimo etcétera de pruebas que permiten poner a prueba la seguridad global de un sistema, mediante situaciones que pueden estar sucediendo a la organización ahora mismo… 

Y ojo, aun así, efectuando todas estas pruebas, no se puede garantizar que una organización jamás vaya a tener un incidente de seguridad, simplemente minimizamos el riesgo, dejando menos puntos débiles por cubrir, haciendo la función de un antibiótico de amplio espectro versus una aspirina infantil.

Afortunadamente, hay organizaciones que sí que disponen de presupuesto y de conciencia de seguridad, empresas que saben que el impacto que podría provocar no contar con las medidas de seguridad adecuadas puede ser catastrófico, y que invierten muchos miles de euros en asegurarse que las cosas están bien hechas. Sin embargo, el porcentaje de compañías con esta mentalidad y con los recursos necesarios para hacerlo posible, respecto del total, lamentablemente es demasiado bajo.


Entonces, ¿hacia dónde vamos?

Pues aunque, inicialmente, la cabeza me haga pensar en decir una grosería, visto lo visto con la situación económica de mi país, en la que cada día se cierran más y más empresas, y las que quedan tienen que hacer magia para poder subsistir, destinando menos presupuesto para proyectos de seguridad en profundidad, nos dirigimos de forma indirecta, de cabeza a una sociedad cada vez más insegura. 

La misión de los departamentos de seguridad de las organizaciones (aquellas que tienen de eso) es mantener al día lo que tienen, algunas migrando hacia soluciones libres, otras pagando únicamente el mantenimiento de las soluciones comerciales que disponen, no permitiendo la evolución natural de implantar los mecanismos de seguridad necesarios para las cada vez más ingeniosas amenazas de seguridad.

Como conclusión personal, me gustaría recalcar que de verdad lamento que actualmente las compañías tengan esta mentalidad meramente cumplidor o conformista con un análisis superficial de su seguridad, puesto que resulta frustrante sentirte capaz de hacer un trabajo de mucha mayor calidad y profesionalidad, y no poder llevarlo a cabo porque excedería, con mucho, la cantidad de jornadas que el cliente te ha permitido ofertar. 

Eso sí, luego cuando sale a la palestra algún escándalo de seguridad por una mala configuración web, nos asombramos de cómo pueden pasar esas cosas. Siempre tengo en la cache de mi memoria la frase que dijo una vez mi amigo Javier Megías: "Si no quieres monos, no pagues con cacahuetes"

Y después dicen que el pescado es caro…

10 comments :

Anonymous dijo...

Y así nos va...
Lo peor de todo es que ya no pagan ni con cacahuetes... sólo con las cascaras...

Francisco Javier dijo...

Que razón tienes Lorenzo

PL dijo...

Muy buena reflexión. Refleja la realidad en la que vivimos y lo digo como parte del personal dedicado a un departamento de seguridad. A día de hoy la política es cubrir el expediente. No hay un duro.

Jose Selvi dijo...

IMHO, el gran problema es la definición del alcance. Si el alcance define claramente que se van a realizar cuatro escaneos automáticos, no hay problema, ya queda en manos del responsable de seguridad que justifique con su jefe por qué pensó que con eso era suficiente si tienen algún problema (y si se enteran, que esa es otra). El problema viene cuando, para ganar la oferta, hay empresas auditoras que mantienen el alcance (auditoría manual, realizada por expertos, etc) pero por la mitad de precio, algo que simplemente no es posible. Eso a mi me parece una falta de respeto al trabajo de tus compañeros de profesión, y una ESTAFA (con todas las letras) a nuestros clientes. Los clientes, por su parte, deberían darse cuenta que si pagan cacahuetes, como dice la frase, no van a tener a un gourmet, por mucho que les vendan que así va a ser.

Román Ramírez dijo...

Y olvidáis ese gran clásico que es hacer las revisiones de seguridad con un proveedor offshore como puede ser India. Cobrando a 7 euros/hora y dando un servicio, en muchos casos, bastante mejor y con más calidad que proveedores locales. Que lo he visto yo con estos ojitos.
O ese otro clásico que es "No, si sabemos que estamos muy bien, ya vinieron los de $empresa_famosa y nos revisaron todo". Y quince minutos más tarde estás metido en un servidor con un usuario "sa" de un SQL Server... Lo que dice que, o el cliente no ha sabido acotar el alcance, o el proveedor era bastante "regular".



Pero, además, ¿por qué me tienen que venir siempre a vender cosas de Lamborghini cuando lo que yo quiero es un coche eléctrico barato que me lleve?



Hemos llegado a un momento de madurez del mercado de seguridad donde tenemos que empezar a plantearnos qué son servicios de revisiones de calidad, qué profundidad deben tener o cómo los queremos enfocar...


Ejemplos claros son, ¿por qué necesito a gente que se programe sus propios exploits cuando lo único que quiero es que me hagan inventario de vulnerabilidades, me las gestionen en un panel de control y las vayan resolviendo con tickets y seguimiento? Y yo no pagaría demasiado por este tipo de servicio.



Y si voy a desplegar un equipo con un firmware, con distintos puntos de acceso y un alto nivel de exposición... ¿no sería recomendable que contrate a un reverser que me destroce el firm y me ayude a securizar al máximo? ¿expertos en trastear con hardware para que me digan cómo de resistente y cuánto esfuerzo puede requerir que me lo "abran"? Y en este tipo de servicio sí veo tarifas de 300 euros/hora.



Cada situación requiere su tipo de servicio y, en muchos casos, con precios muy bajos, muy altos o ninguno de los anteriores.

The Great Mega dijo...

Yo he visto auditorías de "seguridad" donde sólo se han preocupado de ver si las máquinas de la red tenían antivirus, y si las contraseñas (del dominio WIN solamente) tenían caducidad, ya es que ni echar un ojo a la seguridad perimetral, ni siquiera echar un ojo al tráfico de red, las personas que la hicieron no tenían ni idea, la culpa es de los que aceptan estos trabajos, no voy decir empresa pero si que es de CS y empieza por IT...

Un pentester dijo...

El mayor daño lo hacen las empresas cuyo objetivo es ganar dinero emitiendo informes favorables a sistemas con errores de libro a los que es imposible que hayan dedicado mas de 5 minutos de tiempo o que la audioria la ha realizado alguien sin las nociones basicas de seguridad.
Eso mina completamente la credibilidad de nuestro sector .

Como expertos en seguridad Deberiamos acostumbrarnos a firmar nuestros trabajos y negarnos a hacerlo si desde nuestro criterio no se cumplen unos requisitos minimos.
Somos relativamente pocos en este sector, y tenemos la fuerza para poder cambiar las cosas.

Eso y sacar a la luz empresas cuyos trabajos son, como mucho, mediocres, puede ayudar a revalorizar nuestros servicios.

La situacion actual es mala, pero siempre seguira habiendo un gran hueco para diferenciarse por la calidad. Las empresas que no entienden eso a medio plazo estan condenadas a desaparecer como referentes de seguridad.

Lorenzo_Martinez dijo...

Contesto a todos de forma global.

Jose Selvi el tema está en que el cliente tiene que tener los dos dedos de frente para correlar que un alcance tremendo, con mil tareas y subtareas, y un número de 2 jornadas ofertadas con un solo recurso, pues tiene pinta que en alguna parte se la están clavando. Muchas veces los comerciales de las empresas de seguridad, que previamente han sido comerciales puerta a puerta de libros, lavadoras o cualquier cosa no relacionada con la informática (sin desprestigiar a nadie), dicen a todo que sí sin saber cuánto tiempo lleva hacer las cosas. Cuando la empresa es tuya, como es mi caso, puedes darte el lujo de decir, "señor cliente, lo siento muchísimo, pero por esa cantidad, somos incapaces de hacer ese trabajo con un mínimo de calidad"... Entonces es cuando me dicen, "¿bueno y algo más barato?". Ahí es cuando se empieza a desvirtuar todo y a quitarle ingredientes a la pizza, quedándose en lo que puede quedarse por la cantidad ofrecida. Evidentemente, no todos los clientes lo entienden, pero por mi parte, prefiero ser sincero, puesto que es mi firma (la de mi empresa) la que va en los proyectos.

Como dice Un pentester en el caso de los peritajes, eres tú como perito quien firma los informes, y luego tienes que ir ante un juez a ratificar lo que has dejado por escrito, por lo que hay que estar muy seguro de lo que estás poniendo. El problema es que muchas veces cuando eres asalariado en una empresa, hay cosas a las que no puedes negarte, y precisamente por ello, te ampara el anonimato de que es la firma de la empresa la que firma los informes.

A Román Ramírez, hay buenos y malos profesionales en todas partes, tanto en la India como aquí, el tema está en que si tú eres un gran defensor de lo español, como manifiestas siempre, imagino que hay que dar la oportunidad a empresas españolas, con las que te encuentres a gusto y conozcas quiénes ejecutarán los proyectos (o incluso tengan que ir a hacerla on-site, para estar seguro que no vienen de la India :D)

Calario dijo...

Quizás el problema está en poder valorar la seguridad, y cuando digo "valorar" hablo de dinero ¿Por qué las empresas contratan seguros? ¿Cómo se valoran las cuotas y coberturas de esos seguros? El caso es que el de los seguros es un negocio muy maduro.


Yo soy de los que creo en "la Seguridad", no en "las seguridades" (física, lógica, de sistemas, etc) así que me sorprende mucho que la seguridad de los sistemas sea consideradas como algo diferente a la seguridad patrimonial.


Si puedes valorarlo, puedes venderlo.

Álvaro Del Hoyo dijo...

+1000