Cuando se trata de herramientas disponibles para ayudar al auditor en el trabajo que hace, a veces puede sentirse que tienen la peor parte. Pareciera que siempre están escasos de presupuesto para adquirir herramientas, mientras que profesionales próximos, tales como la gente de operaciones de seguridad, tienen una gran cantidad de herramientas disponibles—muchas de ellas circulan libremente—para ayudarlo a realizar todo, desde la exploración de vulnerabilidades hasta el análisis de archivos de registro para clasificar el malware.
Sin embargo, créanlo o no, a veces estas herramientas se superponen con aquellas que podrían promover directamente una auditoría en ciertas situaciones. Durante una auditoría normal, un auditor solicita evidencia para establecer que los controles dados están operando efectivamente. Por ejemplo, el auditor puede, como administrador del sistema, abrir una pantalla de configuración, solicitar que se ejecute una herramienta y revisar la salida, o él/ella podría revisar un reporte o la información del archivo de registro. Sin embargo, existen buenas razones por las que los auditores normalmente no están frente al teclado disparando comandos. Precisamente, el tener personal de operaciones (ops) para realizar el trabajo ayuda a preservar la independencia del auditor (es decir, ayuda a mantener una separación entre los que realizan y los que revisan). Francamente, también, los más cercanos a los sistemas de negocio bajo evaluación, son probablemente los más capaces de navegar por ellos.
Sin embargo, eso es en un mundo ideal. En el mundo real, dependiendo del tipo de auditoría o evaluación que está siendo realizada, a veces las cosas no salen como se planificaron y se requiere flexibilidad. Considere, por ejemplo, una situación en la que una gran organización está realizando una revisión in situ de un proveedor de servicios mucho más pequeño (piense en una pequeña o mediana empresa [SMB] o en un “pequeño negocio familiar”). ¿Tendrá esa PYME la experiencia técnica para proporcionar todo lo que el auditor podría requerir? Puede ser, pero también puede que no. Es aquí donde, sí se permite la interacción directa entre el examinador y los sistemas (no será en cada situación) para obtener un poco de “ayuda” de parte del auditor, podría ahorrarle a todo el mundo un poco de tiempo y energía.
Pero, si esta situación se produce, ¿dónde existen buenos lugares para encontrar las herramientas que el auditor podría necesitar? Para responder a la situación dada, por supuesto puede salir e investigar en Internet lo que podría necesitar, pero eso tomaría bastante tiempo. Un enfoque es que los auditores busquen catálogos de herramientas que ya existen, que están agrupados en un formato altamente portátil y pueden ser desempaquetados y utilizados de inmediato.
¿Una ubicación fructífera que tenga todas esas propiedades? Pruebas de intrusión (pentesting) de las distribuciones de Linux. Para aquellos que no están familiarizados con el concepto, las pruebas de penetración o intrusión (a veces denominado ejercicios de “Red Team”) es un tipo de prueba de seguridad por la que el examinador (o tester) emula los mismos métodos y pericia que podrían ser usados por un adversario contra un entorno. En esencia, los tester están tratando llegar de la misma manera que un atacante lo haría. Para apoyar este tipo de trabajo, estos tester suelen emplear un entorno de pruebas especializado que está “equipado” con una amplia variedad de herramientas de ataque para lograr ese objetivo. Con el tiempo, como opción estándar de facto para ese entorno, han surgido las distribuciones especializadas de Linux: distribuciones tales como Kali (htps://www.kali.og/), BlackArch (https://blackarch.org/) y Samurai Web Testing (www.samurai-wtf.org), por ejemplo.
Si la idea de usar un entorno de prueba de intrusión para apoyar directamente una auditoria suena extraño, considere lo siguiente. Estos entornos son portátiles, por lo general se pueden descargar como una imagen de máquina virtual lista para ejecutarse en una plataforma tal como VMWare Player o VitualBox (directamente en la computadora portátil de un auditor). Del mismo modo, vienen empaquetados con cientos, si no miles, de herramientas versátiles que pueden llevar a cabo una amplia variedad de tareas, muchas de las cuales son directamente aplicables a la recopilación o revisión de evidencia necesaria para una evaluación. ¿Cada herramienta será directamente aplicable en el proyecto en el que el auditor está trabajando ahora mismo? Por supuesto que no. Pero, por ejemplo, puede comprobar un Número de Cuenta Bancaria Internacional (IBAN), buscar en un gigabyte de datos un Número de Seguridad Social (SSN), analizar rápidamente los datos del archivo de registro, espejar un sitio web o realizar cualquier número de otras cosas con unos pocos clics pudiendo aumentar en gran medida la eficiencia en cómo la evidencia es revisada. Y, en algunas situaciones, puede ayudar al auditor a recoger esos datos en primer lugar.
Ahora, tenga en cuenta que nadie está diciendo que cada auditor necesita ir afuera y conocer a fondo cada herramienta de intrusión que existe. Y, como se mencionó, debe ejercerse con cuidado y la no diligencia empleada al considerar la interacción directa con un sistema productivo (recuerde, dejar que los amigos de comandos hagan los comandos), pero, en el caso de que sea “renunciar o hacerlo usted mismo”, puede ser una buena opción hacerlo tú mismo.
Ed Moyle
Es director de liderazgo intelectual e investigación en ISACA. Antes de unirse a ISACA, Moyle fue un estratega senior de seguridad con Savvis y socio fundador de la firma de analistas Security Curve. En sus cerca de 20 años en seguridad de la información, ha ocupado numerosos cargos como gerente senior de la práctica de seguridad global de CTG, vicepresidente y oficial de seguridad de información de Merryl Lynch Investment Managers y analista senior de seguridad en Trintech. Moyle es coautor de Cryptographic Libraries for Developers y colaborador frecuente de la industria de seguridad de la información como autor, orador público y analista.