En seguridad cibernética, específicamente para probadores de penetración, todo se reduce a vulnerabilidades. El principal error al informar sobre estos es la conexión entre las diferentes vulnerabilidades y el posible vector de ataque.
A menudo nos encontramos con desarrolladores que afirman que una vulnerabilidad de alto riesgo en una página protegida, o varias vulnerabilidades de bajo riesgo en diferentes ubicaciones, no representan una amenaza real para el sistema. Nuestro trabajo como asesores de seguridad es mostrarles cómo se puede explotar la vulnerabilidad (teórica y prácticamente) utilizando el concepto de puntos únicos de falla (SPOF) y falla en cascada.
Un punto único de falla (SPOF) es un riesgo potencial planteado por una falla en el diseño, implementación o configuración de un sistema. SPOF se refiere a una falla o mal funcionamiento que puede causar que un sistema completo deje de funcionar.
Una falla en cascada es un proceso en un sistema de partes interconectadas en el que la falla de una o unas pocas partes puede desencadenar la falla de otras partes y así sucesivamente.
En esencia, una prueba de penetración no puede cubrir todas las posibles vulnerabilidades. Tratamos de hacer lo mejor posible con una cantidad de tiempo determinada (2-4 semanas), para escanear todos los puntos de entrada y apuntar en la dirección correcta en términos de cabos sueltos y puntos débiles, a veces somos capaces de explorar partes más profundas de los sistemas. y otras veces solo estamos arañando la superficie.
Los actores maliciosos, por otro lado, pueden recopilar información para armar un vector de ataque completo. Estas vulnerabilidades de bajo riesgo crean un rompecabezas de pasos después de los cuales los atacantes alcanzan su objetivo. Cada uno de estos riesgos contribuye a la falla en cascada del sistema, y juega un papel importante en la hazaña final.
Otro ejemplo de SPOF será una situación en la que reside una vulnerabilidad de alto riesgo dentro de un entorno altamente seguro. Desde el punto de vista de uno, el riesgo de explotación se reduce automáticamente, pero todos sabemos que no existe el software "perfecto". Es muy probable que algún día alguien encuentre un error en la biblioteca que usa, o en su proceso de autorización que ahora considera seguro, y cuando esto ocurre, su negocio queda inmediatamente expuesto a exploits.
Al final, la evaluación de vulnerabilidades es solo una herramienta para que los especialistas cibernéticos estimen el posible impacto en el software, el cliente o el negocio. Pero no olvidemos que un impacto de seguridad de cualquier forma aún mancha la reputación y la integridad del propietario, y deja a los desarrolladores trabajando más tiempo en los errores del pasado en lugar de en las características futuras.
Itay Cheredman
Itay es investigador de seguridad en Sayfer. Le apasiona comprender e investigar los vectores de ataque y defensa que aparecen en las nuevas tecnologías emergentes.
¿Quieres escuchar más?
Una reunión de consultoría gratuita incluida.
