Hacking ètic: com prevenir els ciberatacs a la teva empresa

Hacking: l'ètica per bandera

Potser per això, moltes vegades, s'utilitza l'expressió de hacking ètic per referir-nos a quan aquests professionals de la seguretat informàtica tenen el permís d'una organització per fer comprovacions de la seva seguretat. L'objectiu d'aquestes proves és comprovar, precisament, com està la xarxa, quins són els punts forts i els febles dels sistemes per millorar la protecció i la seguretat de la informació.

Quan es duen a terme pràctiques de hacking ètic, s'estan posant en marxa les mateixes tècniques i pràctiques que faria un ciberdelinqüent per intentar trencar les mesures de protecció i endinsar-se, sense permís, en una xarxa o en un equip.

L'objectiu d'aquestes pràctiques és poder avançar-se a les possibles intencions dels pirates “dolents” i evitar que puguin assolir el seu objectiu d'atacar la nostra empresa i violar la nostra seguretat.

Diferents tipus de pirates

Per diferenciar aquests dos tipus de hacking, moltes vegades se sol fer referència als professionals com els del barret negre quan les seves intencions són malicioses. Mentre que els del barret blanc són els que tenen el vistiplau de l'organització contra la qual estan intentant descobrir els punts febles en la seguretat dels seus sistemes.

Pirates de barret negre i barret blanc

Per tant, els objectius i motivacions dels dos perfils són molt diferents. Mentre que els pirates de barret negre volen trencar la seguretat accedint a comptes i dades sense permís per robar dades valuoses i entrar en àrees de dades restringides, els de barret blanc pretenen millorar el marc de seguretat de les empreses i facilitar el desenvolupament d'estructures de seguretat sòlides, així com millorar els tallafocs i actualitzar i mantenir regularment els sistemes de seguretat.

Hi hauria un tercer grup de pirates, els de barret gris. A mig camí entre els autoritzats i els no autoritzats, aquest tipus de professionals es dediquen a explotar vulnerabilitats, però amb l'objectiu d'augmentar la consciència sobre aquests problemes. A diferència dels del barret negre, no tenen males intencions. Però tampoc s'adapten necessàriament a un codi d'ètica com ho fan els pirates de barret blanc.

Pirates ofensius

Però, a més, dins la seguretat, també se sol diferenciar entre diversos tipus d'equips. Així, doncs, el que es coneix com a “red team” (o equip vermell) està format per professionals que treballen en una capacitat ofensiva, fent-se passar en molts casos per un ciberatacant per tal d'avaluar el risc i les vulnerabilitats d'una xarxa o sistema en un entorn controlat. Aquest red team examina els possibles punts febles de la infraestructura de seguretat i també els llocs físics i les persones.

Pirates especialitzats en seguretat

D'altra banda, hi ha el “blue team” (equip blau), que treballa com a defensa dels serveis de seguretat. Aquests pirates coneixen els objectius empresarials i l'estratègia de seguretat de l'organització per a la qual treballen. Es dediquen a recopilar dades, documenten les àrees que necessiten protecció, fan avaluacions de risc i reforcen les defenses per evitar les bretxes. Normalment són els encarregats de potenciar algunes polítiques de seguretat més robustes, com contrasenyes més fortes, limitar l'accés al sistema, posar en marxa eines de supervisió i educar altres membres del personal.

Finalment, tot i que són menys freqüents, també podem localitzar els “purple team”, o equips porpra. Tal com deixa entreveure el seu nom, són una barreja dels dos anteriors. De fet, la seva missió és que tots dos equips (vermell i blau) treballin estretament perquè es retroalimentin i, amb això, s'incrementi encara més la seguretat de l'organització en general.

Per què fer hacking ètic

Pel fet de comportar-se com ho faria un atacant maliciós, dur a terme accions de hacking ètic permet avançar-se a possibles incidents, conèixer l'estat real de la nostra seguretat i millorar els punts susceptibles de ser corromputs amb facilitat.

Amb aquesta mena d'accions, una empresa pot saber quines vulnerabilitats veu un atacant en els seus sistemes, i quins d'aquests (amb la informació que tenen) són més fàcilment accessibles per tercers sense permisos per fer-ho, i conèixer l'abast d'un possible atac.

Amb tota aquesta informació, es podran posar els remeis perquè aquests atacs no es produeixin.