Fluid Attacks, los hackeos éticos para detectar vulnerabilidades

Desde 2001, en Fluid Attacks desarrollaron soluciones en servicios de seguridad para clientes en industrias como la bancaria y la financiera, y de tecnología, salud, seguros, manufacturas, aerolíneas y medios, sirviendo a organizaciones en todo el continente.

Los servicios de Fluid Attacks permiten a sus clientes trabajar a velocidad DevOps sin preocuparse por falsos positivos. El propósito de la compañía es encontrar todas las vulnerabilidades en los sistemas y reportarlas lo más pronto posible. El equipo, de más de 70 expertos en seguridad, con el mejor talento de la región, y desarrollando su propia tecnología, trabaja en conjunto con su organización para asegurar que las vulnerabilidades de su sistema sean identificadas y cerradas.

Felipe Gómez, LATAM Manager de Fluid Attacks comenta: ‘Hemos detectado que muchas empresas cuentan hoy en día solamente con herramientas automáticas dentro sus esquemas para detectar las vulnerabilidades de seguridad en sus sistemas. Esto significa que están en peligro de sufrir ataques cibernéticos’.

‘Hoy existe en el mercado una brecha de oferta y demanda de especialistas en ciberseguridad, específicamente en equipos rojos, que son quienes atacan sistemas para encontrar sus vulnerabilidades. Esto, sumado a la acelerada evolución de la tecnología, hace que algunas compañías se inclinan por adquirir herramientas que detectan de forma automática las vulnerabilidades en el software, y que pueden procesar grandes cantidades de información en tan solo unos minutos o un par de horas como mucho’.

El principal problema al que se enfrentan las empresas que utilizan herramientas de detección automática de vulnerabilidades es la incapacidad de dichas herramientas para hackear. Los múltiples fallos o debilidades relacionados con seguridad en los sistemas informáticos son de tan variable complejidad, que aún la tecnología no es capaz de detectar muchos de ellos.

Una gran dificultad que presenta este tipo de herramientas automáticas es los denominados falsos positivos. Estos se dan cuando las herramientas reportan la existencia de vulnerabilidades en seguridad, y, al realizarse su verificación por parte de los equipos de desarrollo, se descubre que dichas vulnerabilidades son inexistentes. Estas falsas alarmas o mentiras, que los equipos de ciberseguridad reciben diariamente, pueden ser abrumadoras y constituir una gran pérdida de tiempo al tratar de verificarlas.

Continua Felipe: ‘Debido a los falsos positivos y a los falsos negativos (también conocidos como fugas), en los próximos años la industria de ciberseguridad va a seguir dependiendo y necesitando de la intervención humana como recurso estratégico. Los analistas de seguridad o hackers éticos omiten menos vulnerabilidades en los sistemas, siendo más precisos y logrando correlacionar vulnerabilidades para lograr ataques de mayor complejidad, elemento del que hoy carecen las herramientas automáticas’.

‘Por lo tanto, la precisión contribuye a que las compañías conozcan el riesgo que corre el negocio al tener al aire aplicaciones o sistemas con vulnerabilidades presentes y consecuentemente asignen los recursos necesarios para resolver estos problemas de seguridad’.

El ejecutivo finaliza explicando: ‘Otra gran dificultad en la tecnología de detección de problemas de seguridad en los sistemas es la presencia de tasas de fugas del 75%. Esto quiere decir que estas herramientas no son capaces de identificar 7.5 de 10 vulnerabilidades presentes en un sistema. Incluso, algunas pueden llegar a reportar tasas de fugas de hasta un 99%. Como consecuencia, se genera falsa sensación de seguridad dentro de las organizaciones, ya que no conocen la existencia de todo el universo de vulnerabilidades en sus sistemas. Por el contrario, dichas tasas de fugas en hackers capacitados suelen estar alrededor del 5%, lo que indica que los humanos tienden a equivocarse menos al buscar vulnerabilidades’.

Un proceso que encuentre todas las vulnerabilidades en un sistema puede ser veloz y preciso combinando herramientas automáticas y equipos de hackers éticos especializados, al utilizarse así una mayor variedad de estándares y metodologías de búsqueda.

 

Salir de la versión móvil