¿Conoces al equipo rojo de Fluid Attacks?
Detecta oportunidades desde el código de tu nuevo aplicativo con Fluid Attacks y cierra la puerta a todas las vulnerabilidades.
En el mundo de la ciberseguridad hay dos equipos: los rojos que atacan y los azules que defienden. Pese a lo cerrado del concepto, no todos los equipos rojos son malos, pues en el mercado del hackeo ético hay varias empresas que atacan con el propósito de encontrar vulnerabilidades en los clientes.
Equipos rojos como Fluid Attacks trabajan para detectar y enumerar los detalles de las vulnerabilidades que encuentra, eliminar la barrera de entendimiento de los informes de manera que el equipo de seguridad del cliente ponga manos a la obra y la cierre.
Después vuelven a atacar para para verificar que esa puerta esté completamente cerrada, ver si cabe la posibilidad de que sea reabierta, o si en el proceso de cierre se inyectó una nueva vulnerabilidad.
Mauricio Gómez, cofundador de Fluid Attack, sugirió que todas las empresas que utilicen tecnología para entregar sus servicios, independientemente de su tamaño y vertical deben hacer constantemente pruebas de vulnerabilidades.
Algunas organizaciones, por ejemplo, las del sector financiero, tienen que hacerlas constantemente por temas regulatorios, lo mismo las empresas con participación europea regidas por GDPR.
El partido entre uno y otro equipo termina cuando el cliente cierra las vulnerabilidades, aunque ese no es trabajo ni de Fluid Attack ni de ningún otro equipo rojo.
El directivo sabe que en la práctica hay vulnerabilidades cuyos costos no se pueden resolver, por lo que las empresas ponen códigos anexos para combatirlos; cuando eso se reproduce muchas veces el cliente termina con un monstruo de infraestructura.
“El código fuente debería protegerse por sí mismo; no debe contener secretos” subrayó el ejecutivo.
Dos maneras de llegar al cliente
Fluid Attacks empezó hace 20 años en el mercado regional haciendo pruebas de seguridad y hackeo ético. Desde hace un lustro, construyó una solución para detección temprana de vulnerabilidades, justo para el momento de la construcción del software.
En la medida que se construye la aplicación, esta plataforma de nombre Machine la pone a prueba, para que el proceso de remediación de esas vulnerabilidades también quede resuelto antes de que el aplicativo se lleve al mercado.
“Nosotros hacíamos bien nuestro trabajo: atacar, atacar, atacar, entregábamos el reporte puntualmente, pero el cliente se angustiaba y no podía solucionar”, señaló.
Cuando Fluid Attacks empezó a trabajar con Machine, mejoró en los clientes las tasas de remediación; hoy la empresa tiene tasas de entre 91 y 93%.
La plataforma también maneja el ciclo de vida de las vulnerabilidades, y en ocasiones las abre para estudiarlas mejor.
Su tecnología basada en Inteligencia ArtificialEs la combinación de algoritmos planteados con el propósito de crear máquinas que presenten las mismas capacidades que el ser humano. Fuente: opensource.org detecta en grandes porciones de código fuente, la zona con mayor probabilidad de encontrar vulnerabilidades.
También cuenta con módulos de reportes de evidencias, y manejo del ciclo de vida de la vulnerabilidad. Asimismo, permite hacer pruebas estáticas y dinámicas.
En el proceso de detección intervienen metodologías ágiles como DevOps que inyecta una dinámica distinta, cuando el desarrollador escribe el código Fluid Attacks lo compila y verifica si esa vulnerabilidad está reportada o no, y no permite que se promueva ese paquete hasta que no esté solucionado.
Este modelo de trabajo le permite a los clientes construir tecnología de calidad.
Una segunda vía de llegar al mercado es a través del servicio Squad, que incluye la suite de Machine y el talento de 88 hackers éticos que trabajan en conjunto con el cliente haciendo detección, ataques y contrataques.
Si el cliente quiere una prueba puntual se determina cual es la superficie de ataque, cuantos puertos abiertos tiene, cuantos campos tienen las aplicaciones, qué tanta línea de código existe y con base en eso determinan el costo de esa prueba.
Hackeo como servicio
Cuando el cliente toma un informe y trata de entenderlo desperdicia tiempo entre saber si es una vulnerabilidad es real o no; el servicio agiliza la detección de falsos positivos, pero también de falsos negativos u omisiones, es decir, vulnerabilidades que no fueron vistas.
Con el servicio Squad, el cliente obtiene tasas de falsos negativos y falsos positivos del 90%, es decir, Fluid Attacks es capaz de encontrar 90 de cada 100 vulnerabilidades. En el mercado las tasas más cercanas son del 50%.
Este servicio está abierto clientes con repositores de código en donde Fluid Attack implementa el servicio.
El cobro se hace con base en el número de desarrolladores que escribe código al mes, aunque sugiere al cliente contratos anuales.
Te interesa leer: Arranca en junio Academia de Hackers
Hacen falta talento en ciberseguridad
Los equipos rojos necesitan capital humano, si bien, Fluid Attacks tiene 88 colaboradores, necesitan crecer esa plantilla
De acuerdo con Gómez, lamentablemente la formación de hackers no viene de las Universidades, sino que surge por personas a las que les gusta investigar. Es por eso que, cuando Fluid Attacks encuentra talento los someten a un proceso de inmersión o madurez pagado por el fabricante, después pasa a la nómina de la compañía.
Correo de contacto: mgomez@fluidattacks.com Fluid