¿Conoces nuestros servicios de Detección y Seguridad Ofensiva, basados en NIST CSF?

Coneixes els nostres serveis de Detecció i Seguretat Ofensiva, basats en NIST CSF?

26 febrer de 2025 Iñigo Ladrón Morales

A Zerolynx som experts en serveis professionals per a empreses en termes de ciberseguretat. Concretament a seguretat corporativa, ciberseguretat corporativa, intel·ligència corporativa, ciberintel·ligència corporativa i seguretat patrimonial.

Els nostres serveis s'alineen amb les recomanacions, frameworks i estàndards internacionals de ciberseguretat , més importants i reconeguts a nivell mundial. Per aquest motiu, tota la nostra oferta està basada en el framework del NIST (Institut Nacional d'Estàndards i Tecnologies dels Estats Units) i, en concret en la seva proposta de marc de ciberseguretat , conegut com el NIST Cybersecurity Framework (NIST CSF) .

Així, l'oferta de Zerolynx s'articula a través d'una àmplia gamma de serveis professionals que matxen amb cadascuna de les sis funcions del framework NIST CSF:

Identificació.
Protecció.
Detecció.
Resposta.
Recuperació.
Govern.

En aquest article, ens centrarem en l'oferta de serveis de Zerolynx, destinats a la detecció i seguretat ofensiva de les empreses en matèria de protecció davant d'amenaces , detecció de debilitats de seguretat i ciberseguretat.

La detecció és el pas inicial per conèixer l'estat de la seguretat corporativa i les seves debilitats o vulnerabilitats.

Si vols conèixer, analitzar i avaluar les capacitats de defesa davant atacs, de ciberdefensa davant ciberatacs de la teva empresa, aquests són els serveis que necessites. Aprèn a protegir els teus actius de manera efectiva.

Però, què és exactament la detecció ? Segons la RAE ( Reial Acadèmia de la Llengua Espanyola ) , és simplement “ l'acció i efecte de detectar ”, “ l'acció i efecte de localitzar, d'identificar, de descobrir ”.

Anant un pas més enllà i centrant-nos en la seguretat i la ciberseguretat de la informació, la detecció de vulnerabilitats i amenaces, consisteix a “l'acció i efecte de detectar, localitzar, identificar, o descobrir debilitats, vulnerabilitats o amenaces potencials que ens podrien afectar”.

Des d'aquesta definició, i en el marc de la ciberseguretat, per tant, s'entén que els components i factors essencials de la Detecció són els següents:

El descobriment que permet visibilitzar tant les debilitats com vulnerabilitats i possibles vectors d'atac.
La identificació de actius crítics.
La detecció de actius en risc.
La antelació que permet tenir aquest coneixement i actuar, abans que el tingui un atacant que pugui actuar.
L'establiment de tàctiques, tècniques i procediments (TTP) a aplicar en cas d'atac.
La actualització de les defenses existents i l'establiment de noves defenses, segons el que s'ha detectat.
El anàlisi d'impacte potencial.
La monitorització continua.

Les amenaces arribaran en qualsevol moment i des de qualsevol front, des del que menys ens esperem o sospitem, podent ser internes o externes. Per aquest motiu, hem d'estar preparats per detectar-les com més aviat millor.

Els nostres serveis i sistemes corporatius, tant interns com externs, així com els dels proveïdors i terceres parts, han d'estar auditats des del punt de vista de la detecció, havent “descobert” prèviament quins són els seus punts febles, i així podem actuar amb antelació.

Doncs bé, per això estem nosaltres. Per ajudar-te amb recursos, coneixement, capacitats, habilitats i activitats específiques d' intel·ligència i ciberintel·ligència en què som experts i amb què no comptes a la teva empresa.

Però, com funcionen i com es presten aquest tipus de serveis? Com els oferim des de Zerolynx perquè siguin el més efectius, eficients i beneficiosos per al teu negoci o empresa?

Ens posem a les sabates dels “nois dolents” (bad gyus) per provar diferents possibles escenaris d'atac. Sense afectar el vostre negoci, ni posar en risc la vostra organització, simulem atacs reals.
Amb els resultats derivats d'aquests atacs simulats, analitzem i valorem la probabilitat que succeeixin a la vostra organització, així com el impacte que tindria cadascun d'ells en cas de materialitzar-se.
Així mateix, visibilitzem els actius que podrien ser objectiu d'activitats malicioses (els prioritzant-hi els nivells de probabilitat, criticitat i risc potencial) i quins serien els principals vectors d'atac en el vostre cas.
Detectem les principals vulnerabilitats en els sistemes i serveis corporatius, així com els riscos que aquestes comporten.
Proposem les activitats personalitzades corresponents de mitigació de riscos.

Sabem que cada empresa és un món, amb diferents sectors dactivitat, diferents portfolis de serveis i/o productes, diferents necessitats, objectius i estratègies. Per aquest emotiu ens adaptem a la vostra empresa, a qualsevol tipus d'empresa, objectius i necessitats , oferint serveis de detecció totalment personalitzats a cada situació.

Així, en la prestació d'aquest tipus de serveis, establim diversos passos a l'hora de treballar:

Anàlisi personalitzada de la situació de l'empresa, necessitats existents i objectius prioritaris a cobrir.
Identificació i consens de necessitats i requisits.
Preparació d'una proposta de pla d'auditoria i detecció personalitzat.
En base a allò acordat, realitzem atacs reals/simulats a l'organització, durant un temps determinat.
Anàlisi de resultats.
Preparació i emissió de informes de les activitats del pla dutes a terme, del que s'ha detectat, i de les possibilitats de resolució del que s'ha detectat.
Presentació de resultats, conclusions i recomanacions d'actuació per a la mitigació de riscos.

Aquesta matèria és molt extensa i la nostra cartera de serveis de detecció , intel·ligència i ciberintel·ligència és tan àmplia que et deixem aquí un resum de tots ells:

Xarxa Team. Simulem ciberatacs reals a l'organització, les seves infraestructures, serveis, aplicacions, processos i persones, amb l'objectiu d'avaluar-la en matèria de ciberseguretat , coneixent-ne així les capacitats de detecció i, al mateix temps, com es comporta en la resposta davant d'incidents . D'aquest servei ja en parlem a l'article “ Red Team 2.0 ”.
Pentesting intern i extern. Els riscos generalment estan fora de l'organització, però també (i moltes vegades), es troben dins d'ella ( insiders ). Ens encarreguem d'analitzar i detectar tots els riscos que afectin l'empresa, tant a la part d'aquesta que es troba exposada a Internet amb serveis web, en línia o d'un altre tipus, com al que es troba dins d'ella (xarxa corporativa, dispositius, aplicacions, bases de dades, serveis interns, etc.). D'aquest servei ja en parlem als articles “ Saps què és un pentesting i com ajuda la teva empresa? ” i “ Red Team 2.0 ”.
Enginyeria Social. En la majoria de les ocasions, darrere de la majoria dels ciberatacs , i, generalment, en els que més èxit tenen, no es troba la tecnologia, ni sofisticats artefactes emprats pels ciberdelinqüents . Al contrari. Aquests al·ludeixen, cada cop més, a la vulnerabilitat humana , al hacking humà , al factor humà , tractant d'enganyar els usuaris perquè facin el que volen que facin (obrir o descarregar un fitxer, donar un accés, realitzar una transacció, etc. .). Aquests enganys solen emprar la psicologia, el phishing , la suplantació d'identitat i solen al·ludir sempre a la sensibilitat humana, per la qual cosa és complicat detectar-los i, especialment que els usuaris i empleats els detectin a temps i no facin les accions que se'ls sol·licita que facin. Doncs bé, us ajudem a conscienciar , educar , formar , capacitar i entrenar els vostres empleats perquè siguin capaços de fer-ho, mitjançant activitats de simulació d'atacs de phishing . D'aquest servei ja en parlem als articles “ Serveis d'awareness en ciberseguretat, tan importants com les eines de protecció ” i “ Com identificar i evitar el Phishing a correus electrònics ”.
Hacking sobre Xarxes Wireless (WiFi). Segur que a l'oficina teniu una o diverses WiFi corporatives que utilitzen tant els empleats. I, a més, segur que teniu algunes WiFi per a convidats. Però, són segures? Per comprovar-ho, ens encarregarem de revisar totes les xarxes WiFi corporatives, auditant-les des del punt de vista de la seguretat integral, evidenciant els vostres possibles debilitats, errors , vulnerabilitats, o forats de seguretat, perquè els pugueu corregir.
Auditoria de Seguretat Web. El més habitual és que el teu negoci tingui una web corporativa i fins i tot més d'una si les teniu localitzades per sectors, tipus de productes o serveis que oferiu, etc. A més, és probable que també compteu amb una botiga en línia i fins i tot amb serveis en línia per als vostres clients, usuaris, o per a vosaltres mateixos. Aquestes podran comptar amb forats de seguretat que permetrien a un atacant fer una explotació de vulnerabilitats que afectés l'organització, amb accessos no autoritzats, lectura de bases de dades, exfiltració d'informació confidencial, etc. Deixeu-ho a les nostres mans. Analitzarem tots els vostres serveis online, aplicacions, web i botiga per trobar vulnerabilitats, emprant-ho el framework OWASP.
Auditoria de Seguretat d'Aplicacions Mòbils. Segur que molts dels empleats de l'organització utilitzen un smartphone corporatiu i, fins i tot, més d'un, el seu propi mòbil personal ( BYOD – Bring Your Own Device ), i fins i tot tablets, per a temes laborals. Aquests, només pel sol fet de comptar són programari, sistemes operatius i aplicacions (Apps), són un altre focus de vulnerabilitats i, per tant, un vector d'atac habitual que heu d'assegurar. Deixeu-ho a les nostres mans. Analitzarem tots els vostres dispositius mòbils per trobar-hi, en els seus sistemes operatius i Apps, vulnerabilitats que us puguin afectar, utilitzant el framework OWASP Mobile . D'aquest servei ja en parlem a l'article “ Introducció al pentesting d'aplicacions mòbils sense morir en l'intent ”.
Auditoria de Seguretat IIoT (Internet Industrial de les Coses). Treballeu amb serveis i dispositius IoT (Internet of Things / Internet de les Coses) i/o IIoT (Internet Industrial de les Coses)? Els manteniu segurs? Deixeu-ho a les nostres mans. Nosaltres ho comprovem per vosaltres fent pentests sobre les vostres infraestructures ICS per a detectar vulnerabilitats i avaluar la seva resiliència davant ciberatacs externs i interns.
Auditoria de Seguretat de la Infraestructura Cloud. Segur que compteu amb serveis al núvol, propis o de tercers. Teniu la certesa que són segurs i que n'és segur l'ús? Nosaltres ens ocupem, analitzant els possibles riscos a què podrien, tant si es tracta de serveis IaaS (Infrastructure as a Service) , com PaaS (Platform as a Service) , com SaaS (Software as a Service) , com si es tracta de serveis al núvol de tercers ( AWS , Azure , etc.). D'aquest servei ja en parlem a l'article “ Anàlisi de riscos de ciberseguretat en entorns cloud ”.
Auditoria de Codi Font. La vostra empresa, es dedica al desenvolupament de programari ? A la vostra organització, desenvolupeu les vostres pròpies aplicacions? Segur que hi sou molt bons, però és segur el codi font que genereu? Esbrinem-ho i millorem-ho en aquest sentit. T'ajudem a aconseguir-ho, auditant el codi font de les vostres aplicacions mitjançant anàlisis automàtics i manuals. Amb els resultats obtinguts, us proposarem les millores més adequades per solucionar els problemes de seguretat que detectem. D'aquest servei ja en parlem a l'article “ Seguretat en el cicle de vida del programari ”.
Auditoria de Directori Actiu. Sigui quin sigui al sistema operatiu i/o servei que utilitzeu, segur que a la vostra organització treballeu amb Active Directory perquè els empleats puguin identificar-se i fer ús dels recursos de xarxa que necessiten, de forma personalitzada. Aquest també podria ser un altre objectiu i vector d'atac que et podem ajudar a securitzar millor, mitjançant l'avaluació de seguretat del Directori Actiu. A més, revisarem els comptes de domini , les polítiques de seguretat, les configuracions i el seguiment de bones pràctiques ( Sysvol , Laps , Krbtgt , etc.). D'aquest servei ja en parlem a l'article “ Auditoria bàsica de ciberseguretat a un domini Microsoft ”.
Enginyeria Inversa i Hardware Hacking. La vostra empresa, es dedica a la fabricació i programació de hardware? A la vostra organització, desenvolupeu els vostres propis “ferros”? Teniu una infraestructura de maquinari que us interessaria auditar? Us dediqueu al desenvolupament de programari? Desenvolupeu les vostres pròpies aplicacions? Segur que hi sou molt bons, però és segur el codi font que genereu? Deixa'ns ajudar-vos a esbrinar-lo i millorar-lo trobant possibles fallades de ciberseguretat mitjançant la enginyeria inversa de les vostres aplicacions i actius maquinari.
Hacking a Sistemes Bancaris. Si teniu una botiga en línia, o si el vostre negoci és un comerç , una entitat bancària, una entitat financera, o si realitzeu transaccions bancàries de pagament, cobrament i/o compravenda, us podem ajudar a avaluar ciberseguretat dels dispositius i sistemes bancaris com caixers, TPVs o passarel·les de pagament .
Simulació de Ransomware. És probable que ja hàgiu rebut algun ransomware o intent de cibersegrest de la vostra informació, sobre la qual, després d'haver estat xifrada us demanen un rescat econòmic per recuperar-la. I si no, arribarà. En aquest cas, sabeu si esteu preparats i si la vostra empresa suportaria un ciberatac com aquest ? Vegem-ho simulant el comportament maliciós de actors de ransomware per avaluar la capacitat de l'organització per enfrontar-se i superar aquest tipus de amenaces (avaluació de resiliència / ciberresiliència ).
Proves de Denegació de Serveis (DoS) i de Denegació de Servei Distribuït. Segur que compteu amb una enorme, potent, robusta, forta i segura infraestructura TIC des del punt de vista de protecció. Però, suportareu qualsevol tipus de càrrega? Quin és el límit de peticions que podria aguantar? Podríeu llençar-la fàcilment o amb un número concret de peticions simultànies? Si això succeís, es podria produir una denegació de serveis? Vegem-ho, simulant atacs DoS i DDoS, fent servir els mateixos mecanismes que utilitzen els ciberdelinqüents (avaluació de resiliència / ciberresiliència).