Tomar una decisión sobre una nueva herramienta de Ciberseguridad nunca resulta fácil, sobre todo cuando no tenemos claro cómo compararla con los productos competidores. Es muy tentador introducir en Google “producto versus producto” para ver cuál es el que destaca como claro favorito.
De hecho, en ocasiones podemos encontrarnos con que dos productos se han agrupado erróneamente, ya que no compiten realmente, sino que se encuentran en categorías diferentes. Ese es el caso de Core Impact y Cobalt Strike.
En este artículo vamos a explicar sus diferentes finalidades, qué papeles desempeñan en los programas de gestión de vulnerabilidades y por qué son todavía mejores cuando se usan en conjunto.
Pentesting con Core Impact
El pentesting se utiliza para evaluar los posibles riesgos que corren los sistemas de una organización o los usuarios finales. Imitando las tácticas de los atacantes reales, estas pruebas permiten revelar y explotar los puntos débiles de la Seguridad para determinar si un entorno resulta vulnerable. Conocer el grado de acceso que una amenaza puede alcanzar al utilizar estos puntos débiles permite establecer una gestión más inteligente de los riesgos.
Core Impact es una herramienta de pentesting que ha sido diseñada para simplificar el trabajo mediante la automatización y la centralización. Las pruebas rápidas de penetración (RPT) cuentan con asistentes paso a paso para llevar a cabo tareas como la recopilación de inteligencia, el ataque y el movimiento a través de la infraestructura de la red, los endpoints, la web y las aplicaciones.
Estas RPT resultan perfectas para testers de todos los niveles. Los principiantes pueden familiarizarse con las técnicas de las pruebas de penetración y los usuarios avanzados se pueden centrar en los problemas más complejos mediante la automatización de tareas rutinarias.
Además, Core Impact permite orientar la remediación gracias a sus funcionalidades de repetición de las pruebas y la generación automática de reportes en los que se detallan tanto la eficacia de los mecanismos defensivos como el nivel de riesgo de las vulnerabilidades.
Simulación de adversarios con Cobalt Strike
Ahora que sabemos qué hace Core Impact, ¿en qué se diferencia de Cobalt Strike?
Ante todo, Cobalt Strike no es una herramienta para llevar a cabo pruebas de penetración. Pero ambas soluciones se utilizan para evaluar la Ciberseguridad y presentan características comunes, lo cual da lugar a cierta confusión. Sin embargo, incluso estas características comunes presentan sus propias funcionalidades en cada herramienta.
Cobalt Strike se utiliza para llevar a cabo ejercicios de simulación de adversarios y red teaming. Aunque las pruebas de penetración utilizan técnicas de ciberataques para introducirse o acceder a privilegios en un entorno informático, no están diseñadas para imitar un ataque. Mientras que estas pruebas tienen un alcance bien definido, los atacantes intentan alcanzar su objetivo por cualquier medio y no renuncian a ningún movimiento. Los ejercicios del equipo rojo están diseñados para simular un ataque real en el que este equipo asume el papel ofensivo de una amenaza. Y esto incluye intentar evitar ser detectado, eludir o vencer los controles de Seguridad y esquivar al propio equipo de Seguridad —el equipo azul— de la organización.
Cobalt Strike es una herramienta avanzada que facilita los ejercicios del equipo rojo mediante la emulación de una amenaza silenciosa y de larga duración alojada en la red informática. El agente Beacon se puede utilizar en tareas postexplotación, como ejecutar scripts de PowerShell, registrar pulsaciones de teclas, realizar capturas de pantalla o generar otros payloads, y todo ello sin ser detectado. Al igual que Core Impact,
Cobalt Strike permite elaborar reportes para sintetizar y analizar los datos, de modo que la organización pueda determinar más fácilmente qué áreas necesitan mejoras.
Funcionalidades de interoperabilidad entre Core Impact y Cobalt Strike
Que Core Impact y Cobalt Strike estén especializados en diferentes tipos de evaluaciones de Seguridad no significa que no puedan o no deban utilizarse juntos. De hecho, cuando se cuenta con ambas herramientas es posible implementar Beacon desde Core Impact.
Beacon es un payload de Cobalt Strike para diseñar atacantes avanzados y gestionar tareas postexplotación. Por ejemplo, los usuarios pueden iniciar su simulación obteniendo un primer acceso desde Core Impact. Y a partir de ahí, pueden continuar con las actividades postexplotación generando un Beacon de Cobalt Strike.
Esta interoperabilidad ilustra cómo se pueden mejorar fácilmente los programas de gestión de vulnerabilidades. Las organizaciones suelen empezar con escaneos directos para detectar las vulnerabilidades en su entorno. Las pruebas de penetración son el siguiente paso en la evaluación de la Seguridad, ya que permiten analizar los riesgos de tales vulnerabilidades.
El trabajo del equipo rojo permite utilizar la gestión de las vulnerabilidades para crear un programa que tenga en cuenta todo el entorno. Core Impact no solo puede funcionar con Cobalt Strike, sino que también se integra con escáneres de vulnerabilidades, de modo que mejora su detección. En vez de utilizar tres soluciones incompatibles, las organizaciones pueden optimizar sus ejercicios de Seguridad mediante el uso de soluciones que funcionan coordinadamente.
El futuro de la Ciberseguridad: pasar de competir a complementarse
Lamentablemente, no existe la panacea en materia de Ciberseguridad. Por el contrario, las organizaciones deben implementar un portfolio de soluciones que les permita cubrir todas sus necesidades en materia de prevención, detección y respuesta.
Ahora bien, que Core Impact y Cobalt Strike sean dos herramientas preventivas no significa que haya que elegir entre una u otra. De hecho, las soluciones de Ciberseguridad no deben evaluarse, por lo general, de forma aislada. Por este motivo, resulta fundamental considerar y elegir herramientas basadas en la compatibilidad con las soluciones ya existentes y en su grado de adaptación al programa general de ciberseguridad.
Gracias a su enfoque especializado, a su interoperabilidad y a la vista del precio del paquete, Core Impact y Cobalt Strike funcionan tanto individualmente como en conjunto. En última instancia, lo importante es recordar que la única competencia que debería preocuparnos es la interminable batalla contra los ciberataques.
Por qué combinar Core Impact con Cobalt Strike
Vea este video para conocer más sobre la importancia de combinar Core Impact con Cobalt Strike para reforzar su programa de Seguridad y poder estar un paso por delante de los hackers.