¿Pentesting ó análisis de vulnerabilidades?
Es frecuente percibir la confusión acerca de las pruebas pentesting, es decir, qué es, en qué se diferencia de las evaluaciones de vulnerabilidad y cuáles son los mejores casos de uso. El entorno de amenaza cibernética es dinámico y está en constante evolución. Hay nuevas vulnerabilidades descubiertas a diario. Los ataques se están volviendo más sofisticados, se están volviendo más complejos y vuelan bajo el radar de las tecnologías de detección tradicionales.
El entorno de una organización tampoco es estático. Las compañías introducen nuevos equipos de red, traen nuevas personas, se involucran con nuevos proveedores de terceros, etc., y la seguridad debe ser una consideración en cada cambio realizado. Es por eso que la ciberseguridad tiene que ser un proceso administrado, donde las empresas deben evaluar, remediar y hacer un seguimiento constante de lo que funciona y lo que no.
La evaluación periódica de su entorno desde una perspectiva interna y externa debería ser una parte integral de su proceso de evaluación, incluido el realizar evaluaciones de vulnerabilidad y pruebas de penetración. Desafortunadamente, hay una idea errónea de que estos compromisos son sinónimos. Es común escuchar los términos usados indistintamente, cuando en realidad son compromisos muy diferentes.
Es imperativo que comprenda las diferencias entre ellos, para que pueda seleccionar cuál es el más apropiado para su organización en un momento dado. Aquí hay cuatro diferencias a tener en cuenta.
OBJETIVO
El objetivo de una EVALUACIÓN DE VULNERABILIDAD es identificar las debilidades conocidas en su entorno. Puede proporcionarle información importante, incluidos parches no aplicados, versiones de software vulnerables y brechas en los controles de red, como los firewalls.
Un PENTESTING simula un ataque del mundo real y prueba sus controles defensivos existentes. Va más allá de la identificación de vulnerabilidades, al intentar explotar las vulnerabilidades encontradas y realizar pruebas manuales para obtener acceso a los sistemas / datos confidenciales. Las pruebas manuales generalmente encuentran vulnerabilidades que las herramientas automatizadas no pueden encontrar.
HERRAMIENTAS
Las evaluaciones de vulnerabilidad se realizan principalmente mediante herramientas de exploración automatizadas, como Nessus, Qualys u OpenVas, que son paquetes de software estándar.
Un pentesting completo es en su mayoría un proceso manual (aunque a menudo se realiza una exploración de vulnerabilidad durante la fase de reconocimiento del pentesting). Existen herramientas comerciales para el pentesting, incluyendo Metasploit y CoreImpact, sin embargo, los pentesters o hackers éticos calificados con un alto nivel de experiencia escriben sus propias herramientas y scripts según sea necesario de acuerdo al entorno en que se encuentren.
ENTREGABLES
Después de una evaluación de vulnerabilidad, normalmente se le proporciona una lista de las vulnerabilidades conocidas encontradas durante el análisis, priorizadas por la gravedad y / o estándares comerciales. Un informe de escáner estándar podría tener cientos de páginas y probablemente incluirá falsos positivos. Algunos proveedores, proporcionan informes más consolidados, más fáciles de navegar y se centra más en su uso práctico y no en la gran cantidad de vulnerabilidades informadas.
Los resultados de un pentesting también proporcionarán información sobre vulnerabilidades, clasificadas por gravedad, con recomendaciones de remediación, sin embargo, también incluirán los pasos tomados para explotar una vulnerabilidad. En el caso del Grupo Oruss, los informes brindan los pasos que realizamos, los ejemplos utilizados para aprovechar la vulnerabilidad y evidencia de la explotación de vulnerabilidades, con el fin de obtener todos los detalles y comprender mejor cómo un atacante podría violar sus defensas. También podemos proporcionarle un plan de acción para que lo utilice para asignar y hacer un seguimiento de los hallazgos individuales hasta que el riesgo haya sido remediado.
Nivel de conocimiento, habilidad, experiencia.
Debido a que la prueba es en su mayoría automatizada, se necesita muy poca habilidad para realizar una evaluación de vulnerabilidad.
En el caso del pentesting, el conocimiento, la habilidad y la experiencia de quién la realiza la prueba está directamente relacionada con el valor que los resultados le proporcionarán. La educación continua es un elemento fundamental para garantizar las pruebas de calidad y existen varias credenciales profesionales para pentesters, entre los que se encuentran el Hacker Ético Certificado (CEH), Certificado Profesional de Seguridad Ofensiva (OSCP), Pentester de Aplicaciones Web GIAC (GWAPT), Investigador de Explotaciones GIAC y el Probador de Penetración Avanzada (GXPN).
Entonces, ¿Cuál ejercicio es el más adecuado para mi organización?
En resumen, ambos son componentes críticos de un proceso de administración de amenazas y vulnerabilidades, pero en ciertos casos uno puede ser más apropiado que el otro.
Una evaluación de vulnerabilidad ofrece amplitud sobre la profundidad. Le indica dónde están algunas de sus debilidades y cómo solucionarlas. Las evaluaciones de vulnerabilidad son ideales para las pruebas periódicas entre los trabajos de pruebas de penetración y como una verificación rápida cuando se realizan cambios en el medio ambiente. Se puede ejecutar una evaluación de vulnerabilidad dirigida cuando se anuncia una nueva vulnerabilidad crítica para identificar la exposición de las organizaciones. Las organizaciones que recién comienzan a pensar en la ciberseguridad o con un programa de ciberseguridad en desarrollo que les gustaría obtener una comprensión básica de sus vulnerabilidades actuales podrían comenzar su programa con evaluaciones de vulnerabilidad.
Un ejercicio de pentesting ofrece profundidad sobre la amplitud y brinda el gran panorama. Le indica si alguien puede explotar sus debilidades para ingresar, y si es así, a qué información puede acceder. Por ejemplo, como por medio de una falencia en desarrollo, un atacante podría obtener su base de datos de usuarios del sitio web o aplicación móvil.
Una mirada más cercana a las pruebas de penetración -PENTESTING-
La prueba de penetración -pentesting- es un tipo de prueba de seguridad que se utiliza para probar la inseguridad de un entorno de la empresa. Ya sea una aplicación o un entorno de red, también intenta explotar las vulnerabilidades para determinar si es posible el acceso no autorizado u otra actividad maliciosa. Si un sistema no está protegido, cualquier atacante puede interrumpir o tener acceso autorizado a ese sistema.
Hay varios tipos de pruebas de penetración:
- Pruebas de penetración PCI
- Pruebas de penetración de red
- Aplicación de Pruebas de Penetración
- Pruebas de penetración inalámbrica
- Pruebas de Penetración de Infraestructura
Las pruebas de penetración son una característica esencial que debe realizarse con regularidad para garantizar el funcionamiento de un sistema. Además de esto, debe realizarse siempre que:
- El sistema de seguridad descubre nuevas amenazas por parte de los atacantes.
- Se agrega una nueva infraestructura de red.
- Actualiza su sistema o instala nuevo software.
- Usted se traslada a su oficina.
- Usted configura una nueva política / programa para el usuario final.
Muchos clientes tienen suposiciones incorrectas sobre las pruebas de penetración. A menudo programan este tipo de proyecto bajo falsas expectativas, tales como:
- Después de una prueba de penetración, la empresa estará a salvo.
- Una prueba de penetración encontrará todas mis vulnerabilidades en su entorno.
- Una sola prueba de penetración es suficiente para futuros negocios.
Cada organización funciona de una manera diferente y el valor de realizar una prueba de penetración varía en cada caso. Algunas empresas pueden administrar la seguridad de TI de una manera diferente a otras y por lo tanto, una prueba de penetración puede ser relevante de diferentes maneras. Sin embargo, es posible encontrar algunos puntos en común, que casi con seguridad se aplicarán a todas las organizaciones:
Administrar el riesgo adecuadamente
Para muchas organizaciones, uno de los beneficios más populares de las pruebas de penetración es que le brindará una línea de base sobre la cual trabajar para curar el riesgo de una manera estructurada y óptima. Una prueba de penetración le mostrará la lista de vulnerabilidades en el entorno objetivo y los riesgos asociados con ella. Se realizará una evaluación de alto nivel del riesgo para que las vulnerabilidades puedan informarse como problemas de alto / medio / bajo riesgo. El seguimiento al riesgo lo ayudará a enfrentar primero los riesgos más altos, y luego otros.
Aumentar la continuidad del negocio
La continuidad del negocio es la principal preocupación para cualquier organización exitosa. Una ruptura en la continuidad del negocio puede ocurrir por muchas razones. La falta de lagunas de seguridad es una de ellas. Los sistemas inseguros sufren más infracciones en su disponibilidad que los seguros. En la actualidad, otros atacantes son contratados por otras organizaciones para detener la continuidad de los negocios mediante el aprovechamiento de las vulnerabilidades para obtener el acceso y producir una condición de denegación de servicio que generalmente bloquea el servicio vulnerable y rompe la disponibilidad del servidor.
Proteger a los clientes, socios y terceros
Una violación de la seguridad puede afectar no solo a la organización objetivo, sino también a sus clientes asociados, socios y terceros que trabajan con ella. Sin embargo, si la empresa programa regularmente una prueba de penetración y toma las medidas necesarias para la seguridad, ayudará a los profesionales a crear confianza en la organización.
Ayuda a evaluar la inversión de seguridad
Las pruebas de penetración ayudan a tomar una fotografía de la postura de seguridad actual y la oportunidad de identificar posibles puntos de infracción. La prueba de penetración nos dará una visión independiente de la efectividad de los procesos de seguridad existentes, asegurando que las prácticas de administración de la configuración se hayan seguido correctamente. Esta es una oportunidad ideal para revisar la eficiencia de la inversión de seguridad actual. Lo que se debe mejorar, lo que funciona, lo que no funciona y la cantidad de inversión necesaria para crear un entorno más seguro en la organización.
Ayuda a proteger las relaciones públicas y protege la reputación de tu empresa
Una buena relación pública y la reputación de la empresa se construyen después de muchos años de lucha, trabajo duro y con una gran cantidad de inversión. Esto puede cambiar repentinamente debido a una sola violación de seguridad. El punto de vista del público para una organización es muy sensible a los problemas de seguridad y puede tener consecuencias destructivas que pueden tardar años en repararse. Entonces, si se realiza una prueba de penetración adecuada de manera regular, podemos crear un muro sólido para los atacantes no autorizados que siempre intentaron penetrar y obtener acceso en cualquier organización.
Protección contra daños financieros
Una simple violación del sistema de seguridad puede causar daños de millones de dólares. Las pruebas de penetración pueden proteger a su organización de tales daños.
Cumplir con la normativa o certificación de seguridad.
PCI DSS dirige las pruebas de penetración a los sistemas relevantes realizados por probadores de penetración calificados. La sección de cumplimiento de la norma ISO27001 requiere que los gerentes y propietarios de sistemas realicen revisiones de seguridad y pruebas de penetración periódicas, realizadas por evaluadores competentes.
Ayuda a probar la capacidad de defensa cibernética.
Durante una prueba de penetración, el equipo de seguridad de la empresa objetivo debe poder detectar múltiples ataques y responder en consecuencia a tiempo. Además, si se detecta una intrusión, los equipos de seguridad y forenses deberían iniciar las investigaciones, y deberían lograr bloquear los pentesters y eliminar sus accesos. La efectividad de sus dispositivos de protección como IDS, IPS o WAF también se puede probar durante una prueba de penetración. Muchos de los ataques deben detectarse automáticamente, deben generarse alertas y las personas dedicadas deben actuar de acuerdo con los procedimientos internos establecidos en la empresa.
Para concluir.
La seguridad debe ser tratada con un enfoque holístico. Las empresas que solo evalúan la seguridad de sus servidores corren el riesgo de ser atacadas por ataques del lado del cliente que explotan vulnerabilidades en software como navegadores web, lectores de pdf, etc. Es importante asegurarse de que los procesos de administración de parches funcionen correctamente, actualizando el sistema operativo y aplicaciones de terceros.
El Grupo Oruss cuenta con pentesters a nivel internacional de alto nivel y conocimiento, respaldados con certificaciones y años de experiencia. Puede contactarnos para brindarle una asesoría inicial gratuita.
As seen in https://www.linkedin.com/in/romanclavijo/
