No entender estas importantes herramientas puede poner en riesgo a su empresa
Un proceso que a menudo se pasa por alto, pero es un proceso muy importante en el desarrollo de cualquier servicio orientado a Internet, es probarlo en busca de vulnerabilidades, saber si esas vulnerabilidades son realmente explotables en su entorno particular y, conocer cuáles son los riesgos de esas vulnerabilidades para su negocio. Estos tres procesos diferentes se conocen como evaluación de vulnerabilidad, prueba de penetración y análisis de riesgo. Conocer la diferencia es fundamental al contratar una empresa externa para probar la seguridad de su infraestructura o un componente particular de su red.
Pentesting, análisis de vulnerabilidades y análisis de riesgos son tres formas diferentes de probar sus sistemas en busca de vulnerabilidades. Examinemos estos en profundidad y veamos cómo se complementan entre sí.
¿Qué es un Análisis de Vulnerabilidades?
Estos análisis, también conocidos como evaluaciones de vulnerabilidades, suelen estar automatizados y dan una idea inicial de lo que posiblemente podría explotarse. Es el proceso de ejecutar herramientas automatizadas contra direcciones IP definidas o rangos de IP para identificar vulnerabilidades conocidas en el entorno. Las vulnerabilidades suelen incluir sistemas sin parches o mal configurados. Las herramientas utilizadas para ejecutar análisis de vulnerabilidades pueden ser versiones disponibles comercialmente o herramientas gratuitas de código abierto.
El propósito de un escaneo de vulnerabilidades es identificar las vulnerabilidades conocidas para que puedan ser reparadas, generalmente mediante la aplicación de parches proporcionados por el proveedor. Los análisis de vulnerabilidades son fundamentales para el programa de gestión de vulnerabilidades de una organización. Por lo general, los análisis se realizan al menos trimestralmente, aunque muchos expertos recomendarían análisis mensuales.
Es importante tener en cuenta que estos escáneres utilizan una lista de vulnerabilidades conocidas, lo que significa que ya son conocidos por la comunidad de seguridad, los piratas informáticos y los proveedores de software. Hay vulnerabilidades que son desconocidas para el público en general y estos escáneres no las encontrarán.
¿Qué es un Prueba de Penetración?
En resumen, las pruebas de penetración brindan una visión profunda de la seguridad de los datos de una organización y elevan la evaluación de la vulnerabilidad a un nivel diferente. Un buen probador de penetración toma el resultado de una evaluación de vulnerabilidad como el primer paso, luego sondea un puerto abierto y ve qué se puede explotar.
La principal diferencia es que se descubre la profundidad del problema y se descubre exactamente qué tipo de información podría revelarse. En realidad, el sistema está siendo penetrado, al igual que lo haría un pirata informático. Las pruebas de penetración se pueden realizar utilizando herramientas automatizadas, pero los probadores experimentados escribirán sus propios exploits desde cero.
Las pruebas de penetración se clasifican como pruebas de caja blanca o caja negra. Las pruebas de caja blanca se realizan con pleno conocimiento del Departamento de TI de la empresa de destino. La información se comparte con el probador, como diagramas de red, direcciones IP y configuraciones del sistema. El enfoque de caja blanca prueba la seguridad de la tecnología subyacente. La prueba de la caja negra representa de cerca a un pirata informático que intenta obtener acceso no autorizado a un sistema. El Departamento de TI no sabe que se está realizando una prueba y no se proporciona al evaluador información detallada sobre el entorno de destino. El método de caja negra de pruebas de penetración evalúa tanto la tecnología subyacente como las personas y procesos implementados para identificar y bloquear ataques en el mundo real.
De manera similar a un escaneo de vulnerabilidades, los resultados generalmente se clasifican por gravedad y explotabilidad con pasos de corrección proporcionados.
¿Qué es un Análisis de Riesgo?
Un análisis de riesgo a menudo se confunde con los dos términos anteriores, pero es una herramienta muy diferente. Un análisis de riesgo no requiere ninguna herramienta o aplicación de escaneo; es una disciplina que analiza una vulnerabilidad específica (como un elemento de línea de una prueba de penetración) e intenta determinar el riesgo, incluidos los financieros, de reputación, de continuidad del negocio, regulatorios y otros. – a la empresa si se aprovechara la vulnerabilidad.
Se consideran muchos factores al realizar un análisis de riesgo: activo, vulnerabilidad, amenaza e impacto en la empresa. Un ejemplo de esto sería un analista que intenta encontrar el riesgo para la empresa de un servidor que es vulnerable a Heartbleed.
El analista primero observará el servidor vulnerable, dónde se encuentra en la infraestructura de red y el tipo de datos que almacena. Un escaneo de vulnerabilidades no hace estas distinciones. A continuación, el analista examina las amenazas que probablemente aprovechen la vulnerabilidad, como el crimen organizado o personas con información privilegiada, y crea un perfil de capacidades, motivaciones y objetivos. Por último, se determina el impacto para la empresa, específicamente, ¿qué le pasaría a la empresa si una red del crimen organizado explotara la vulnerabilidad y adquiriera datos valiosos?
Un análisis de riesgo, cuando se complete, tendrá una calificación de riesgo final con controles de mitigación que pueden reducir aún más el riesgo. Luego, los gerentes comerciales pueden tomar la declaración de riesgo y los controles de mitigación y decidir si implementarlos o no.
¿Cual es mejor? ¿Prueba de penetración, análisis de vulnerabilidades o análisis de riesgos?
Los tres conceptos diferentes que se explican aquí no se excluyen entre sí, sino que se complementan. En muchos programas de seguridad de la información, las evaluaciones de vulnerabilidades son el primer paso: se utilizan para realizar barridos amplios de una red para encontrar parches faltantes o software mal configurado. A partir de ahí, se puede realizar una prueba de penetración para ver qué tan explotable es la vulnerabilidad o un análisis de riesgo para determinar el costo / beneficio de corregir la vulnerabilidad. Por supuesto, tampoco es necesario que realice un análisis de riesgos. El riesgo se puede determinar en cualquier lugar donde haya una amenaza y un activo. Puede ser un centro de datos en una zona de huracanes o documentos confidenciales en una papelera.
Es importante conocer la diferencia: cada uno es significativo a su manera y tiene propósitos y resultados muy diferentes. Asegúrese de que cualquier empresa que contrate para realizar estos servicios también sepa la diferencia.
Administrador
Leer más sobre el ‘8 conceptos erróneos sobre las pruebas de penetración’