calendario de pruebas de penetración

Los 10 mitos principales sobre las pruebas de penetración

Un mito se define como un fenómeno o una idea o creencia generalizada que suele ser incorrecta. Cuando piensa en análisis de seguridad y en pruebas de penetración, es posible que tenga algunas creencias que pueden estar equivocadas.

Por ejemplo, hace años todo el mundo pensaba que si te llamaban hacker eras un tipo malo. Ahora, ese no es el caso. Con sombreros blancos, sombreros grises y cosas por el estilo, muchas personas en estos días escuchan el término hacker y saben que no siempre es algo malo.

Dicho esto, hay personas que creen cosas como, “Las pruebas de penetración protegerán mi organización o proporcionarán una cantidad adecuada de seguridad”. Eso es falso. Las pruebas de penetración ayudarán a desarrollar su postura de seguridad y aumentar su nivel de seguridad, pero no es lo único en lo que puede confiar para proteger completamente su organización.

Este artículo contiene la mayoría de las preguntas y preocupaciones comunes que la gente tiene sobre lo que es cierto y lo que no es cierto acerca de las pruebas de penetración. Tenga en cuenta estos mitos de las pruebas de penetración , pero no los considere definitivos. Siempre hay más que aprender.

Todas las formas de piratería ética son iguales

Se llevan a cabo muchas formas de análisis de seguridad. Como profesional de la seguridad, es importante saber cuál realizar en los momentos adecuados. Las evaluaciones de vulnerabilidad, por ejemplo, se utilizan para verificar el estado de los sistemas para encontrar y exponer debilidades.

La prueba de penetración es el acto de intentar activamente penetrar las defensas de seguridad. Esto incluye (y no se limita a) el uso de cualquier herramienta a su disposición para frustrar la seguridad implementada para evaluar si existe una vulnerabilidad y, de ser así, si puede ser explotada.

Un ejemplo sería una herramienta que verifica si tiene un puerto abierto en un firewall. Una prueba de penetración (y piratería ética ) está actuando en un papel para atacar y penetrar ese puerto e intentar obtener acceso, ver qué puede aprovechar desde allí y continuar con la esperanza de obtener acceso a datos o información valiosos.

No todas las formas de piratería ética son iguales. Algunas son solo para encontrar vulnerabilidades, otras formas son para penetrar en los sistemas y otras formas son para realizar APT a gran escala.

No podemos permitirnos un probador de lápiz

Aunque muchos líderes de empresas y jefes de departamento creen que necesitan tener seguridad (y también financiarla), es posible que no sean conscientes del valor agregado que un probador de lápiz real puede aportar a su organización ni creen que vale la pena el costo. Entonces, este mito realmente tiene dos partes:

  • Los probadores de lápiz no aportan valor. Un analista de seguridad debe considerarse el nivel más alto de analista de seguridad que pueda haber empleado en su empresa. Un hacker ético sabe lo que saben los hackers de sombrero negro. Los piratas informáticos (y otras formas de atacantes) es la razón por la que tiene una inversión en seguridad en primer lugar.

    Un pen tester que pueda identificar y prevenir una infracción importante puede salvar a una empresa no solo en activos y costos tangibles, sino también en activos y costos intangibles, como la gestión de la reputación. Un banco que sufre una infracción, por ejemplo, probablemente perderá la confianza del cliente y su negocio.

  • Los probadores de lápiz cuestan demasiado. El que una empresa pueda pagar uno depende de cuánto esté dispuesta a perder en caso de un incidente de seguridad. Con suerte, podemos comenzar a cerrar la brecha porque hay formas de reducir los costos de las pruebas de penetración. Tal vez capacite a un empleado interno de confianza (otro miembro del equipo de TI) para usar herramientas de prueba de lápiz para resolver problemas de seguridad por usted.

Vas a pagar de una forma u otra. La siguiente imagen muestra el volumen de violaciones de datos año tras año y el volumen de registros expuestos, según Statista.

prueba de lápiz de amenazas cibernéticas
Una métrica de muestra de las amenazas cibernéticas y su crecimiento. Fuente: Statista

La conclusión importante de este conjunto básico de métricas es ver que el volumen de intentos y penetraciones es muy, muy alto y está creciendo. La correlación con la creciente cantidad de registros expuestos también se puede analizar y cuantificar de varias formas, pero se cree que debido a que se ha centrado en la ciberseguridad y las pruebas de penetración en los últimos 10 a 15 años, la cantidad de exposición no siempre está directamente correlacionada. al volumen de intentos.

LEER  ¿Qué diablos es un iMessage?

No podemos confiar en un probador de lápiz

Algunas empresas están tan preocupadas por sus datos sensibles (secretos, salarios, planes, etc.) que no quieren que nadie se involucre ni siquiera con el propósito de verificar su seguridad. Las organizaciones de atención médica en especial pueden ser cautelosas porque si se expone información relacionada con el paciente, esa organización es legalmente responsable.

Desafortunadamente, no puede aplicar seguridad sin ceder a una pequeña cantidad de vulnerabilidad, pero las empresas deben ser inteligentes al respecto:

  • No hacer nada es imprudente; probar es inteligente. El truco consiste en encontrar a alguien que pueda realizar las pruebas de penetración y en quien la empresa confíe. Cualquier persona responsable de contratar a un probador de lápiz debe explorar si la empresa tiene un profesional de TI de confianza en la organización que pueda prepararse para las pruebas de lápiz.

    Si esa persona es usted, considere comprar sus habilidades a los líderes de su organización para hacerles saber que está interesado en ese puesto.

  • Es necesario un proceso de entrevista para revelar al mejor candidato. Este proceso debe incluir una verificación de antecedentes exhaustiva que analice la situación financiera, el uso de sustancias y la solvencia. Si un candidato “aprueba” estas pruebas, es bueno porque cosas como esta son indicadores claros de que la persona es verdaderamente digna de confianza.
  • Las auditorías pueden ayudar. Un proceso de auditoría verifica el trabajo del probador de pluma para asegurarse de que no haya habido ningún delito. Esto puede incluir registros de verificación puntual, revisar los resultados de las pruebas de penetración y hacer un seguimiento con los que realizan las pruebas para validar los resultados. Esto puede ayudar a brindar tranquilidad a las personas que está investigando o que son nuevos en el equipo.

No confiamos en las herramientas de prueba de penetración

Más allá de generar confianza para quienes realizan una prueba de penetración, también debe sentirse cómodo con el conjunto de herramientas y las herramientas que crea, instala y mantiene. Esto viene en forma de obtener herramientas confiables que están libres de malware o que no son malware en sí mismas. (Algunas herramientas pueden contener programas de caballo de Troya que pueden apoderarse de su máquina).

Otra preocupación es que la falta de conocimiento en el uso de las herramientas podría crear problemas mayores al provocar una interrupción en la producción. Si un probador de lápiz nuevo (e incluso uno más experimentado) hace un cambio o usa una herramienta que de alguna manera tiene un efecto secundario, podría crear más problemas que los que está tratando de identificar.

Otra preocupación es que las herramientas en sí estén completamente operativas y libres de errores (software problemático). Esta es la razón por la que algunos probadores de lápiz de élite optan por utilizar herramientas compatibles con la industria que están libres de errores o se corrigen cuando se encuentran. Debido a esto, sugiero utilizar herramientas compatibles con el proveedor.

Las herramientas basadas en proveedores son la mejor opción para que los nuevos probadores de lápiz confíen en su kit de herramientas. Las herramientas como Wireshark, Nessus y Nmap se mantienen y actualizan. La siguiente imagen muestra cómo el proveedor mantiene Wireshark. Incluye actualizaciones, nuevas versiones y actualizaciones de errores.

Lista de corrección de errores de Wireshark
Lista de corrección de errores de Wireshark.

Hay nuevas compilaciones, parches y una red de soporte integrada en estas herramientas. Yo diría que si descarga una aplicación incompleta de Internet para usarla en su kit de herramientas, escanearla correctamente antes de usarla puede ayudar a reducir su infección o la de su empresa con un caballo de Troya (por ejemplo).

Si tiene miedo de usar una herramienta porque no está seguro de su resultado, configure pruebas y laboratorios de prueba y siéntase cómodo con las herramientas antes de usarlas. Si sabe que las herramientas ejecutan un barrido de ping y puede controlar su salida (como en Nmap), entonces es posible que desee comenzar poco a poco y construir a partir de ahí para ver en un entorno controlado lo que hará en sus sistemas. Una vez que empiece a desarrollar su seguridad y confianza, se sentirá más cómodo utilizando las herramientas.

LEER  Cómo etiquetar fotos con palabras clave en tu Mac

Las pruebas de penetración no se realizan con frecuencia.

Las pruebas de penetración se realizan todo el tiempo. Hay que considerar los cambios en la tecnología y la dependencia de la tecnología que trae cada vez más a la vanguardia de las empresas de hoy. A medida que se conecten más dispositivos (piense en IoT), será necesario realizar más pruebas.

La verdad es que escanear y probar es una función de enjuague y repetición. Algunas grandes empresas crearán un programa en sus equipos de operaciones de seguridad en el que las pruebas de penetración se realizan con frecuencia y, por lo general, en un horario. Esto es bueno porque los piratas informáticos no operan en un horario, son una constante. Usted también debe ser una constante, así como su programa de prueba de penetración.

Un cronograma asegura que las pruebas de penetración sean parte de su programa de seguridad general. La siguiente imagen muestra una lista de lo que sería una agrupación normal de funciones, pruebas y tareas de seguridad que se llevan a cabo para una organización. Tener su prueba de penetración como parte de un programa de seguridad general e incorporado en él garantiza que siempre sea parte del plan de prueba. Las pruebas de penetración también se pueden realizar ad hoc cuando surja la necesidad.

calendario de pruebas de penetración
Un cronograma de pruebas.

Esto es similar al mito de que las pruebas de penetración son válidas durante un período de tiempo. En el espíritu de tratar de administrar una operación, un programa o esfuerzos de trabajo, los líderes pueden querer creer que al realizar una prueba de penetración (y una exhaustiva), de alguna manera son seguros y no necesitan realizar una prueba durante un período de tiempo.

De alguna manera, los informes mostraron que no hay problemas o que los problemas encontrados se han corregido o monitoreado. Este es un gran error. En el momento en que finaliza la prueba de la pluma, ya está desactualizada.

Las pruebas de penetración son solo para sistemas técnicos

Otra constante que se debe enfatizar son los conceptos de defensa en profundidad y la necesidad de pensar fuera de la caja. Las pruebas de penetración son de naturaleza muy técnica porque intentan frustrar la seguridad de los activos tecnológicos.

Sin embargo, los activos tecnológicos pueden frustrarse y hacerse vulnerables por otros medios que no sean técnicos; los dos más comunes son estos:

  • Seguridad física: si un delincuente puede eludir todos los firewalls y sistemas IDS simplemente ingresando al centro de datos donde se alojan todos los datos cruciales y usa una memoria USB para arrebatar datos de un servidor, ha invertido mucho dinero en algo que se ha pasado por alto fácilmente.

    Lo importante de este escenario es que es común y es algo que debe considerar en sus organizaciones.

    Es fácil concentrarse en sistemas de tecnología de la información, como computadoras e infraestructura, como enrutadores, conmutadores y otros dispositivos en red. Pero no puedes olvidarte de la seguridad física; también puede ser muy técnico. Piense en cualquier dispositivo habilitado para IoT, conectado a la red y controlado por software. Las cámaras de seguridad, las cámaras de timbre y otros dispositivos de seguridad también están bajo su alcance.

  • Ingeniería social: los probadores de lápiz no necesitan descifrar tus contraseñas con herramientas como Kali si pueden llamarte y engañarte para que me las des. La ingeniería social es más fácil, más rápida y deja menos huella.

Los contratistas no pueden ser excelentes probadores de lápiz

Un gran punto de confusión para cualquiera que busque mejorar su seguridad es si utiliza recursos internos o subcontrata a un contratista. Muchos creen que los contratistas provienen de fuera de sus redes y no poseen el conocimiento interno necesario para sortear sus sistemas y realizar una evaluación justa y completa. Esto no podría estar más lejos de la verdad.

LEER  Cómo cambiar las contraseñas de las cuentas en Mac OS X Lion

Los recursos internos conocerán bien la red y los sistemas internos, pero los contratistas pueden realizar los mismos ejercicios que los equipos internos sin mucha diferencia. Si un contratista tiene acceso a la red de la misma forma que un recurso interno, la prueba será la misma.

El beneficio de traer un recurso externo (incluso para realizar una prueba de penetración anual) es que no conocen su red. Si pueden penetrarlo, han simulado lo que haría un pirata informático, que sería sondear, probar, mapear, identificar e intentar obtener acceso a recursos que desconocen.

Los juegos de herramientas de prueba de penetración deben estar estandarizados

En algunos casos, la estandarización de los activos, sistemas, programas, herramientas y software de TI es imprescindible para seguir cumpliendo y tener disponibles soluciones bien documentadas, pero esto no es así con las herramientas de prueba de lápiz.

El kit de herramientas del probador de lápiz lo fabricarán probadores de lápiz que usan lo que necesitan. Es posible que necesiten mantener herramientas más antiguas por razones de funcionalidad. Pueden optar por utilizar un tipo diferente de rastreador de paquetes porque se sienten más cómodos al automatizarlo. Puede haber razones económicas por las que se utilice algún software de código abierto en lugar de costosas soluciones de proveedores.

Independientemente, lo que sea que use como probador de lápiz, debe administrar sus propias herramientas y conjunto de herramientas y la regla importante a seguir es que debe asegurarse de no terminar como una víctima. Asegúrese de cuidar su kit de herramientas y mantenerlo seguro y actualizado. Si lo hace, no tiene que preocuparse por seguir un estándar de TI para las herramientas y el uso. Su empresa puede exigir algo, pero como probador de lápiz independiente, debe considerar el uso de sus propias herramientas y lo que sabe que funciona mejor.

Las pruebas de penetración en sí mismas son un mito e innecesarias.

Con suerte, todo lo que ha leído en este libro le ha demostrado que esto es completamente falso. Es posible que encuentre procesos o flujos de trabajo de TI obsoletos que deban hacerse más eficientes o eliminarse por completo. Puede comenzar a pensar de esta manera sobre todo lo que hace y preguntarse si las pruebas de penetración son necesarias, hacer lo que se propone y cumplir un propósito que proporcione valor.

El retorno de la inversión (ROI) de las pruebas de penetración debe medirse para demostrar que los costos asociados están garantizados. El problema con esta forma de pensar es cuando estás haciendo un gran trabajo manteniendo todos los agujeros cerrados debido a la prueba de la pluma. Mantienes las amenazas bajo control, por lo que otros podrían pensar que no existe ninguna amenaza.

Esta es la razón por la que los informes son importantes en las pruebas de penetración. Para mostrar los puntos de datos reales, las métricas y la seguridad aplicada a través de los informes, puede mostrar que las inversiones realizadas son de hecho muy críticas para la seguridad de la información que mantiene la empresa en los sistemas que quiere que esté segura.

Los probadores de lápiz saben lo suficiente y no necesitan seguir aprendiendo

Para ser el mejor pen tester que puede ser , debe seguir aprendiendo, desarrollando sus habilidades y mantenerse al día con las últimas tendencias tecnológicas, avances y preocupaciones de seguridad en el mundo. Debe aceptar esta responsabilidad y hacerla parte de su vida. Debe seguir aprendiendo sobre pruebas de penetración, seguridad y redes, y desarrollar su conjunto de habilidades de piratería ética.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *