Pentesting un recurso que brinda grandes ventajas

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Las compañías han tomado consciencia de la importancia de la ciberseguridad en el negocio y de las ventajas del Pentesting.

La prueba de penetración (“PenTesting” para abreviar), es una herramienta valiosa que puede probar e identificar las posibles vías en que los atacantes podrían explotar las vulnerabilidades de sus activos críticos.

La inteligencia llevó aires de control real con el pentesting acelerando datos sobre la priorización, la velocidad y la eficacia para prevenir pérdidas financieras, protegiendo la reputación de la marca y manteniendo la confianza del cliente.

Seis colores de la prueba de penetración

Cada tipo de 6 pruebas de penetración está representado por un color (aunque no es tan colorido como el arco iris que vemos en el cielo después de una lluvia de primavera) y tiene sus propias ventajas y desventajas.

Las organizaciones pueden optar por realizar solo un tipo de prueba de penetración, mientras que otras pueden decidir que se realicen varios tipos para una evaluación más completa según su postura de seguridad.

Las pruebas de caja negra, gris y blanca se utilizan para probar la vulnerabilidad cibernética de una infraestructura como aplicaciones, nube y dispositivos conectados.

Los equipos de evaluadores también se definen por colores, y cada equipo de color proporciona una función única para la prueba de medición de sustentabilidad cibernética de la organización.

Entonces, ¿qué cómo definimos al Pentested?

Las diferentes áreas de la red y los sistemas se pueden saturar, como aplicaciones web, móviles y en la nube, o infraestructura de red e inalámbrica.

Aplicaciones web:

cuando se prueba con una aplicación web, el penetrador creará un mapa del sitio para entender la aplicación y ejecutará pruebas contra ella, como puertos abiertos, verificará si hay configuraciones predeterminadas o mal configuradas.

Los evaluadores buscarán mensajes de error detallados y examinarán las páginas de inicio de sesión o los formularios en línea. Algunas de las vulnerabilidades que los penetradores están buscando incluyen inyecciones de SQL, secuencias de comandos entre sitios, fallas de cifrado o inyecciones de plantillas y XML.

Aplicaciones móviles:

similares a las pruebas de aplicaciones web, las pruebas móviles incluirán una evaluación del sistema operativo y el mapeo de aplicaciones. Los evaluadores de penetración analizarán diversos factores como el sistema de archivos, el tiempo de ejecución, los ataques TCP y HTTP.

Las posibles vulnerabilidades que pueden revelarse son las API inseguras, los artefactos de archivos confidenciales, el tráfico de texto sin formato y las inyecciones de SQL.

Infraestructura y conexión inalámbrica:

el objetivo de la infraestructura y la prueba inalámbrica es identificar vulnerabilidades explotables en dispositivos, sistemas y hosts de red.

Los evaluadores de penetración querrán identificar los protocolos en uso, como CDP, WEP y SNMP.

También buscarán descubrir modelos de dispositivos de red y qué versiones de software están en uso. Las vulnerabilidades más probables de ser descubiertas incluyen el uso de contraseñas débiles o predeterminadas, faltan parches, puertos abiertos innecesarios y SNMP v1 o v2 aún en uso.

Aplicaciones en la nube:

las aplicaciones de nube pública de Pentesting significan que debe notificar al proveedor antes de comenzar cualquier prueba y es común que existan algunas restricciones con respecto a los tipos de pruebas que se pueden realizar.

Las pruebas en la nube pueden incluir aplicaciones, almacenamiento, virtualización y cumplimiento.

Por lo tanto, dependiendo de lo que se encuentre dentro del alcance de la prueba, los evaluadores podrían verificar elementos como el acceso a datos, el aislamiento de máquinas virtuales y el cumplimiento de las regulaciones.

Los resultados de la prueba podrían incluir cifrado no compatible, máquinas virtuales no aisladas adecuadamente, vulnerabilidades de API y contraseñas débiles.

Del dicho al hecho dentro de su compañía

La importancia de tener una postura de seguridad sólida, que requiere que se evalúe la seguridad para garantizar que funciona como se espera y que los encargados de administrar la infraestructura de seguridad mantengan los estándares y procedimientos adecuados.

Las pruebas de penetración realizadas por un tercero brindan una perspectiva imparcial de la postura de ciberseguridad de la organización, pero deben estar certificadas y tener experiencia.

El valor de un tercero evaluador es uno que puede aportar un pentesting basado en inteligencia que proporciona la capacidad de ver las actividades del equipo rojo en un sistema de inteligencia de amenazas y crear flujos de trabajo automatizados para las actividades del equipo azul.

 

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS