Elegir equipo de Pentesting idóneo

Las brechas de datos y los múltiples ciberataques
contra empresas de todo tipos y tamaños
en el ahora predominante mundo digital siguen aumentando.
(Consulta aquí
la información sobre tendencias cibercriminales del año 2020).
Muchas de estas empresas se han dado cuenta
de la necesidad de utilizar pruebas de seguridad
en sus sistemas para determinar si son vulnerables
a posibles amenazas y llevar a cabo las mejoras
necesarias lo antes posible.
Sin embargo,
es posible que algunas empresas solo se limiten a cumplir
con los estándares de la industria
y las regulaciones de protección al consumidor como
HIPAA,
PCI DSS,
y GDPR.
De una forma u otra,
la solución pentesting
ha ido ganando mayor valor y popularidad en la evaluación de la seguridad
a lo largo de los años entre las organizaciones,
más allá de las agencias gubernamentales y los bancos.

Por este motivo,
el mercado pentesting se ha vuelto mucho más extenso,
con cada vez más proveedores de pentesting ofreciendo sus servicios,
lo que hace cada vez más compleja la elección
para las empresas interesadas en su implementación.
Como manifestó el pentester profesional
Elliot en Security Boulevard
el año 2020,
“seleccionar una empresa de pruebas de penetración
puede ser una tarea desalentadora.
Es una industria plagada de tácticas de venta engañosas,
certificaciones débiles y, simplemente,
profesionales no calificados.”
Como consecuencia, diferentes empresas
y personas relacionadas con la ciberseguridad
han ido sugiriendo a través de sus redes sociales
algunos consejos para tener en cuenta
a la hora de elegir proveedores de pentesting.

Antes de seguir estos consejos para entender mejor el mercado,
familiaricémonos un poco más con el concepto.
A finales de la década de 1960,
empezaron a surgir los llamados “equipos tigre”
para probar la capacidad de los sistemas gubernamentales
y empresariales para resistir ciberataques.
Entre los pioneros del desarrollo de las pruebas de penetración
se encuentra James P. Anderson,
que en los años 70 estableció los pasos finales
de las pruebas para esos equipos tigre.
Sin embargo, parece que hasta hace poco,
en 2009, no se definió un estándar de ejecución de penetraciones
para probar los sistemas en búsqueda
de formas de traspasarlos y obtener acceso a los datos.
Este riguroso enfoque combina procedimientos manuales
por parte de hackers éticos y pruebas automatizadas
mediante herramientas, con predominio de los primeros.
En resumen,
el pentesting es una evaluación de la seguridad
con una simulación de ataques auténticos para identificar
las vulnerabilidades que los ciberdelincuentes
podrían explotar en un entorno determinado.

En el 2020,
Charles Horton publicó un post
para NetSPI en el que describe cuatro factores
que puedes tener en cuenta a la hora de elegir un equipo de pentesting
y gestión de vulnerabilidades
adecuado para tu organización.
Inicialmente,
se refiere a la innegable importancia de contar
con un grupo talentoso.
Cada uno de los pentesters debe tener la capacidad
de ver los objetivos a través
de los ojos de los hackers maliciosos.
Deben ser ágiles a la hora de adquirir conocimientos
y mejorar las técnicas a emplear en función
de las necesidades de sus clientes
y de las nuevas complejidades en su campo.
Por supuesto,
debes verificar que se trate realmente de un equipo
que vas a vincular a tu personal y no de un único individuo
sobre el que recaiga todo el peso y la responsabilidad.

En relación con el factor de talento,
podemos ver que otras fuentes
(p. ej., Infosec
e Intruder)
también hablan de certificaciones y experiencia.
Recomiendan buscar equipos de pentesting cuyos miembros
posean certificaciones profesionales reconocidas en el sector,
como CEH, CRTE, OSCE, OSCP, OSWE y OSWP.
Estas credenciales pueden generar cierta confianza
en la capacidad de los pentesters.
Pero cuidado,
¡no se deben tomar como medida suficiente para elegir un equipo!
Como dice Elliot,
las certificaciones “siguen estando muy por debajo
de lo que se espera de un pentester experto”.
Recuerda que los organismos de certificación deben dirigirse
de manera inherente a un grupo de personas lo suficientemente grande
como para seguir siendo rentables”.
En su lugar,
te invita a prestar mucha atención a los repositorios git de las empresas,
así como a sus investigaciones y publicaciones.

Como segundo factor,
Horton destaca la capacidad del equipo
para seguir procesos de pentest estandarizados y,
al mismo tiempo, personalizables.
Mediante la estandarización
(como puede hacerse, por ejemplo, con los listados de control de pentesting),
una empresa especializada debe garantizar
resultados coherentes en diferentes proyectos de evaluación.
En cuanto a la personalización,
deben demostrar que pueden reconocer las similitudes
y diferencias entre las necesidades de sus clientes
y que son capaces de ajustarse a ellas en sus pruebas de penetración.

La personalización está relacionada con la flexibilidad,
una mentalidad abierta, cualidad que debe poseer un pentester.
Los analistas que elijas para la evaluación
de la seguridad de tu organización deben ser curiosos y creativos,
estar siempre interesados en aprender sobre nuevas técnicas
y entornos en los que simular ataques.
Por supuesto,
para asegurarse de que los pentesters implicados
se ajustan adecuadamente a sus necesidades,
tenga en cuenta las palabras de Andrew de Intruder:
“asegúrate de que tu proveedor potencial tenga experiencia pertinente
en los tipos de tecnología con los que trabajas.”

Como tercer punto,
Horton menciona que un excelente equipo
de pentesting para tu empresa debería
saber cómo gestionar y presentar los datos obtenidos del análisis.
Todo ello de forma que facilite a su personal
la reparación rápida y eficaz de las vulnerabilidades.
Con sus herramientas,
el equipo de pentesting debería organizar reportes detallados
y priorizar los hallazgos para ti,
ahorrándote algunos problemas administrativos.
De acuerdo con Brecht de Infosec,
los informes de pentesting pueden estar plagados de jerga técnica,
lo que supondría un obstáculo.
Por eso se valora mucho la capacidad de comunicar
la complejidad en términos comprensibles para ejecutivos no técnicos.
Así que, solicita,
revisa y compara informes de ejemplo que los proveedores realizan.

También podemos añadir a lo dicho
que es rigurosamente necesario que la empresa proveedora
del servicio permita establecer un pacto documentado
de confidencialidad y seguridad de los datos.
De antemano,
debe existir un seguro de responsabilidad civil
por parte del proveedor para proteger a tu empresa
de cualquier daño o pérdida relacionado
con tus sistemas y datos.
Además, debes saber quiénes serán los pentesters
encargados de realizar las pruebas y cómo se gestionarán los datos,
solicitando información como nombres y currículums.

Horton termina con un factor que hace énfasis
en la calidad colaborativa del equipo de pentesting.
Desde el principio,
los miembros de estos grupos de evaluación deben recibir
formación para tener una mentalidad colectiva.
Más allá de compartir conocimientos internamente,
la colaboración consiste también en ampliarlos,
transmitirlos a otras personas fuera de los límites corporativos
y contribuir a una comunidad dedicada a la ciberseguridad.
Podemos añadir aquí que el equipo de pentesting
debería ser capaz de mantener una comunicación constante
y clara con tu equipo.
Siempre deben proporcionar información sobre el progreso,
sus dificultades y resultados,
junto con valiosas recomendaciones para llevar a cabo acciones necesarias.

La selección de un proveedor competente de pruebas de penetración
no es una tarea sencilla,
pero es ideal para detectar vulnerabilidades en tus sistemas
y mantener en buen estado tu organización.
Si buscas un proveedor de servicios de pruebas de penetración
para una asociación a largo plazo,
podemos mostrarte cómo en Fluid Attacks
cumplimos con todos los factores enumerados aquí e incluso más.
Somos una empresa que reconoce el valor fundamental del análisis manual
en pentesting,
por lo que empleamos herramientas automatizadas
y solucionamos sus defectos mediante la labor de hackers humanos.
Estamos entre los que le ofrecen reataques
para confirmar que las vulnerabilidades han sido remediadas con éxito.
Además,
superamos el número típico de dos o tres profesionales por proyecto,
¡alcanzando un promedio de 15 hackers éticos!

¿Quieres saber más sobre nosotros?
Puedes consulta aquí nuestro repositorio
y aquí las opiniones de nuestros clientes.
Para más información, ¡no dudes en contactarnos!