Pentesting como servicio
Hace más de un año,
hablamos en un artículo de este blog
sobre la creciente expansión del mercado del pentesting
y lo complejo que se está volviendo
para las organizaciones elegir correctamente
un proveedor ante tantas ofertas disponibles.
El problema reside en que muchas de ellas pueden ser engañosas
y no garantizan una calidad suficiente
que otros proveedores pueden alcanzar en este método
de pruebas de seguridad.
En aquel entonces destacamos algunos atributos clave
que podías tener en cuenta
para elegir un proveedor de pruebas de penetración competente.
Ahora,
te informaremos sobre un modelo más reciente,
las pruebas de penetración como servicio (PTaaS,
por su nombre en inglés),
en el que el pen testing tradicional se ajusta
para tener más valor dentro de la ágil
y ahora popular metodología DevSecOps.
Nuestra intención es que tengas claro en qué consiste
y qué ventajas ofrece antes de tomar una decisión.
Introducción: ¿Qué son las pruebas de penetración?
Como viste en el párrafo anterior,
utilizamos las palabras “pruebas de penetración”,
“pentesting” y “pen testing“.
Esto es algo común en este contexto,
pero todas ellas se refieren al mismo concepto:
pruebas de seguridad en sistemas de información
mediante la simulación de ataques reales
con la autorización de sus propietarios
para detectar vulnerabilidades.
Las pruebas de penetración forman parte
de una postura de seguridad ofensiva
en la que la idea predominante es que la mejor manera
de hacer frente a los atacantes maliciosos
es pensar y actuar como ellos.
Para ello,
los expertos en seguridad,
conocidos como evaluadores de sombrero blanco,
hackers éticos o, precisamente, pentesters,
utilizan diversas tácticas,
técnicas y procedimientos.
En sus resultados de penetración y explotación,
estos expertos revelan a los propietarios y partes interesadas
dónde y cómo hacer ajustes para proteger sus sistemas.
Los continuos avances de la ciberdelincuencia
y la acelerada evolución de la tecnología hacen necesario a evaluar una
y otra vez la seguridad de los sistemas.
Erróneamente,
muchas organizaciones creen que implementar herramientas automatizadas
es la solución perfecta. Y que cuantas más herramientas tengan, mejor.
La automatización cumple con el llamado escaneo de vulnerabilidades.
Esto, sin embargo,
actúa solo como un primer nivel dentro de una estrategia
de pruebas de seguridad integral.
Los sistemas se revisan a través de este método
para detectar en ellos rápidamente problemas
de seguridad previamente conocidos.
No incluir un nivel activo de intervención humana
en un proyecto de pruebas de seguridad,
precisamente con el pen testing manual,
es un error garrafal.
Te pedimos que seas consciente del énfasis
que hemos puesto más arriba en “manual”.
Hablamos de pruebas de penetración manuales porque,
en el contexto de la ciberseguridad,
también se atribuye a las herramientas automáticas
la capacidad de realizar pentesting.
No negamos que las herramientas puedan infiltrarse
o abrirse camino en diversos rincones de un sistema.
Pero una prueba de penetración adecuada
no debe limitarse a la automatización.
El pentesting sin intervención humana acaba siendo
un simple escaneo de vulnerabilidades.
A diferencia de lo que pueden conseguir
los hackers éticos con una inspección en profundidad,
este método de escaneo no logra reportar vulnerabilidades complejas
de la lógica empresarial
ni de las vulnerabilidades de día cero.
Además,
arroja falsos positivos y falsos negativos,
que los profesionales deben validar.
¿Cómo suele realizarse el pentesting?
Un servicio de pruebas de penetración
puede incluir entre sus objetivos
aplicaciones web y móviles,
redes, dispositivos IoT
y muchos otros sistemas de información.
Su objetivo es detectar problemas en los controles de autenticación
y autorización de usuarios,
exposición de datos sensibles,
errores en la codificación segura
y debilidades en los mecanismos de defensa,
entre otros muchos problemas de seguridad.
Para comenzar con la penetración,
los pentesters deben obtener la aprobación
del propietario del sistema,
que puede establecer ciertos límites de alcance.
Una vez acordado todo,
los pentesters inician una fase de reconocimiento.
En primer lugar está el reconocimiento pasivo,
en el que los hackers recopilan información sobre la organización
y el objetivo sin interactuar directamente con ellos.
Recurren entonces a fuentes externas y abiertas.
Luego, está el reconocimiento activo mediante
la interacción directa con el objetivo.
Los pen testers buscan un perfilado profundo
con una recopilación de información más intrusiva.
Identifican la tecnología utilizada y su funcionamiento.
Además,
determinan posibles vectores de entrada y ataque.
Posteriormente,
los pentesters utilizan herramientas de escaneo
y métodos manuales que contribuyen
a la identificación de vulnerabilidades.
Analizan a través de diversos factores el nivel de riesgo
y el impacto que puede generar
la explotación de cada problema de seguridad.
Después de toda la planificación,
los hackers intentan explotar
las vulnerabilidades de forma creativa
(algo que una herramienta automática no puede hacer),
preferiblemente dentro de un ambiente de prueba.
Consiguen acceso al objetivo con diferentes métodos
(p. ej., escalada de privilegios y movimiento lateral),
a distintos niveles de profundidad,
con el fin de determinar los impactos reales.
Una vez finalizada la tarea,
los pen testers recopilan sus resultados
en reportes técnicos y ejecutivos.
Estos presentan a las partes interesadas detalles
sobre las vulnerabilidades detectadas y explotadas,
las respuestas del sistema a la penetración,
los datos a los que accedieron
y toda el resto de información sobre el incidente simulado.
Adicionalmente,
aportan evidencias de los problemas de seguridad
y recomendaciones para solucionarlos.
¿Qué es PTaaS?
Antes de la computación en la nube,
el pentesting se solía contratar para llevarse a cabo
como una evaluación puntual entre intervalos de tiempo amplios,
por ejemplo, de forma anual o semestral.
(Sin embargo,
si es que lo aplican,
muchas organizaciones siguen solicitándolo de esta manera).
En este modelo,
solo se entregan los resultados al cliente
en un reporte final estático que podría tener incluso datos desactualizados.
Las pruebas de penetración como servicio (PTaaS)
surgieron como un nuevo modelo de entrega
de pentesting para eliminar las limitaciones anteriores.
PTaaS se adapta a la velocidad de desarrollo actual
y se realiza de forma continua mientras
el software evoluciona a un determinado ritmo
en el SDLC (ciclo de vida de desarrollo de software).
Los resultados son entregados de forma gradual
basándose en los nuevos hallazgos.
PTaaS utiliza una plataforma centralizada
basada en la nube en la que los resultados se pueden ver,
supervisar y analizar continuamente.
El cliente puede lograr una gestión de vulnerabilidades exitosa,
ya que este nuevo modelo constante
ayuda a resolver el problema de priorización
y remediación causado por el modelo anterior,
en el cual todas las vulnerabilidades,
viejas y nuevas,
se dejan para ser reportadas en un solo punto en el tiempo.
Otra dificultad resuelta con PTaaS es la limitada
o inexistente colaboración entre desarrolladores
y pentesters.
Estos últimos pueden ahora apoyar con frecuencia a los primeros,
resolviendo sus dudas y proporcionándoles recomendaciones
o instrucciones de remediación.
En PTaaS,
debe haber pentesting automatizado y manual.
Este modelo reconoce que la creatividad humana
sigue siendo indispensable en la evaluación de sistemas.
Si solo fuera lo primero,
acabaríamos hablando simplemente de software como servicio (SaaS).
Las pruebas de penetración manuales continuas
se combinan con el escaneo de vulnerabilidades
para disfrutar de los beneficios de ambas soluciones.
Los expertos y las herramientas pueden garantizar
el uso de una amplia variedad
de metodologías de pruebas de seguridad.
Mientras que las herramientas automatizadas
se concentran en la detección rápida de vulnerabilidades conocidas,
los pentesters se dedican a descubrir vulnerabilidades
más complejas e incluso desconocidas hasta el momento.
Los pen testers también correlacionan sus resultados
y validan los proporcionados por las herramientas,
asegurándose de que el reporte final es correcto
y que nada se ha omitido.
Beneficios de PTaaS
Puedes esperar lo siguiente de un proveedor de PTaaS experto:
-
Una integración de automatización y hackers éticos o pentesters
que mejora la eficiencia y precisión de las pruebas de seguridad. -
Un único panel de control con todos los datos relevantes
durante las pruebas de penetración que te ofrece un control amplio
y cómodo para la gestión de vulnerabilidades. -
Los datos están siempre disponibles y se actualizan continuamente
a medida que avanza la evaluación de tu sistema;
un procedimiento que se mantiene alerta a los cambios recientes. -
La remediación de vulnerabilidades puede realizarse
poco después de la identificación,
siguiendo un orden de prioridades.
Se evita llegar a producción con un alto riesgo de verse perjudicado
por ciberataques. -
Su modelo permite una colaboración constante entre el grupo de pen testers
y tu equipo de desarrolladores. -
Una vez que hayas remediado una vulnerabilidad,
puedes solicitar la verificación de la efectividad
de la solución implementada.
PTaaS por parte de Fluid Attacks
De acuerdo con lo anterior,
tanto si intentas únicamente cumplir con estándares
como PCI DSS,
NIST, GDPR,
HIPAA, etc.,
como si aspiras a un compromiso más amplio
con la seguridad de tu empresa y clientes o usuarios,
en Fluid Attacks ofrecemos un óptimo PTaaS.
Evaluamos en modo seguro
(es decir, sin afectar la disponibilidad de tus servicios)
la seguridad de tus aplicaciones
web y móviles, redes, dispositivos,
infraestructura en la nube y otros sistemas informáticos.
Combinamos nuestras herramientas automáticas
con pruebas de penetración manuales
realizadas por nuestros expertos en ciberseguridad,
quienes cuentan con certificaciones de alta reputación
y diversos conjuntos de habilidades.
De este modo,
obtenemos tasas mínimas de falsos positivos y falsos negativos.
Incorporamos PTaaS a tu SDLC desde el principio
y probamos tu software al ritmo de tu equipo de desarrollo
y sus microcambios.
En nuestra platform,
recibes continuamente informes detallados,
a medida que avanza el pentesting continuo,
los cuales te facilitan la comprensión de tu exposición al riesgo
y la priorización de los problemas de seguridad para su remediación.
Tus desarrolladores pueden mantener comunicación
y colaboración con nuestros hackers,
de quienes reciben evidencias claras y tangibles
y recomendaciones de reparación.
Además,
nuestro equipo te ofrece reataques ilimitados para verificar
que tus vulnerabilidades han sido efectivamente cerradas.
Por otra parte,
nuestro agente DevSecOps rompe el build
para evitar que las vulnerabilidades pasen a producción
si permanecen abiertas,
de acuerdo con las políticas de tu organización.
Esta solución forma parte
de nuestro servicio Hacking Continuo.
Te invitamos a contactarnos si estás interesado en conocer
los beneficios de nuestro pentesting
como servicio (PTaaS).
Si quieres empezar con nuestros servicios de pruebas de seguridad
mediante herramientas automáticas,
tenemos a tu disposición una prueba gratuita de 21 días
de nuestro Plan Machine.
*** This is a Security Bloggers Network syndicated blog from Fluid Attacks RSS Feed authored by Felipe Ruiz. Read the original post at: https://fluidattacks.com/es/blog/que-es-ptaas/