Las organizaciones ya no pueden ignorar
la necesidad de proteger su software de forma continua.
Así como las ciberamenazas no descansan,
tampoco deberían hacerlo los desarrolladores
en sus esfuerzos por remediar las fallas.
Explicamos por qué es importante
realizar continuamente pentesting.
Argumentamos que ayudan a mantener una postura de seguridad sensata
y a ahorrar gastos
(nota: especialmente tiempo).
Además,
comparamos este enfoque con las pruebas de penetración puntuales.
Más aún,
mencionamos las formas en que nuestra solución
de Pentesting
supera los desafíos comúnmente asociados con las evaluaciones continuas.

¿Con qué frecuencia debe realizarse el pentesting?

¿Has visto los temas de los boletines
que reciben los expertos en ciberseguridad?
Siempre es algo así como
“los atacantes están explotando una falla en
[inserte el nombre del software]”,
o
“[inserte el nombre de la técnica de ataque maliciosa] alcanza un nuevo nivel”.
Por no hablar de la inclusión de los atacantes del tipo ransomware,
que aparecen constantemente en los titulares.
¿Tiene sentido realizar evaluaciones de seguridad
únicamente una vez al año?
La respuesta es un rotundo ¡no!

Es cierto,
las empresas que controlan la seguridad
de sus sistemas anualmente,
o que al menos se someten a una evaluación una sola vez,
están abordando el problema,
aunque sea mínimamente.
Las pruebas de penetración puntuales
les proporcionan un pantallazo de su postura de seguridad.
Puede ser en términos de superficie de ataque conocido,
vulnerabilidades en los sistemas,
riesgos cuantificados o tasa de corrección en ese momento.
Esa es su referencia,
que es útil para las comparaciones con la siguiente evaluación.
Pero sigue existiendo la incertidumbre
de si podrán resistir los ataques
que sufran entre esos periodos,
ya que los desarrolladores tienen
que crear utilidad constantemente.
Lo que las empresas realmente necesitan
es ver cómo está su superficie de ataque,
su ambiente de amenazas y el rendimiento
de la gestión de vulnerabilidades en tiempo real.
La conclusión es:
las pruebas de penetración deben realizarse de forma continua.

Beneficios del pentesting continuo

Identificación de la postura de seguridad en tiempo real

Cuando las evaluaciones se realizan de forma continua,
las empresas pueden descubrir a tiempo
los activos que componen sus superficies de ataque.
Entonces tienen la oportunidad de comprobar
las vulnerabilidades de esos activos.
Cualquier nueva amenaza
(p. ej., ataque hipotético)
que aparezca en su ambiente es imitada inmediatamente
por los hackers éticos que realizan las pruebas.
Aunque lo ideal es que estos profesionales altamente certificados
encuentren las debilidades
o vulnerabilidades antes de que se tenga noticia
de cualquier explotación masiva.
El riesgo identificado y mitigado también
es fiel a la postura de seguridad actual,
no a la de hace meses.
Y como a los desarrolladores
se les notifica al instante cualquier falla encontrada en cambios recientes,
pueden proseguir y resolverla mientras
ese código está reciente en sus cabezas.

Reducción de costos

Puede que te sorprenda,
pero los costos pueden ser más bajos
para las pruebas de pentesting continuas que para las puntuales.
Y no se trata solo de costos en dólares.

Llevar a cabo evaluaciones anuales
(o no de forma continua)
significa que las empresas tienen que dedicar
una gran cantidad de tiempo a establecer el alcance del proyecto,
conseguir los profesionales adecuados,
fijar las expectativas y entregables,
acordar metodologías y plazos, etc.
Esto hay que hacerlo una y otra vez.
El pentesting continuo puede requerir ajustes ocasionales
en la configuración inicial de vez en cuando,
pero eso sería todo.

El tiempo de remediación también se reduce
en gran medida al realizar evaluaciones continuas,
ya que los desarrolladores son notificados
y pueden solucionar los problemas sobre la marcha.
Por el contrario,
las evaluaciones puntuales acumulan lo que podría ser la cantidad
de problemas de seguridad de un año,
medio año o un trimestre.
Gestionar todas estas debilidades
y vulnerabilidades se convierte en una tarea tediosa
y aparentemente interminable.
En última instancia,
los desarrolladores se ven obligados a rehacer el código
de hace meses en lugar de producir contenido de valor.

En cuanto al dinero,
el costo de los pentests continuos,
en el mejor de los casos,
no superará al de las brechas de datos.
Es una pócima difícil de tragar,
pero tu empresa gasta en ciberseguridad
para evitar perder cantidades mucho mayores
por los efectos de los ciberataques.
Evaluar continuamente la resistencia de tus sistemas
frente a las últimas tendencias en ataques
es una mejor estrategia en comparación
con las pruebas de seguridad puntuales cuando se trata
de evitar la irrupción de hackers malintencionados.

Alcance modificable

Mientras que el alcance del pentesting
es generalmente estático en el caso del enfoque puntual,
es modificable en el caso del enfoque continuo.
El primero está en desventaja,
porque en caso de que se descubran activos
que eran desconocidos antes del contrato,
el alcance de las pruebas de penetración los excluiría.
Un contrato de pentesting continuo permitiría
a la empresa ajustar el alcance
para que las pruebas posteriores se centren oportunamente
en esas áreas recién descubiertas en la superficie de ataque.

Asistencia continua por expertos

Cuando las empresas han implantado el enfoque puntual,
las limitaciones de tiempo pueden no permitir
a los desarrolladores ponerse en contacto
con los analistas de seguridad
y resolver muchas de sus dudas.
Como decíamos en un punto anterior,
los reportes pueden contener problemas de varios meses.
Tu equipo puede aplicar una estrategia
de priorización razonable para arreglar
lo que podría causar más problemas
y obtener el apoyo de expertos en estos problemas,
pero podría quedar mucho por resolver.
Los analistas de seguridad pueden validar
que las correcciones son eficaces y,
si es el caso,
tu empresa puede lograr suficiente cumplimiento de un estándar.
Entonces,
habrá que esperar a la siguiente evaluación
para que los desarrolladores resuelvan sus dudas con los expertos.
E incluso entonces pueden surgir problemas más urgentes.
Las evaluaciones continuas pueden eliminar este problema
al permitir el contacto con nuestros expertos de forma permanente.

Retos del pentesting continuo

A pesar de saber que están sometidas a ciberamenazas constantes,
hay razones por las que las empresas que contratan pruebas de penetración
de terceros podrían optar por evaluaciones puntuales.

A menudo,
se trata de que las empresas se pregunten:
“¿Cuánto nos cuestan las pruebas de penetración
en relación con nuestro presupuesto para ciberseguridad?”.
De hecho,
la empresa puede permitirse solo la evaluación puntual regular.
Y puede que lo haga al menos anualmente,
en el caso de que necesite
seguir ciertos estándares
en los que el cumplimiento de las pruebas de penetración
es obligatorio.

Además,
está el reto de que el pentesting manual
se tarda tiempo en obtener resultados.
Esto alimenta la idea de que la seguridad
es un obstáculo para la producción de contenido.

Y también está el desafío de los recursos
de la empresa para tratar todos los datos
que arrojan las pruebas de penetración continuas.
Surgen dudas no solo sobre dónde almacenar los datos,
sino también sobre cómo hacer un seguimiento
de los hallazgos a medida que se acumulan.

Así aborda Fluid Attacks estos retos

En Fluid Attacks,
ofrecemos nuestra solución de pentesting
bajo el modelo de pruebas de penetración como servicio
(PTaaS).
Lo que significa que reconocemos la necesidad de seguridad
para cubrir todo el ciclo de vida de desarrollo de software (SDLC).
Ofrecemos a las empresas que buscan tercerizar los servicios
de pentesting una solución que aborda los desafíos
de las pruebas de penetración continuas:

• Reconociendo las limitaciones presupuestarias de la mayoría de las empresas,
  nuestras evaluaciones continuas son rentables.

• Dejamos que los desarrolladores desplieguen primero,
  ya que la producción de utilidad es una necesidad,
  y luego siguen nuestros hackers éticos,
  quienes prueban los microcambios
  y reportan los problemas de ciberseguridad que encuentran.

• Incluimos con nuestro servicio el acceso a nuestra
  plataforma,
  donde los usuarios configuran el alcance de las evaluaciones,
  ven los hallazgos a través de útiles visuales,
  asignan la remediación,
  leen las recomendaciones,
  hablan con nuestros hackers,
  hacen un seguimiento de las fallas
  y la exposición al riesgo que representan, y mucho más.

Contáctanos
para recibir nuestra propuesta de pentesting continuo.

Nuestra solución de Pentesting forma parte de
nuestro Plan Squad
de Hacking Continuo.
Puedes
probar ahora gratis nuestro Plan Machine de Hacking Continuo,
que implica solo pruebas de seguridad automatizadas,
para encontrar vulnerabilidades deterministas en tus sistemas
y familiarizarte con nuestra plataforma.
También puedes cambiarte al Plan Squad
desde la versión demo para disfrutar de pentesting continuo.