“¿Pueden las pruebas de penetración automatizadas reemplazar a los humanos?” este artículo fue publicado ayer. Resonó tanto en mí, que sentí una sonrisa en mi cara mientras lo leía. Es el primer artículo que le da a la “prueba de penetración automatizada” una evaluación justa. Y para mí, es un preludio de otra era – la IA desafiando a los humanos con un trabajo cada vez más sofisticado, esta vez en Seguridad Cibernética.
Alex Haynes afirma en su artículo, “la gran advertencia aquí es que estas herramientas de automatización están mejorando a un ritmo fenomenal, así que dependiendo de cuando leas esto, puede que ya esté desactualizado”. Esta afirmación es muy cierta, porque hasta hoy, los inconvenientes mencionados en el artículo ya han sido superados por una herramienta llamada RidgeBot™ de Ridge Security Tecnología Inc.
Me referiré a los dos inconvenientes mencionados en el artículo y explicaré lo que una herramienta avanzada de auto-penetración ha logrado para abordarlos:
Desventaja 1: “Las herramientas de pruebas de penetración automatizadas no entienden nada de aplicaciones web”.
Respuesta: RidgeBot™ entiende tanto los servidores de acogida como las aplicaciones web. RidgeBot™ utiliza el rastreo inteligente o, en algunos casos, el modo proxy para descubrir automáticamente las superficies de ataque que residen en los dominios, URLs, carpetas, subcarpetas, entradas de acceso al front-end y back-end, direcciones de correo electrónico, etc. RidgeBot™ explota aún más las vulnerabilidades sobre estas superficies de ataque utilizando decenas de miles de plugins incorporados. Su capacidad de exploración es tan buena como la de los populares exploradores de vulnerabilidades de la web como Burp Suite y Acunetix. Pero, RidgeBot™, como una herramienta de auto-pentestado, no se detiene ahí. Después de escanear, valida aún más las vulnerabilidades con exploits. Ya sea que se trate de inyección SQL o SSRF (falsificación de solicitudes del lado del servidor) o de Cross-site scripting o de contraseñas débiles para las entradas de inicio de sesión del back-end, RidgeBot™ mostrará “pruebas contundentes” después de los ataques exitosos. Las pruebas contundentes incluyen el control del web shell, la exposición de credenciales y el control de la base de datos SQL, entre otros.
Los servicios de Internet son los puntos de entrada más convenientes y accesibles para que un pirata informático se introduzca en las redes internas de la empresa, por lo que las herramientas de auto-penetracion Con una fuerte capacidad de exploración y explotación de aplicaciones web, RidgeBot™ se diferencia de otras herramientas similares.
Desventaja 2: Sólo puedes usar herramientas automatizadas de pentesting “dentro” de la red.
Respuesta: Colocar herramientas de penetración automatizadas fuera de la red significa que los hackers tienen que atravesar o eludir los sistemas de seguridad de la red como el Firewall, IPS y WAF. Ciertamente, esto plantea retos extraordinarios, pero eso es lo que hacen los hackers. RidgeBot™ imita los escenarios del mundo real: puede lanzar ataques desde fuera de la red.
RidgeBot™ puede aprovechar un servicio web de cara al exterior como punto de entrada, o las vulnerabilidades encontradas en la consola de gestión basada en la web de un dispositivo de seguridad de la red, para irrumpir, como lo haría un verdadero hacker. El hacking ético externo, realizado por RidgeBot™, es adecuado para organizaciones que asumen que sus principales amenazas son externas. Con los ataques externos, debido al acceso limitado a los servidores internos impuesto por los cortafuegos, podría haber conclusiones más estrechas en cuanto a los riesgos y vulnerabilidades. En cambio, para las organizaciones que se preocupan más por las amenazas desde el interior de la red, la piratería ética interna (pentesting) sería un enfoque mejor. Porque, esto permitiría que la herramienta de auto-pentest realizara una prueba más exhaustiva contra los servidores internos para revelar más vulnerabilidades y riesgos.
Para probar la postura de seguridad de la infraestructura informática general de una empresa, es obligatorio disponer de capacidades de prueba tanto externas como internas. Es por eso que RidgBot fue desarrollado para apoyar ambos enfoques.
Estoy de acuerdo con Alex: el campo de las pruebas de penetración automatizadas está “mejorando a un ritmo espectacular”. En Ridge Security, como proveedor pionero, nuestro objetivo es ayudar a nuestros clientes a superar a los hackers maliciosos y lograr una protección continua; y recomendamos encarecidamente a las empresas que incluyan las pruebas de penetración automatizadas en su rutina de higiene de seguridad.