Las pruebas de penetración ya no son una ocurrencia tardía. Debido a los mandatos normativos, las políticas internas, las peticiones de los ejecutivos de las empresas y el deseo general de evitar convertirse en la próxima víctima de una infracción, las pruebas de penetración son ahora habituales en muchas organizaciones. Sin embargo, el tipo de pruebas sigue siendo una cuestión. ¿Necesita pruebas ad hoc, las que se realizan según las necesidades una o dos veces al año? ¿O necesita un programa de pruebas gestionadas que sea continuo y coordinado por un equipo de pruebas externo o dedicado?
Con el aumento exponencial de los ciberataques y el cambio histórico al trabajo remoto, los expertos en ciberseguridad han tenido que intensificar las medidas preventivas en todos los ámbitos. Estas medidas preventivas han evolucionado para incluir las pruebas de penetración como parte rutinaria de la solución. Algunos equipos de seguridad se han mostrado reacios a implantar un programa de pruebas de penetración gestionado, optando en cambio por pruebas menos frecuentes por varias razones, como la falta de recursos y la complejidad del entorno de red.
La mejor opción para su organización depende del número de pruebas que necesite realizar al año, de los recursos con los que cuente internamente y del conjunto de habilidades que pongan en práctica esos recursos.
Sea cual sea el método de pruebas de penetración que emplee, hay formas de garantizar que las pruebas sean eficaces y que los expertos en seguridad aprovechen la información y los informes de forma efectiva.
¿Cómo prepararse para las pruebas de penetración?
Para empezar
Independientemente del programa que se utilice, hay que tener en cuenta algunos aspectos internos antes de una prueba. Antes de lanzarse a realizar una evaluación, hay algunas cosas que debería hacer para sacarle el máximo partido:
- Determine la profundidad de las pruebas: Decida la profundidad del entorno que desea examinar.
- Programe las ventanas de prueba: Encuentre un momento que no interrumpa la agenda de su empresa.
- Busque y realice comprobaciones de antecedentes: Comprueba a tu probador. -Asegúrate de que el probador que utilizas es reputado y fiable
- Cree una red privada virtual (VPN): Cree un espacio de trabajo – La configuración de una VPN con cuentas separadas para los probadores mantiene todo claro
- Establezca reglas de compromiso: Discuta y establezca los límites para los probadores y comunique los activos que están fuera de los límites.
Una vez que los resultados de las pruebas están listos, hay algunos pasos más que dar:
- Revisar el informe: Comprender las vulnerabilidades y el impacto asociado.
- Facilitar la corrección: Planificar un curso de acción para remediar cualquier riesgo encontrado durante la prueba.
- Programar y realizar una nueva prueba: Programe la siguiente prueba para ver si la corrección ha funcionado bien y para parchear cualquier otro fallo si es necesario.
Las listas de comprobaciones previas y posteriores a las pruebas pueden abrumar a cualquier equipo de seguridad. Aunque estos elementos pueden parecer sencillos, en realidad, llevan tiempo y requieren experiencia para garantizar que todo está configurado y completado correctamente.
Puede no parecer una larga lista de tareas, pero cuando se hace correctamente, puede ser un proceso tedioso y examinar los resultados puede ser a veces un desafío. El proceso de pruebas y parches puede ser aún más difícil cuando se tiene un equipo de gestión que mira por encima del hombro y exige resultados.
Imagine que su empresa está obligada a realizar cientos de pruebas cada año en un plazo determinado, por ejemplo, cuando está prevista la visita de un auditor. Aunque disponga de un recurso interno dedicado específicamente a la gestión de pruebas, coordinar todos esos pasos para cientos de pruebas puede resultar poco práctico.
También puede ocurrir que la persona que coordina las pruebas no sea un experto en pruebas de penetración, lo que puede llevar a importantes descuidos en el proceso. Si la persona normalmente sólo gestiona la programación de los consultores, y no tiene experiencia relevante, puede no darse cuenta de que un probador necesita un determinado conjunto de credenciales. Como resultado, los encargados de las pruebas de penetración contratados se presentan para el proyecto, pero no pueden empezar, lo que supone una pérdida de tiempo y dinero para la empresa.
La experiencia y los conocimientos también son factores importantes a la hora de realizar las pruebas. Si el CISO no tiene mucha experiencia en la evaluación de riesgos, es posible que pase por alto pasos o procesos importantes que podrían dejarlo vulnerable, incluso después de implementar las correcciones. Si se contratan servicios de pruebas externas, es posible que tengan que realizar las tareas iniciales por usted mismo, lo que aumentará los costos.
Una vez finalizadas las pruebas, la persona que gestiona el programa de pruebas debe trabajar con los probadores para que el equipo pueda comprender y solucionar rápidamente las vulnerabilidades de mayor riesgo. Si el gestor del programa carece de la experiencia pertinente, es posible que no entienda lo que significan los hallazgos y las medidas que deben tomarse para solucionarlos, mientras los activos siguen expuestos a los atacantes durante más tiempo.
Con frecuencia las pruebas producen un gran volumen de resultados y si su CISO no sabe cómo leer los resultados o cómo priorizar la gravedad de los hallazgos, puede parecer que no hay manera de remediar las vulnerabilidades. La persona que gestiona la prueba también debe tener la experiencia necesaria para entender cómo aplicar realmente las correcciones. Esto puede ser más difícil de lo esperado, y cuanto más tiempo se tarde en aprender a gestionarlo, más tiempo estará expuesta la red.
¿Es la prueba gestionada lo que necesita?
El caso de las pruebas gestionadas
Si usted es una organización como la descrita anteriormente, que debe probar cientos de activos cada año, un programa de pruebas de penetración gestionado puede ser la mejor opción para usted.
Si tiene una organización con muchos activos que gestionar, las pruebas frecuentes pueden parecer desalentadoras, pero en realidad pueden ser la opción correcta para usted.
En un programa gestionado, su proveedor de pruebas puede encargarse de las tareas previas y posteriores a las pruebas, incluida la priorización de los activos que necesitan pruebas y la determinación del calendario y la profundidad de estas. También se asegurará de que las credenciales y el acceso a la VPN sean los adecuados antes de que comiencen las pruebas, y puede supervisar la repetición de estas para asegurarse de que los parches se han aplicado correctamente y de que se han implementado medidas compensatorias. Piense en su proveedor como el mariscal de campo de su equipo de pruebas: se encargará de llamar y ejecutar las jugadas que llevan el balón a la zona de anotación y, después, de volver a hacerlo.
Una vez completado el trabajo de configuración inicial para organizar los activos, el proceso puede agilizarse para ser mucho más eficaz y eficiente de lo que sería si se adoptara un enfoque ad hoc. Una vez que su equipo haya ejecutado el programa, podrá detectar mejor los nuevos problemas y actuar en consecuencia.
También puede considerar la posibilidad de realizar pruebas gestionadas si está trabajando para alinearse con los requisitos normativos y carece de procesos o de una estructura de gobierno. Un proveedor gestionado puede recopilar métricas claves mensual o trimestralmente, informar a los ejecutivos y auditores, así como ayudar a su programa de pruebas a abordar los objetivos de cumplimiento y seguridad requeridos. El proveedor también puede introducir los resultados en un sistema de gobierno, riesgo y cumplimiento (GRC), hacer un seguimiento de su progreso e incluso automatizar el proceso para que no tenga que introducir manualmente los resultados de cientos de informes.
Otro factor a tener en cuenta es si su organización necesita alinearse con los requisitos normativos externos. Éstos pueden ser protocolos que cambian y se actualizan con frecuencia y que deben mantenerse al día trimestralmente o incluso mensualmente. El mantenimiento del cumplimiento puede agilizarse si el proceso está semiautomatizado o totalmente automatizado.
¿Es la prueba ad hoc para usted?
El caso de las pruebas ad hoc
Si cuenta con expertos en pruebas de penetración en su plantilla, un enfoque ad hoc no gestionado puede ser lo mejor para usted, dependiendo del número de pruebas que realice al año. Un recurso interno experimentado y a tiempo completo debería entender el proceso de pruebas de penetración y los elementos previos y posteriores a la realización de estas. Ese equipo puede conseguir la autorización de los probadores, proporcionar las credenciales adecuadas, definir las reglas de compromiso, programar las pruebas y dirigir el proceso de reparación.
Si su experto en seguridad tiene experiencia en la realización y ejecución de pruebas de penetración y corrección de errores, puede emplear un programa de pruebas ad hoc no gestionado sin los problemas de mantenimiento mencionados anteriormente. Alguien que esté familiarizado con el proceso también puede determinar los mejores candidatos para la ayuda externa para el trabajo si reconocen que no tienen todos o los requisitos o habilidades necesarios para realizar la prueba e implementar los resultados.
Aunque contratar internamente puede parecer menos costoso a primera vista, puede no ser la opción más eficaz si no se cuenta con todos los recursos adecuados para planificar, ejecutar y hacer el seguimiento del trabajo.
Preguntas que deben hacerse durante el proceso de pruebas de penetración
¿Cómo aprovechar al máximo el proceso de pruebas?
Si está pensando en un programa de pruebas gestionado o en un programa ad hoc, hágase estas preguntas:
- ¿Nuestros recursos internos carecen de la experiencia real en pruebas de penetración?
- ¿Tiene nuestro equipo la experiencia y los recursos necesarios para realizar la prueba de forma eficaz?
- ¿Tenemos muy pocos recursos dedicados a un programa de pruebas para hacer el trabajo correctamente?
- ¿Hemos previsto el tiempo y los recursos necesarios para remediar cualquier problema que surja?
- ¿Tenemos demasiadas personas que dedican demasiado tiempo a nuestro programa de pruebas?
- ¿O hemos dedicado demasiado tiempo y energía a su programa de evaluación de riesgos?
- ¿Es un dolor de cabeza realizar todas las tareas previas y posteriores a las pruebas?
- ¿Probamos cientos de aplicaciones al año o sólo unas pocas?
- ¿Hemos tenido que retrasar los proyectos de pruebas porque no teníamos todo en orden?
- ¿Pasamos demasiadas horas introduciendo manualmente los resultados de las pruebas en nuestro sistema GRC?
Si la respuesta a cualquiera de estas preguntas es «sí», entonces es posible que desee considerar un programa gestionado. Las pruebas son un proceso continuo que requiere tiempo, recursos y atención, pero como muchas empresas de gran éxito saben, es una inversión que merece la pena para evitar que los actores de las amenazas saquen lo mejor de su organización.
Todo esto puede parecer un proceso desalentador y exagerado, pero la inversión en ciberseguridad es un pequeño precio por pagar para evitar el daño a su negocio profesional y financieramente si se ve afectado por un ataque. Siempre es mejor prevenir que lamentar.
Las pruebas de penetración automatizadas de RidgeBot
RidgeBot es un robot inteligente de gestión de vulnerabilidades basado en el riesgo que automatiza las pruebas de penetración, haciéndolas asequibles, con la capacidad de funcionar a mayor escala. Está modelado con un conocimiento colectivo de amenazas, vulnerabilidades y exploits y está equipado con técnicas de hacking de última generación.
RidgeBot actúa como un atacante real, localizando implacablemente los exploits y documentando sus hallazgos. Trabaja dentro de un ámbito definido y se replica instantáneamente para abordar estructuras muy complejas. RidgeBot ofrece a los equipos de seguridad la flexibilidad de realizar pruebas de penetración tanto ad hoc como gestionadas.