Preguntas frecuentes sobre las pruebas de penetración

  • June 17, 2021

Uno de los pasos típicamente requeridos al pasar por una auditoría SOC o una auditoría ISO 27001 es realizar una prueba de penetración para su empresa. Una prueba de penetración (a menudo denominada “prueba de pen”) es un ataque simulado por un tercero que ayuda a encontrar vulnerabilidades en la infraestructura, sistemas y aplicaciones de una empresa. Un tester de penetración luego proporciona un informe con sus hallazgos que una empresa puede usar para solucionar problemas pendientes.

Desafortunadamente, el mundo de las pruebas de penetración es tan complejo como el proceso de cumplimiento. A continuación, hablamos con Alex Lauerman, Fundador y Consultor Principal de Seguridad en TrustFoundry, para responder algunas de las preguntas más comunes que escuchamos de nuestros clientes sobre las pruebas de penetración.

¿Cuál debería ser el alcance de la prueba de penetración para un marco de cumplimiento específico como SOC 2?

Alex Lauerman, TrustFoundry: Si se le requiere realizar una prueba de penetración como parte de un marco de cumplimiento como SOC 2, siempre es mejor trabajar con su auditor para determinar el alcance y asegurarse de que su enfoque sea aceptable.

Generalmente, el requisito de SOC 2 o ISO 27001 será algo como “pruebas de penetración anuales”, lo que deja espacio para la interpretación. La opción más segura es trabajar con su auditor para determinar qué debe cubrir su prueba de penetración.

Una empresa de pruebas de penetración como TrustFoundry puede proporcionar algunas orientaciones basadas en experiencias previas, pero dado que su auditor tiene la última palabra sobre lo que es aceptable, es importante obtener su aprobación al final.

¿Cuándo debería realizarse una prueba de penetración?

Alex Lauerman, TrustFoundry: Las pruebas de penetración típicamente ocurren anualmente porque una prueba anual suele ser el requisito del marco de cumplimiento y también un requisito interno razonable.

Las empresas pueden realizarlas con menor frecuencia si no es necesario o requerido anualmente. También pueden realizarse con mayor frecuencia si hay cambios significativos o actualizaciones de funciones, y una empresa siente que vale la pena buscar posibles vulnerabilidades.

El testeo continuo está ganando popularidad y puede implementarse de diferentes formas con el objetivo general de probar nuevas funcionalidades a medida que se introducen para mantenerse al día con los equipos de desarrollo de ritmo acelerado.

¿Cuánto cuesta una prueba de penetración?

Alex Lauerman, TrustFoundry: Las pruebas de penetración pueden costar desde $1,000 o menos para un alcance extremadamente limitado, y hasta $100,000 o más para una evaluación muy grande. Las evaluaciones más grandes y costosas a menudo contienen múltiples componentes, como pruebas de penetración de red, pruebas de penetración de aplicaciones y pruebas de penetración móvil.

La mayoría de las pruebas de penetración generalmente cuestan entre $5,000 y $20,000, con un promedio de alrededor de $8,000 a $10,000. Si esta es la primera prueba de penetración de su empresa, es probable que su alcance sea pequeño y esté por debajo del promedio en términos de costo.

Es importante tener en cuenta que los precios están generalmente asociados con el nivel de esfuerzo requerido por un tester de penetración, aunque las tarifas pueden variar de una empresa a otra. Si tiene preguntas sobre cómo se estructura el precio o qué se incluirá en la prueba de penetración, debe preguntarle a su tester de penetración.

¿Cómo debería una empresa seleccionar un proveedor de pruebas de penetración?

Alex Lauerman, TrustFoundry: No es fácil diferenciar entre diferentes proveedores de pruebas de penetración, aunque su capacidad para entregar puede diferir enormemente. Usted quiere asegurarse de saber cuál es la oferta, el nivel de esfuerzo y la calidad que recibirá, equilibrando también el costo, el cronograma y otros factores de decisión que tenga.

A continuación, algunos de mis consejos sobre cómo elegir un tester de penetración.

Obtener una referencia

Cuando sea posible, obtenga referencias de personas en las que confíe. Idealmente, debería ser alguien que tenga bastante experiencia o conocimiento en pruebas de penetración.

No se deje engañar por la automatización

Las pruebas de penetración deben aprovechar la automatización cuando sea posible, pero el esfuerzo principal en una prueba de penetración es el análisis manual. Un análisis completamente automatizado sólo puede encontrar entre el 10% y el 20% de las vulnerabilidades en la mayoría de los casos.

Si alguien solo está ejecutando un escaneo, esto no constituye una prueba de penetración y no será efectivo para identificar todas las posibles vulnerabilidades. Recuerde, una prueba de penetración trata de identificar lo que un atacante real podría explotar. Debería discutir con su proveedor dónde se utilizará la automatización y cuánto análisis manual se realizará.

Una señal de alerta sería ver resultados en su informe que provengan directamente de una herramienta. Esto suele ser fácil de detectar porque estas herramientas tienen textos pobres, pero si busca en Google frases específicas o títulos de hallazgos, generalmente se encontrarán textualmente en internet si están integrados en una herramienta.

Revise informes de muestra

Existe una correlación entre la calidad del informe y la calidad de la prueba de penetración. No se concentre en la calidad de los hallazgos en un informe de muestra, ya que las empresas pueden seleccionar vulnerabilidades. En cambio, observe el formato del informe en sí y vea si es visualmente atractivo y está presentado en un formato fácil de entender. Eso debería ayudar a proporcionar una indicación de la calidad del tester de penetración.

A veces los informes pueden ser demasiado largos y contener demasiados datos innecesarios. Busque un resumen claro y conciso para cada hallazgo, completo con capturas de pantalla y datos relevantes. Si algo es fácil de entender, generalmente es señal de un tester de penetración habilidoso. Un buen tester de penetración escribirá su propio informe con el objetivo final en mente: que el cliente tome estos resultados y forme acciones concretas para la remediación.

Un buen formato puede ser un placer para trabajar. Verifique que el informe de muestra tenga una tabla de contenidos y sea indexable desde la barra lateral. Esto hace que saltar de un hallazgo a otro sea simple y fácil. Sus ingenieros se lo agradecerán.

Investigue a los consultores que realizarán el trabajo

La industria de pruebas de penetración está en constante evolución, por lo que debe buscar una empresa donde los consultores estén completamente dedicados a las pruebas de penetración en lugar de dividir su tiempo entre una variedad de tareas relacionadas con seguridad. También puede preguntar quién es probable que realice el trabajo y sus biografías. A partir de ahí, puede ver si estos consultores tienen certificaciones bien respetadas, como las de Offensive Security, o están involucrados en la industria de pruebas de penetración a través de blogs o conferencias.

Seleccione una empresa del tamaño adecuado para su compañía

Si es una empresa grande con un largo proceso de adquisiciones, una organización de pruebas de penetración más grande que tenga más ofertas puede ser una buena opción. Si es una empresa pequeña o mediana y desea un tester de penetración que sea más ágil, entusiasmado por ganar su negocio y proporcionar una gran experiencia, podría seleccionar una empresa más pequeña.

Evite empresas que no han estado en el negocio por mucho tiempo o que no han crecido, ya que eso suele ser un indicio de su calidad.

Lea su contenido

Una forma útil de evaluar una empresa es a través de su blog. Las empresas que realizan pruebas de penetración de calidad generalmente tendrán contenido e información de calidad sobre los desafíos de sus clientes o investigaciones de seguridad.

Obtenga múltiples ofertas

Si después de seguir todos estos pasos, aún no está seguro, obtenga múltiples ofertas de diferentes empresas. Durante estas discusiones, aprenderá más sobre lo que la gente ofrece y por qué, y qué empresa parece ser la mejor opción para sus necesidades, presupuesto y cronograma.

Si está interesado en obtener cumplimiento SOC 2 y conectarse con uno de los testers de penetración preferidos de Secureframe como TrustFoundry, ¡programe una demostración gratuita hoy mismo!