Cómo elegir una empresa de pruebas de penetración

Evaluaciones de riesgo, políticas de seguridad de la información, auditorías de cumplimiento anuales, certificaciones. Tu organización dedica una cantidad significativa de tiempo y recursos para implementar procesos de seguridad para defenderse contra amenazas externas.

Pero, ¿cómo pruebas esas defensas de manera significativa? Una prueba de penetración puede actuar como un ensayo para evaluar la fortaleza de tu postura de seguridad.

¿Qué es la prueba de penetración?

Con una prueba de penetración, también conocida como “pen test,” una empresa contrata a un tercero para lanzar un ataque simulado diseñado para identificar vulnerabilidades en su infraestructura, sistemas y aplicaciones. Luego, puede usar los resultados de ese ataque simulado para corregir cualquier vulnerabilidad potencial. Es una manera en que las organizaciones pueden evaluar y fortalecer su postura general de seguridad.

Las pruebas de penetración pueden parecer un paso innecesario en un proceso de cumplimiento ya largo, pero los beneficios generalmente valen la pena el tiempo y el esfuerzo adicionales. Aquí hay algunas ventajas de las pruebas de penetración:

Prevenir brechas costosas

A medida que los ataques se vuelven más comunes y adoptan nuevas formas, las empresas dependen cada vez más de las pruebas de seguridad para identificar y abordar posibles vulnerabilidades de seguridad.

Una revisión de las brechas de ciberseguridad desde 2011 encontró que el costo promedio de un ciberataque en una empresa que cotiza en bolsa es de $116 millones. Algunas de las brechas más costosas incluyen Equifax en 2017 ($1.7 mil millones), The Home Depot en 2014 ($298 millones), Target en 2013 ($292 millones) y Marriott en 2018 ($118 millones).

Fortalecer la confianza del cliente

Los clientes pueden pedirte realizar una prueba de penetración anual por terceros como parte de su debida diligencia en la compra, legal y de seguridad.

Eliminar dudas

Una prueba de penetración puede demostrar que los problemas anteriores de seguridad de las aplicaciones, si los hubo, se han resuelto para restaurar la confianza de los clientes y socios.

Ayudar con el cumplimiento

Las pruebas de penetración son comúnmente requeridas para cumplir con ciertos marcos regulatorios y de cumplimiento, incluido SOC 2, GDPR, ISO 27001, PCI DSS, HIPAA, y FedRamp.

Satisfacer los requisitos del proveedor

¿Planeas integrarte con servicios como Google Workplace? Si es así, Google puede requerir que realices una prueba de penetración para acceder a ciertas API restringidas.

¿Qué sucede durante una prueba de penetración?

Ahora que hemos cubierto qué es la prueba de penetración y por qué es importante, entremos en los detalles del proceso.

Primero, ¿quién realiza las pruebas de penetración?

Con las pruebas de penetración, esencialmente estás invitando a alguien a intentar ingresar a tus sistemas para que puedas evitar que otras personas entren. Utilizar un probador de penetración que no tenga conocimiento o comprensión previa de tu arquitectura te dará los mejores resultados.

Es por eso que las pruebas de penetración suelen ser realizadas por consultores externos. Estos expertos en seguridad están capacitados para identificar, explotar y documentar vulnerabilidades y utilizar sus hallazgos para ayudarte a mejorar tu postura de seguridad. La mayoría de los probadores de penetración son consultores de seguridad o desarrolladores experimentados que tienen una certificación para la prueba de penetración. También están disponibles herramientas de prueba de penetración como NMap y Nessus.

A continuación, ¿cómo se realiza la prueba de penetración? Generalmente, una prueba de penetración sigue estos pasos:

El proceso de prueba de penetración

Alcance

¿Qué sistemas operativos y metodologías de alcance se utilizarán en tu prueba de penetración? Debido a que el probador de penetración podría acceder a información privada durante el curso de su trabajo, ambas partes deben firmar un acuerdo de confidencialidad antes de comenzar la prueba de penetración.

Recolección de información

Una vez que hayas acordado el alcance de tu prueba de penetración, el probador de penetración reunirá información públicamente disponible para comprender mejor cómo funciona tu empresa. Eso podría implicar el uso de rastreadores web para identificar los objetivos más atractivos en la arquitectura de tu empresa, nombres de red, nombres de dominio y un servidor de correo.

Identificación de amenazas y vulnerabilidades

El probador de penetración identificará posibles vulnerabilidades y creará un plan de ataque. Sondearán en busca de vulnerabilidades y puertos abiertos u otros puntos de acceso que puedan proporcionar información sobre la arquitectura del sistema.

Explotación de vulnerabilidades

El probador de penetración explotará las vulnerabilidades identificadas a través de ataques comunes de aplicaciones web como la inyección de SQL o el secuestro de sitios cruzados, e intentará recrear las consecuencias que podrían ocurrir de un ataque real. Eso generalmente significa que el probador de penetración se enfocará en obtener acceso a datos restringidos, confidenciales y/o privados.

Mantenimiento de explotaciones/movimiento lateral

A medida que el probador de penetración mantiene el acceso a un sistema, recopilará más datos. El objetivo es imitar una presencia persistente y obtener acceso en profundidad. Las amenazas avanzadas a menudo acechan en el sistema de una empresa durante meses (o más) para acceder a los datos más sensibles de una organización.

Remediación

La firma de pruebas de penetración generalmente te proporciona un informe inicial de sus hallazgos y te brinda la oportunidad de remediar cualquier problema descubierto. Después de completar la remediación, la firma intentará nuevamente esos exploits conocidos para descubrir si esas soluciones son suficientes para prevenir futuros ataques.

Análisis y reporte

El probador de penetración crea un informe final que resume:

1. Vulnerabilidades explotables y el(los) impacto(s) potencial(es) de una brecha. Las vulnerabilidades deben clasificarse por nivel de riesgo y tipo.
2. Datos restringidos, confidenciales y/o privados a los que se accedió.
3. La duración del tiempo que el probador de penetración permaneció sin ser detectado en los sistemas de la empresa.
4. Si las vulnerabilidades identificadas se remedieron con éxito.

En última instancia, este informe debe cubrir dos cosas: delinear las mayores amenazas estratégicas desde una perspectiva empresarial (para la gerencia) y describir las amenazas técnicas que deben solucionarse (por ejemplo, a través de actualizaciones de seguridad).

¿Cuáles son los tipos de pruebas de penetración?

Hay dos formas generales de pensar sobre las pruebas de penetración: Diseño de Pruebas y Métodos de Ataque.

Tipos de pruebas de penetración

Diseño de pruebas

Caja negra o prueba de penetración externa

Debido a que los evaluadores de penetración no reciben información sobre el entorno que están evaluando, las pruebas de caja negra simulan un ataque de un tercero externo conectado a internet sin conocimiento previo o interno de la empresa.

Prueba de doble ciego

Una prueba de penetración de “doble ciego” es un tipo especializado de prueba de caja negra. Durante las pruebas de doble ciego, la empresa que está siendo evaluada asegura que la menor cantidad de empleados posible esté al tanto de la prueba. Este tipo de prueba puede evaluar con precisión la postura de seguridad interna de tus empleados.

Prueba de caja gris

Durante una prueba de penetración de caja gris, al evaluador de penetración se le da conocimiento limitado del entorno que está evaluando y una cuenta de usuario estándar. Con esto, pueden evaluar el nivel de acceso e información que tendría un usuario legítimo de un cliente o socio que tenga una cuenta.

Prueba de caja blanca

Durante una prueba de penetración de caja blanca, al evaluador de penetración se le da conocimiento interno de la arquitectura interna del entorno que está evaluando. Esto les permite determinar el daño que un empleado actual o anterior malintencionado podría causar a la empresa.

Prueba de penetración interna

Una prueba de penetración interna es similar a una prueba de caja blanca. Durante una prueba de penetración interna, al evaluador de penetración se le da una gran cantidad de información específica sobre el entorno que está evaluando, es decir, direcciones IP, esquemas de infraestructura de red y protocolos utilizados además del código fuente.

Métodos de ataque

También puedes solicitar evaluadores de penetración con experiencia en métodos específicos de hacking ético si crees que tu empresa es particularmente vulnerable. Aquí hay algunos ejemplos de pruebas de penetración:

• Pruebas de aplicaciones, incluidas aplicaciones móviles, de software y web.
• Pruebas de redes, incluidas cuestiones de enrutamiento, firewalls, escaneo de puertos, FTP y sockets seguros.
• Pruebas inalámbricas, incluidas redes inalámbricas, puntos de acceso de baja seguridad y puntos de acceso.
• Pruebas físicas, incluidas ataques de fuerza bruta y en el sitio para acceder a dispositivos físicos de red y puntos de acceso.
• Pruebas de ingeniería social como el phishing, diseñadas para engañar a los empleados para que revelen información sensible, generalmente a través de teléfono o correo electrónico.
• Pruebas en la nube, incluidas el almacenamiento en la nube y el manejo de documentos.
• Pruebas del lado del cliente, donde se explotan vulnerabilidades en programas de software del lado del cliente.

¿Cuánto cuesta una prueba de penetración?

El costo de una prueba de penetración está determinado en gran medida por el alcance y la complejidad de los sistemas de la empresa. Cuanto mayor sea el número de activos físicos y de datos, sistemas informáticos, aplicaciones/productos, puntos de acceso, ubicaciones físicas de oficinas, proveedores y redes que tengas, más costosa será tu prueba de penetración.

El costo de tu prueba de penetración también puede verse afectado por la duración del compromiso, el nivel de experiencia del evaluador de penetración que elijas, las herramientas necesarias para completar la prueba de penetración y el número de evaluadores de penetración externos involucrados.

Alex Lauerman, Fundador y Consultor Principal de Seguridad en TrustFoundry, explica: "Las pruebas de penetración pueden costar desde $1,000 o menos para un alcance extremadamente reducido, y hasta $100,000 o más para una evaluación de vulnerabilidades muy grande. Las evaluaciones de seguridad más grandes y costosas a menudo contienen múltiples componentes, como pruebas de penetración de redes, pruebas de penetración de aplicaciones y pruebas de penetración móviles."

Según Lauerman, la mayoría de las pruebas de penetración cuestan entre $5,000-$20,000, siendo el promedio entre $8,000-$10,000.

¿Requieren SOC 2 e ISO 27001 una prueba de penetración?

La respuesta corta es: la mayoría de las veces.

En términos generales, cumplirás con los requisitos de auditoría de SOC 2 e ISO 27001 para evidencia suficiente si realizas una prueba de penetración de terceros con un proveedor de buena reputación al menos una vez al año y te aseguras de identificar y resolver cualquier vulnerabilidad crítica y de alto riesgo que se identifique.

Requisitos de pruebas de penetración para SOC 2

Si bien una prueba de penetración no es un requisito explícito para el cumplimiento de SOC 2, casi todos los informes de SOC 2 los incluyen y muchos auditores requieren uno. También son una solicitud muy frecuente de los clientes, y recomendamos encarecidamente completar una prueba de penetración exhaustiva de un proveedor de buena reputación.

En los casos en que los auditores no te exijan completar una prueba de penetración de terceros, aún así suele ser necesario que realices escaneos de vulnerabilidades, clasifiques los riesgos resultantes de estos escaneos y tomes medidas para mitigar los riesgos más altos de manera regular.

Requisitos de pruebas de penetración para ISO 27001

ISO 27001 requiere que las empresas prevengan la explotación de vulnerabilidades técnicas (control A.12.6.1, Anexo A, ISO 27001:2013). Realizar escaneos y análisis de vulnerabilidades en tu red y sistemas de información identifica riesgos de seguridad, pero no necesariamente te dirá si estas vulnerabilidades son explotables.

Deberás combinar el escaneo de vulnerabilidades con una prueba de penetración de terceros para proporcionar suficiente evidencia a tu auditor de que eres consciente de las vulnerabilidades y entiendes cómo pueden ser explotadas.

Cómo seleccionar una empresa de pruebas de penetración

Las necesidades de seguridad y cumplimiento de cada empresa son únicas, pero aquí tienes algunos consejos y mejores prácticas para seleccionar una empresa de pruebas de penetración:

Tipo de prueba técnica de penetración

Las pruebas de penetración difieren en el alcance y el diseño de la prueba, así que asegúrate de discutir ambos aspectos con cualquier empresa de pruebas de penetración potencial. Para el alcance, querrás considerar si deseas una prueba de penetración de toda tu empresa, de un producto específico, solo de aplicaciones web o solo de red/infrastructura.

Para el diseño de la prueba, generalmente tendrás que decidir cuánta información deseas proporcionar a los probadores de penetración. En otras palabras, ¿quieres simular un ataque por parte de un insider o de un externo?

Transparencia

Pide a tu proveedor una declaración clara de trabajo que cubra lo siguiente:

• Seguridad, incluidos los antecedentes de los probadores de penetración y la recertificación continua de seguridad.
• Período de tiempo del compromiso
• Preocupaciones de privacidad
• Áreas mutuamente acordadas como “fuera de los límites” para las pruebas de penetración, si las hay.
• Número de vectores de ataque abordados.

Idealmente, su prueba de penetración debería cubrir una amplia variedad de vectores de ataque de seguridad de red, host y aplicaciones. Los ejemplos incluyen los 10 principales de OWASP, DDoS y DDoS, IDOR, ejecución remota de código, fuerza bruta de DNS, secuestro de subdominio de DNS, cifrados en desuso y scripting entre sitios.

Experiencia del probador de penetración y tamaño del equipo de prueba

Si ciertos vectores de ataque son importantes para su empresa, contrate equipos de probadores de penetración con diferentes especializaciones.

También querrá buscar probadores de penetración con una mezcla de formación técnica relevante y experiencia práctica. Las certificaciones relevantes incluyen Hacker Ético Certificado (CEH), Probador de Penetración Licenciado (LPT), Investigador de Explotaciones GIAC y Probador de Penetración Avanzada (GXPN) y Profesional Certificado en Seguridad Ofensiva (OSCP).

Flexibilidad

Si su empresa tiene una variedad de activos complejos, es posible que desee encontrar un proveedor que pueda personalizar toda su prueba de penetración, incluyendo la priorización de activos, proporcionar incentivos adicionales para identificar y explotar fallas de seguridad particulares, y asignar probadores de penetración con conjuntos de habilidades específicas.

Seguro de responsabilidad

Asegúrese de que su proveedor de pruebas de penetración tenga un seguro adecuado para cubrir el potencial de datos comprometidos o violados durante las pruebas de penetración.

Calidad del informe final

Querrá establecer expectativas de informes sólidas que proporcionen tanto asesoramiento estratégico de seguridad sin jerga que esté claramente explicado, como vulnerabilidades técnicas clasificadas con sugerencias para la remediación, incluyendo instancias específicas. Las métricas clave de pruebas de penetración incluyen el nivel de criticidad o clasificación de problemas/vulnerabilidades, el tipo o clase de vulnerabilidad y el costo proyectado por error.

¿Listo para su primera prueba de penetración?

Tenemos la suerte de asociarnos con fantásticos servicios de pruebas de penetración. Después de completar su prueba de penetración, le proporcionaremos asesoramiento sobre cómo interpretar los resultados de su prueba de penetración y fortalecer la postura de seguridad de su empresa. Solicite una demostración o comuníquese con sales@secureframe.com si desea obtener más información.