Escaneo de Vulnerabilidades vs Pruebas de Penetración: ¿Qué Evaluación de Seguridad Necesita?
Las evaluaciones de seguridad regulares son un componente crítico de tu estrategia de seguridad general. Sin embargo, entender los diferentes tipos de evaluaciones de seguridad y sus beneficios puede ser confuso, particularmente las diferencias entre las pruebas de penetración y los escaneos de vulnerabilidades.
Las pruebas de penetración y los escaneos de vulnerabilidades son métodos críticos para evaluar la seguridad de los sistemas de una organización, pero difieren en su alcance, profundidad y propósito.
Aclararemos las diferencias clave entre los dos tipos de pruebas y cómo funcionan juntas para que puedas elegir el enfoque adecuado para las necesidades de tu organización.
¿Qué es una prueba de penetración?
Una prueba de penetración, también conocida como “pen test”, es cuando una empresa contrata a un tercero para lanzar un ataque simulado en sus sistemas. Este ciberataque simulado ayuda a identificar vulnerabilidades desconocidas en la infraestructura, sistemas y aplicaciones de la organización. Las pruebas de penetración son una forma común para que las organizaciones evalúen y fortalezcan su postura de seguridad.
Durante una prueba de penetración, los hackers éticos (también conocidos como “hackers de sombrero blanco”) intentan ingresar a una aplicación o sistema para descubrir y explotar posibles vulnerabilidades. Además de intentar hackear el sistema, a veces los probadores de penetración realizan ejercicios de ingeniería social como parte de la prueba de penetración. Un ejemplo de esto sería el phishing. Luego comparten sus hallazgos en un informe de prueba de penetración para ayudar a las organizaciones a entender y solucionar cualquier problema antes de que los hackers reales puedan explotar las debilidades.
Algunas organizaciones eligen someterse a una prueba de penetración para lograr o mantener el cumplimiento con marcos específicos de ciberseguridad. Aunque no todos los estándares de seguridad requieren una prueba de penetración o un escaneo de vulnerabilidades, completar una prueba de penetración es una forma común de cumplir con los requisitos de cumplimiento.
- SOC 2: Aunque una prueba de penetración no es un requisito explícito para el cumplimiento SOC 2, casi todos los informes SOC 2 los incluyen y muchos auditores requieren uno.
En general, los auditores no requieren una prueba de penetración para SOC 2 Tipo 1, pero sí la requieren para SOC 2 Tipo 2. Sin embargo, dependiendo de la naturaleza de tu entorno e infraestructura de TI, los auditores pueden requerir una prueba de penetración para un informe de Tipo 1. A veces (dependiendo del entorno) se pueden realizar escaneos de vulnerabilidades internos y externos increíblemente robustos en lugar de una prueba de penetración. - ISO 27001: Aunque no es específicamente requerido, una prueba de penetración se utiliza típicamente para cumplir con el Anexo A 12.6.1, que exige a las organizaciones prevenir que las vulnerabilidades potenciales sean explotadas. Una prueba de penetración suele ser necesaria para proporcionar suficiente evidencia a tu auditor de que eres consciente de las vulnerabilidades y entiendes cómo se pueden explotar.
- PCI DSS: Las organizaciones deben completar una prueba de penetración PCI al menos una vez al año o después de cualquier actualización importante de los sistemas. Comparado con una prueba de penetración regular, las pruebas de penetración PCI tienen una guía más específica sobre la cantidad mínima de vulnerabilidades a considerar, como fallos de inyección y desbordamientos de búfer. La metodología de prueba también requiere específicamente pruebas a nivel de aplicación y de red de todos los sistemas y riesgos internos y externos.
- HIPAA: Aunque no se requiere específicamente, una prueba de penetración generalmente se realiza como parte de un análisis de riesgo de seguridad requerido.
- GDPR: No específicamente requerido, pero el Artículo 32 requiere "un proceso para probar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento".
- CCPA: No específicamente requerido, pero recomendado como parte del mantenimiento de un nivel de seguridad razonable y para evitar multas por violación.
Tipos de pruebas de penetración
Prueba de caja blanca
Durante una prueba de penetración de caja blanca, al hacker ético se le da conocimiento interno del entorno que está evaluando. Esto les permite determinar el nivel de daño que un empleado malicioso (actual o anterior) podría causar a la empresa.
Prueba de caja gris
Con una prueba de penetración de caja gris, a los evaluadores se les da un conocimiento limitado del entorno que están evaluando y una cuenta de usuario estándar. Esto les permite evaluar el nivel de acceso e información que un usuario legítimo tendría en los sistemas de la organización.
Prueba de caja negra o de penetración externa
Durante una prueba de caja negra, a los evaluadores de penetración no se les da ninguna información sobre el entorno que están evaluando. Estas pruebas simulan un ataque de un tercero externo sin conocimiento previo o interno de la organización.
Prueba de doble ciego
Este tipo especializado de prueba de caja negra está diseñado para evaluar la postura de seguridad interna de sus empleados. Durante este tipo de prueba, se informa a la menor cantidad posible de empleados sobre la prueba.
Prueba de penetración interna
Una prueba de penetración interna es similar a una prueba de caja blanca. Durante una prueba de penetración interna, al evaluador de penetración se le da una gran cantidad de información específica sobre el entorno que está evaluando, como direcciones IP, esquemas de infraestructura de red y código fuente.
Lecturas recomendadas
Pruebas de Penetración 101
¿Qué es un escaneo de vulnerabilidad?
También conocido como evaluación de vulnerabilidades, este tipo de evaluación de seguridad es un escaneo de alto nivel de los dispositivos, sistemas y redes de una organización. Los escaneos de vulnerabilidad proporcionan una visión general de los problemas que podrían ser explotados.
Estas evaluaciones son automatizadas y pueden durar desde unos pocos minutos hasta varias horas. También pueden ser desencadenadas manualmente o programadas para ejecutarse regularmente. Pueden ser evaluaciones de escaneo de vulnerabilidad de terceros realizadas por terceros independientes externos, o pueden ser realizadas internamente utilizando herramientas/servicios que ya pueden formar parte de su stack tecnológico, como AWS Inspector o Dependabot de Github.
Los escáneres de vulnerabilidad simplemente informan sobre cualquier vulnerabilidad encontrada. El equipo de seguridad de la información de la organización debe profundizar para entender esas vulnerabilidades, confirmar que existen, eliminar cualquier falso positivo y priorizar y remediar las brechas en los plazos apropiados.
Cómo decidir entre pruebas de penetración y escaneo de vulnerabilidades
Aunque las pruebas de penetración y el escaneo de vulnerabilidades están diseñados para evaluar la postura de seguridad de una organización, existen algunas diferencias clave.
Un escaneo de vulnerabilidades es una prueba de alto nivel que se enfoca en encontrar, priorizar y reportar vulnerabilidades utilizando herramientas automatizadas.
Una prueba de penetración puede utilizar un escaneo de vulnerabilidades como parte del proceso, pero va más en profundidad. El objetivo del hacker ético no solo es descubrir vulnerabilidades, sino también explotarlas, y potencialmente moverse más a fondo en su entorno para descubrir amenazas adicionales.
Durante una prueba de penetración, las simulaciones de modelado de amenazas mapean toda la superficie de ataque de la aplicación para identificar posibles puntos de entrada de ataque. Los escaneos de vulnerabilidad automatizados no necesariamente consideran la lógica de negocio de la aplicación de la organización, lo que podría llevar a vulnerabilidades pasadas por alto o falsos positivos.
En resumen, los escaneos de vulnerabilidad son como el sistema operativo de tu coche ejecutando un escaneo diagnóstico periódico para señalar un problema. Las pruebas de penetración son como tener un mecánico autorizado revisando tu vehículo de punta a punta.
| Vulnerability Scan | Penetration Test | |
|---|---|---|
| Goal | Finds, ranks, and reports on existing vulnerabilities that may compromise a system through use of a tool | A white hat hacker discovers and exploits vulnerabilities, pivoting through the environment to discover deeper threats |
| Who | An ASV for external scans, third party or qualified internal personnel for internal scans | Third party or qualified internal personnel (must have a penetration testing methodology and experience) |
| When | Quarterly and after significant system changes | Annually and after significant system changes |
| How | An automated tool to find and report vulnerabilities | A manual testing process that discovers vulnerabilities, uses vulnerabilities to discover additional threats, and thoroughly reports findings including remediation |
| Reports | Ranking by severity of potential vulnerabilities found including generic publically available description | Description of each vulnerability verified or discovered during testing including a proof of concept and remediation guidance |
| Duration | Lasts several seconds to minutes depending on the scanned host, or hours depending on the network | Lasts days to weeks based on the scope of the test and size of the environment |
¿Cuánto cuesta una prueba de penetración o una evaluación de vulnerabilidades?
Los costos de las evaluaciones de seguridad pueden variar ampliamente según el alcance y la complejidad de tus sistemas.
El costo de tu prueba de penetración será afectado por factores que incluyen:
- Número de activos físicos y de datos
- Complejidad de sistemas informáticos, aplicaciones y/o productos
- Número de redes, proveedores, puntos de acceso y ubicaciones físicas de oficinas
- Duración del compromiso de la prueba de penetración
- Herramientas específicas necesarias para completar la evaluación
- Nivel de experiencia del evaluador de penetración elegido
- Tamaño del equipo involucrado en la prueba de penetración
La mayoría de las pruebas de penetración cuestan entre $5,000-$20,000, siendo el promedio entre $8,000-$10,000. Las evaluaciones de vulnerabilidad típicamente cuestan entre $2,000 y $2,500, dependiendo del número de direcciones IP, servidores y aplicaciones que necesiten ser analizados.
¿Con qué frecuencia debes realizar una evaluación de seguridad?
Recomendamos enfáticamente que las organizaciones realicen una evaluación de seguridad, como una prueba de penetración, al menos una vez al año. También es prudente completar una evaluación de seguridad después de cualquier cambio importante en tu sistema o entorno. Mantener pruebas de penetración consistentes anuales o bianuales te ayudará a mantenerte al tanto de las amenazas emergentes y gestionar vulnerabilidades.
La mayoría de los marcos de cumplimiento requieren que las organizaciones realicen una evaluación de seguridad anual, como una prueba de penetración. Los clientes también pueden pedirte que realices una prueba de penetración anual como parte de su proceso de diligencia debida o acuerdo contractual.
Lista de empresas confiables de pruebas de penetración y escaneo de vulnerabilidades
Secureframe se asocia con los proveedores de pruebas de penetración y escaneo de vulnerabilidades más confiables para ayudar a nuestros clientes a alcanzar los mejores estándares de seguridad. Esta lista incluye firmas muy respetadas que se especializan en todo tipo de evaluaciones de seguridad.
BSK Security
Las pruebas de penetración de BSK Security cubren aplicaciones web y móviles, sistemas en la nube y API con scripts de prueba diseñados para encontrar vulnerabilidades del sistema.
Cobalt
Los evaluadores de penetración cuidadosamente seleccionados de Cobalt tienen mucha experiencia en evaluaciones y pruebas de penetración para aplicaciones móviles y web, API web, seguridad de red y más.
CyAlpha
Los hackers éticos altamente experimentados y entrenados militarmente de CyAlpha ofrecen pruebas y validación seguras de la infraestructura y aplicaciones de TI.
Federacy
La plataforma de pruebas de penetración de Federacy ofrece un proceso eficiente de recopilación de datos y generación de informes utilizando estándares líderes en la industria.
GRSee
Con un proceso de incorporación integral, GRSee adquiere una comprensión profunda de los procesos de gestión de vulnerabilidades y la lógica empresarial de cada cliente, lo que les permite diseñar enfoques de prueba personalizados.
Insight Assurance
Insight Assurance realiza servicios de pruebas de penetración en el momento utilizando una combinación de herramientas automáticas y manuales por parte de hackers éticos experimentados.
Lost Rabbit Labs
Los expertos en seguridad de Lost Rabbit Labs ofrecen herramientas de pruebas de penetración que se enfocan en identificar y eliminar posibles caminos de ataque, vulnerabilidades y filtraciones de seguridad de datos.
Moss Adams LLP
Moss Adams ofrece evaluaciones de seguridad integrales y pruebas de penetración en profundidad que imitan intentos del mundo real para infiltrarse en su red.
Prescient Security
El equipo de Prescient Security ofrece servicios integrales de evaluación de seguridad y pruebas de penetración que incluyen ingeniería social, pruebas de aplicaciones móviles y web, análisis de código y mucho más.
Rhymetec
La prueba de penetración de Rhymetec puede simular ataques contra aplicaciones web y móviles, API, redes e infraestructura inalámbrica.
Schellman Compliance LLC
Schellman Compliance ofrece un conjunto completo de servicios de pruebas de penetración y evaluación de seguridad para ayudar a las organizaciones a identificar vulnerabilidades.
Secure Cloud Innovations LLC
Los profesionales de seguridad de Secure Cloud Innovations ayudan a las empresas a identificar y prevenir vulnerabilidades dentro de sus redes y aplicaciones mediante una combinación de metodologías de pruebas de penetración.
Software Secured
Software Secured ofrece servicios de pruebas que están personalizados para su organización para mejorar y fortalecer su postura de seguridad.
TrustFoundry
La gama completa de servicios de pruebas de penetración de TrustFoundry puede ayudar a su empresa a identificar y eliminar vulnerabilidades de seguridad, con más de 1,000 evaluaciones realizadas y 40 años de experiencia en pruebas de penetración.
PCI DSS Approved Scanning Vendors (ASV)
El Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) mantiene una lista de proveedores de escaneo aprobados para organizaciones que están obligadas a mantener el cumplimiento de PCI DSS.
Su base de datos searchable permite a las empresas encontrar un ASV que satisfaga sus necesidades exactas y sirva a su ubicación geográfica.
Monitoree vulnerabilidades y mantenga una seguridad de primer nivel con Secureframe
Las evaluaciones de seguridad le brindan una comprensión más profunda de su postura de seguridad en general y le ayudan a construir un plan de acción para la mejora. Con una plataforma de automatización de seguridad y cumplimiento como Secureframe, puede poner ese plan en práctica.
- Supervise continuamente su pila tecnológica y reciba alertas por fallas en las pruebas. Secureframe extrae datos de Vulnerabilidades y Exposiciones Comunes (CVE) de múltiples integraciones para alertarle automáticamente cuando se descubren vulnerabilidades.
- Gestione el riesgo, los proveedores y los activos para obtener una vista de 360 grados de su postura de seguridad y el panorama de amenazas.
- Obtenga orientación experta de gerentes de éxito del cliente (CSM) dedicados y expertos en cumplimiento, además de acceso a una red de socios de auditores confiables y empresas de pruebas de penetración.
Aprenda más sobre cómo Secureframe puede ayudarle programando una demostración personalizada hoy mismo.