Miércoles, 29 enero 2020

Pentest: test de seguridad para prevenir ciberataques

Un pentest (“Penetration Test”), o prueba/test de penetración/intrusión, es un método para evaluar los sistemas de información y la red de una organización simulando un ataque para encontrar vulnerabilidades que permitirían a potenciales atacantes robar información o afectar los activos de la misma (malware, ataques DoS, etc.). Las medidas y controles de seguridad son analizados para encontrar debilidades, fallos técnicos y vulnerabilidades.

Estas pruebas se realizan utilizando técnicas y herramientas similares y en muchos casos las mismas que utilizan los atacantes, pero sin perjudicar a la organización ni realizar actividades ilícitas. Los tests de intrusión realizados para otras partes (por ejemplo, los clientes) deben ir precedidas de un acuerdo firmado donde se defina el alcance del mismo, así como las restricciones y/o limitaciones de las pruebas.

¿Cómo se realiza una prueba de intrusión?

–Identificar y establecer los parámetros del pentest: objetivos, limitaciones y justificación de los procedimientos y/o pruebas a realizar.

–Debe ser realizado por personal especializado.

–Debe ir cubierto por un acuerdo firmado donde se recoja el alcance y demás parámetros del test, así como un acuerdo de confidencialidad (“NDA: Non-Disclosure Agreement”).

competencias-digitales-unir2

–Seleccionar las pruebas a realizar analizando la relación coste-beneficio de las mismas.

–Documentar los resultados de las pruebas detalladamente y haciendo el informe comprensivo para el cliente o la audiencia a la que va dirigido.

–Recoger de una manera clara, concisa y exacta los hallazgos de las pruebas y las recomendaciones para su subsanación.

Tipos de pentesting

–Caja negra (“Black Box”): se basan en que los pentesters no disponen de conocimiento previo acerca de la infraestructura que va a ser probada. Es el tipo de test de intrusión más parecido a un ataque real. Suele ser realizado por personal especializado externo a las organizaciones.

–Caja blanca (“White Box”): se trata del test más completo ya que se parte de un conocimiento completo previo de la infraestructura a ser probada. Normalmente lo realiza personal interno de las organizaciones o se contrata a alguien externo si la empresa no dispone de trabajadores especializados. 

–Caja gris (“Grey Box”): se parte de un conocimiento parcial previo de la infraestructura objetivo del test. Suele ser el tipo de pentest recomendado cuando se contrata a empresas especializadas.

Estas pruebas de penetración pueden realizarse de las siguientes maneras:

–Anunciándolas: se intenta comprometer los sistemas y/o la red de la organización con la cooperación del personal de seguridad y/o IT de la misma para identificar posibles vulnerabilidades en la infraestructura. Son más eficientes e involucran a todos los interesados, pero el nivel de seguridad es más bajo al cooperar con la organización y los resultados menos fiables.

–Sin anunciar: se intenta comprometer los sistemas y/o la red de la organización sin el conocimiento del personal de seguridad para identificar posibles vulnerabilidades en la infraestructura. Sus ventajas radican en que la seguridad es la real que se encontraría un atacante y los resultados son más fiables pero también tiene como aspecto negativo que son pruebas menos eficientes y requieren unos estrictos procesos y procedimientos a seguir.

Los resultados del test de intrusión son documentados en un informe, donde se recogen las vulnerabilidades y debilidades encontradas, así como las maneras en las que pueden ser explotadas.

Beneficios de los pentests

Entre los beneficios de los pentests destacan:

–Ayudan a las organizaciones a probar sus capacidades de ciberseguridad.

–Descubrir las debilidades en la seguridad de las TIC de la organización antes que los atacantes.

–Definir planes de acción correctivos y preventivos de ciberseguridad y justificar a la alta dirección las inversiones requeridas.

–Contribuir a la continuidad de negocio de las empresas.

Los pentests son básicos para la seguridad de empresas y organizaciones, prevenir ataques virtuales y saber responder en caso de incidentes.