Este es el primero de una serie de artículos sobre el Estado de las Pruebas de Penetración en 2021.  La serie de artículos culminará con el webinar  Pruebas de penetración en 2021, cómo comprarlas y aprovecharlas, el cual se dará el jueves 25-mar-21 1pm.  Te invitamos a registrarte haciendo click aquí.

Muchos de nosotros hacemos pruebas de penetración periódicas siguiendo la  buena práctica o por alguna regulación que aplique a la industria en la cual nos desempeñamos. Por ejemplo, la Superintendencia de Bancos de Panamá en el Acuerdo 6 del 2011 implanta diferentes directrices sobre la banca en línea incluyendo la necesidad de las pruebas de penetración internas y externas

Independientemente de si haces las pruebas de penetración por  cumplimiento o por buena práctica, debes tener en cuenta que todo proceso debe adecuarse a los tiempos y las necesidades del negocio.

En este primer artículo de la serie en Pruebas de Penetración en 2021, Greenfence Security sentará las bases sobre diferentes conceptos sobre las pruebas de penetración.  

Clasificación de las Pruebas de Penetración

Las pruebas de penetración pueden clasificarse en varias dimensiones, siendo las tradicionales: el alcance y el conocimiento previo del entorno. Detallo abajos estas dimensiones:

Pruebas de Penetración según su Alcance

Esta dimensión es lo que normalmente conocemos. Los diferentes tipos de de pruebas de penetración tomando en cuenta el alcance son:

• Prueba de Penetración Interna: se  ataca la red  interna. Usualmente se le da acceso al consultor a la red con un equipo preconfigurado con las herramientas. Se hace comúnmente con el objetivo de identificar vulnerabilidades y validar la capacidad de prevenir, identificar y reaccionar ante ataques.
• Prueba de Penetración Externa: se ataca a la red de equipos publicados en  Internet. Se hace con el objetivo de saber qué tan fácil es penetrar los controles externos y llegar a la red interna partiendo de un acceso a los sistemas desde un IP externo.
• Prueba de Penetración de Aplicación web. Se hace con el objetivo de validar extensamente una aplicación web para identificar vulnerabilidades en la programación.

Prueba de Penetración según el Conocimiento del Entorno

Esta dimensión hace referencia a la información que es compartida con la empresa consultora.

• Black Box: Se comparte muy poca información con la empresa consultora que realizará la prueba de penetración.  Usualmente solamente el IP de los equipos que serán objeto del análisis.  Se hace con el objetivo de simular a un atacante que no tiene conocimiento alguno del entorno al cual ataca. 

• White Box: donde se comparte la mayor cantidad de información con la empresa consultora que realizará la prueba de penetración.  En adición de compartir acceso es común darle acceso no administrativo a los sistemas y aplicaciones para que la empresa consultora pueda validar controles desde el punto de vista de un usuario autenticado.

Las tradicionales dimensiones arriba mencionadas se ven complementadas en 2021 con otros conceptos como blue teaming, red teaming y adversary attack simulation.

Otros conceptos de Prueba de Penetración en el 2021

• Blue teaming:  es el término que agrupa a todas las actividades relacionadas a la ciberdefensa de una empresa u organización.  Generalmente el equipo azul compra el servicios de pruebas de penetración para validar sus propios controles.
• Red teaming:  son las actividades de seguridad ofensiva que tradicionalmente  se desarrollaban  en las dimensiones arriba mencionadas.  La evolución de la industria de la prestación de servicios de prueba de penetración nos  ha traído  nuevas formas de contratar servicios de pruebas de penetración.

Ejemplos de nuevos servicios

• Atomic Testing o Pruebas atómicas: son pruebas unitarias y automatizadas que buscan simular el comportamiento de una atacante en la red o equipo. Se hace con el objetivo de rápidamente identificar si el ataque es posible o reconocido por el equipo de defensa. Son normalmente llevadas a cabo en un periodo máximo de 7 días. 
• Red Teaming o Pruebas de Penetración: son las tradicionales pruebas de penetración donde un equipo de expertos utilizan herramientas y su ingenio para vulnerar a una empresa.  Son normalmente llevadas a cabo en un periodo de entre 7 y 30 días.
• Adversary Attack Simulation o Simulación del Ataque de un Adversario: son pruebas especializadas donde se contrata a una empresa consultora para que simule el accionar de un grupo de atacantes (APT).  Este tipo de servicio especializado es solamente recomendado para organizaciones con programas de seguridad maduros.
• Purple teaming: son los servicios donde la empresa consultora realiza los ataques de manera totalmente transparente al equipo de defensa para que en un ciclo de aprendizaje continuo el equipo de defensa pueda ajustar sus controles y ser más efectivo a la hora de prevenir, identificar y reaccionar ante ataques.

En Greenfence Security ofrecemos servicios de prueba de penetración tradicionales y estamos también en capacidad de realizar ejercicios de  Purple Teaming gracias a nuestra asociación estratégica con Scythe.

¿Qué opinas sobre este tema? ¿Crees que necesitas una prueba de penetración en tu compañía?

Si deseas más información puedes cotizar tu prueba de penetración aquí o contáctanos a info@greenfencesec.com para hablar sobre cómo te podemos ayudar a adquirir el servicio que necesitas.

No olvides que puedes REGISTRARTE GRATIS y participar en el Webinar: Pruebas de Penetración en 2021: ¿Cómo comprarlas y aprovecharlas? y con tu registro obtendrás un DESCUENTO ESPECIAL en cualquiera de nuestros servicios.

Imagen de The Digital Way vía Pixabay.com bajo licencia creative commons.