Índice de temas
Qué es el pentesting
El pentesting, o pruebas de penetración, es un método de evaluación de la seguridad de sistemas de información o redes que simula ataques de un agresor malicioso. Su objetivo es descubrir y explotar vulnerabilidades para evaluar el nivel de seguridad y sugerir acciones correctivas.
Pentesting, el camino a la ciberresiliencia
A la hora de protegerse de los cibercriminales, las organizaciones pueden adoptar dos filosofías. Pueden poner todos sus esfuerzos en protegerse contra un ataque y esperar que nunca sufrirán una brecha. O pueden asumir que se producirá una brecha en algún momento, hagan lo que hagan, y establecer procedimientos para minimizar los efectos de la brecha.
En respuesta a la creciente sofisticación y frecuencia de los ciberataques en los últimos años, los equipos de seguridad experimentados están adoptando la segunda filosofía, que es la noción de ciberresiliencia.
¿Qué es la ciberresiliencia?
El Instituto Nacional de Estándares y Tecnología (NIST) de EEUU define la ciberresiliencia como “la capacidad de anticipar, resistir, recuperarse y adaptarse a condiciones adversas, tensiones, ataques o compromisos en sistemas que utilizan o están habilitados por recursos cibernéticos”. Esto significa que para adoptar la resiliencia cibernética hay que tomar todas las precauciones para proteger el sistema de una brecha, pero también hay que poner en marcha protecciones y procedimientos para continuar la misión o los objetivos de negocio que dependen de los recursos cibernéticos afectados en caso de que se produzca una brecha.
Hoy en día, al igual que los ciberdelincuentes que disponen de un arsenal de herramientas a su disposición, los equipos de seguridad disponen de un surtido de herramientas que les ayudarán a alcanzar el mayor nivel de protección posible
ALEJANDRO NOVO, SYNACK
La ciberresiliencia no es un término monolítico. Lo que se necesita para ser ciberresiliente depende de cómo esté configurada una organización y de cuál sea su modelo de negocio. Pero todas las organizaciones ciberresilientes tendrán procedimientos de seguridad proactivos para protegerse contra una brecha y procedimientos de respuesta a incidentes para mitigar o reducir los efectos de la brecha y recuperarse de ella. En este artículo nos centraremos en la seguridad.
Baste decir que los procedimientos de respuesta a incidentes incluyen disposiciones como disponer de un equipo humano bien formado, planes para la protección del software, los datos y la infraestructura críticos para la empresa con el fin de minimizar los daños en la medida de lo posible y la notificación rápida a las partes pertinentes.
Hoy en día, al igual que los ciberdelincuentes que disponen de un arsenal de herramientas a su disposición, los equipos de seguridad disponen de un surtido de herramientas que les ayudarán a alcanzar el mayor nivel de protección posible. El reto consiste en elegir las herramientas adecuadas.
La sinergia del pentesting y los programas de divulgación de vulnerabilidades (VDP)
El objetivo final del pentesting y de un VDP es esencialmente el mismo: comprobar las vulnerabilidades de un sistema antes de que puedan ser explotadas por ciberdelincuentes. Pero emplean enfoques diferentes.
Con un VDP, la organización despliega una política formal que permite a cualquier individuo, así como a investigadores de seguridad independientes, informar de las vulnerabilidades que detecten. Esta es una manera eficaz de atraer a una amplia gama de personas con diferentes niveles de conocimiento, sofisticación y fiabilidad para que examinen un sistema e informen de las vulnerabilidades para que se puedan corregir o mitigar de otra manera. A menudo no hay límite en el número de personas que pueden participar en el programa, y la mayoría de los programas son de duración indefinida.
Una vez que se notifica una vulnerabilidad, la organización tiene que clasificarla, comprobar que no se haya notificado ya, evaluar su criticidad, desarrollar un plan de resolución o mitigación y realizar los cambios necesarios.
Pruebas exhaustivas con Pentesting
Las pruebas de penetración, por el contrario, son pruebas estructuradas, llevadas a cabo por investigadores de seguridad experimentados que han sido sometidos a controles de verificación, durante un periodo definido. Profundizan en la infraestructura y las aplicaciones de la organización para descubrir vulnerabilidades en toda la superficie de ataque. Y utilizan métodos de ataque similares a los que emplearía un ciberdelincuente para penetrar en el sistema.
A menudo hay un objetivo declarado, como la violación de una base de datos en particular, o la obtención de acceso no autorizado a un sistema en concreto. Un buen programa de pentesting incluye triaje de vulnerabilidades, evaluación de riesgos, informes exhaustivos, recomendaciones de resolución o mitigación y seguimiento de parches.
Pentesting y programas de divulgación voluntaria: una poderosa combinación
Tanto las pruebas de penetración como los programas de divulgación voluntaria contribuyen a proporcionar una protección proactiva contra una brecha. Las vulnerabilidades notificadas a través de los programas de divulgación voluntaria tienden a ser de menor importancia, mientras que las vulnerabilidades detectadas por pentesters cualificados tienden a ser más críticas y a tener un mayor impacto en la organización. En conjunto, tener acceso a informes rápidos y coherentes de las pruebas de penetración periódicas, así como de los VDP, es fundamental para el consejo de dirección, y estos informes suelen ir de la mano. La organización ciberresiliente hará ambas cosas de forma continuada, además de tener planes de respuesta a incidentes y de recuperación.
Las pruebas de penetración descubren puntos débiles antes de que sean explotados por agentes malintencionados, reduciendo la presencia de vulnerabilidades en toda la superficie de ataque. Los VDP ayudan a contener las amenazas proporcionando un mecanismo de divulgación y reparación responsable. La integración de ambos enfoques no sólo detecta las vulnerabilidades, sino que también evalúa su impacto, la eficacia de los controles de seguridad y los esfuerzos de corrección.
Juntos, estos enfoques proporcionan una mitigación de riesgos completa y sólida, contribuyendo a la resiliencia cibernética de las organizaciones.