Las pruebas de intrusión conocidas también como pentest son erróneamente confundidas con el análisis de vulnerabilidades en algunas ocasiones por desconocimiento, pero en otras para tomar ventaja de índole comercial. A continuación se presentan las características principales de cada uno de las evaluaciones para clarificar este aspecto y que pueda servir de guía en la adquisición o ejecución de estas pruebas.

Pruebas de intrusión (PENTEST)

  • Una prueba de intrusión (pentest)  está diseñada para comprobar si una defensa implementada puede impedir que un atacante alcance uno o más objetivos específicos.
  • No debé de ser desarrollada por una herramienta automatizada.
  • Simula las acciones de un atacante cibernético externo y/o interno que pretende explotar  sistemas críticos y obtener acceso a datos sensibles.
  • Valida una configuración cuando se cree segura.  
  • El entregable para una prueba de intrusión (pentest)  es un informe de cómo se comprometió la seguridad con el fin de alcanzar el objetivo determinado y la información necesaria para la remediación.

Análisis de vulnerabilidades (NVA)

  • NO es una prueba de intrusión.
  • Las evaluaciones de vulnerabilidades buscan problemas de seguridad cuando se sabe / asumen que existen.
  • Diseñada para obtener tantas debilidades o exposiciones presentes en los sistemas y proporcionar información de remediación clasificada acorde a la severidad y exposición.
  • Se utiliza mejor cuando se necesita una lista de “todo lo que está mal”, donde la meta es arreglar el mayor número posible de debilidades, de la manera más eficiente.
  • Cuantas más cuestiones se identifiquen mejor.
  • Se sabe que se tienen problemas y simplemente se necesita ayuda para identificarlos y priorizarlos.
  • Enfoque de caja blanca es recomendado.

 

Saludos,

@HumanHardener