El lado ofensivo de la Seguridad de la Información.

Las pruebas de intrusión (PENTEST) como mencionamos en nuestra entrada anterior, http://purplesec.com/pentest-vs-nva/ son una herramienta que nos ayuda a comprobar si los controles técnicos implementados en una empresa, impiden a un atacante alcanzar objetivos específicos en la infraestructura tecnológica de la misma.

¿Por qué realizar pruebas de intrusión?

Por diversos factores, las pruebas de intrusión son malentendidas, confundidas y mal empleadas. La finalidad de este escrito es proporcionar información necesaria sobre los aspectos indiscutibles de la ejecución de pruebas de intrusión (PENTEST) que generan valor para su empresa:

  • Proporciona una evaluación independiente.
  • Ayuda a clasificar y priorizar el riesgo en la empresa.
  • Verifica controles tecnológicos aplicados en la infraestructura.
  • Es un ejercicio muy útil para encontrar fallas en los procedimientos o procesos internos (Gestión de Partes y Actualizaciones, Endurecimiento de Sistemas, Entrenamiento de Personal, Cumplimiento de Políticas, etc.).
  • Son obligatorias para el cumplimiento de regulaciones como Payment Card Industry Data Security Standard (PCI DSS).
  • Previene pérdidas financieras.
  • Protege la marca y reputación de la empresa.
  • Proporciona una justificación sustentada para el gasto o presupuesto en los departamentos de Seguridad Informática o de la Información.
  • Puede proporcionar una referencia o línea base en el programa de seguridad empresarial.
  • Ayuda en la respuesta de incidentes cibernéticos.
  • Verifica la seguridad en nuevas implementaciones de sistemas.

Cabe mencionar que una prueba de intrusión garantiza la seguridad en los sistemas de manera temporal, si se realizan cambios en la infraestructura, se aconseja la realización de otra evaluación.

Se recomienda realizar el ejercicio utilizando varios perfiles de atacantes y tomando en cuenta los riesgos principales identificados en la empresa. El PENTEST nos proporciona una visión más próxima a la de un atacante con las restricciones propias de la operación de la empresa.

Es importante recalcar que las pruebas de intrusión deben de ser capaces de mostrarnos fallas en el diseño mismo de la estrategia y arquitectura defensiva de seguridad en la Empresa o en la implementación de los controles técnicos y administrativos, utilizando una perspectiva ofensiva, de atacante; siguiendo con la tradición citando a Sun Tzu: “Para conocer a tu enemigo, debes de convertirte en tu enemigo”.

http://purplesec.com/servicios/redteam/

Mis redes:

https://twitter.com/HumanHardener

https://www.facebook.com/HumanHardener/