Radiografía de un proveedor de PENTEST

Guía NO definitiva para la selección de proveedor de pentest.

La selección y adquisición de un proveedor de pruebas de intrusión (PENTEST) es una acción que requiere el análisis de aspectos cognitivos, tecnológicos, procedimentales y actitudinales. 

A continuación, mostramos una guía de referencia para la adquisición de un proveedor de PENTEST:

Claridad en el servicio y expectativa del mismo

Conocer la prueba de intrusión PENTEST saber sus características y actividades mínimas y como diferenciarla entre un análisis de vulnerabilidades; en entradas pasadas explicamos estas diferencias: ¿Qué es un PENTEST?

Habilidades técnicas mandatorias

Verifique que los consultores de seguridad cuenten con certificaciones que validen sus habilidades técnicas mínimas, entre las más representativas se encuentran:

Certified Ethical Hacker (CEH)
Certified Security Analyst (ECSA)
Offensive Security Certified Professional (OCSP)
GIAC Penetration Tester (GPEN)
Certified Penetration Testing Engineer (CPTE)

Reputación

La exposición a información crítica de la empresa en una prueba de intrusión es inevitable, por eso la reputación juega un papel trascendental en la elección de un proveedor. Confirme si la empresa está involucrada en la comunidad de seguridad informática, que los consultores de seguridad sean especialistas en pruebas de penetración y si existen empresas cliente que respalden su trabajo en pruebas de intrusión

No se deslumbre con “rockstars de la infosec” asegúrese que ese ego este respaldado por acciones concretas comprobables.

Evite las empresas con “recetas secretas”

Pregunte a su proveedor las metodologías y/o estándares seguidos para el desarrollo de la prueba. Entre las más reconocidas se encuentran: Open Source Security Testing Methodology Manual (OSSTMM) del ISECOM, Penetration Testing Execution Standar (PTES),  Technical Guide to Information Security Testing and Assessment (NIST800-115)  y el Information Systems Security Assessment Framework  (ISSAF).

Los hallazgos, sin importar el grado de complejidad o creatividad empleada, necesitan estar bien documentados de manera que puedan ser recreados si no lo más probable es que ese hallazgo sea un falso positivo.

Sastre de seguridad digital (sin “caja mágica”, ni “pruebas de botón gordo “)

Las pruebas de intrusión conocidas como “de botón gordo” o de “caja mágica” son aquellas en las que un “consultor” utiliza un dispositivo o herramienta automatizada para ejecutar la prueba en su totalidad; desafortunadamente la herramienta solamente proporcionará resultados superficiales y vulnerabilidades obvias. Este tipo de pruebas proporciona un valor mínimo a las empresas y una falsa sensación de seguridad.

Si bien como ya se mencionó, es necesario establecer una metodología para la ejecución del ejercicio, a veces para lograr la explotación de activos es necesario cambiar, adaptarse, hacer uso de todos los recursos disponibles en el entorno de los sistemas con el fin de logar el cometido.

Pruebas y verificaciones manuales avanzadas

Una manera efectiva de validar este aspecto es preguntar por indicios específicos de la metodología utilizada, también obteniendo una muestra del reporte o del informe de resultados sanitizado para examinar la profundidad de los hallazgos identificados y descartar que no solo sea un reporte de herramienta automatizada.

Bajo circunstancias normales existe un uso adecuado de herramientas automatizadas (nmap, nessus, nexpose, etc). La automatización deberá de emplearse donde las pruebas manuales sean ineficientes; las validaciones manuales tendrán que verse reflejadas en hallazgos y secuencias de explotación complejos, correlación de ataques, etc.

Involucrados en su comunidad

Es recomendable elegir empresas donde sus miembros participen activamente en capítulos, organizaciones locales, eventos; ya que éstos proporcionan una visión de lo que se está desarrollando en el medio de la seguridad informática, los incidentes a los que se enfrentan otras empresas y que hacen para enfrentarlos; al mismo tiempo que se mantiene actualizado el conocimiento y el uso de herramientas especializadas.

Informe de resultados

El contenido del informe puede variar considerablemente. Como mínimo, debe asegurarse de que el proveedor documente todas las vulnerabilidades explotadas y la manera en que lo realizó. También debe asegurarse que se incluya un plan de remediación técnico.

Considere que algunas empresas elaboran planes de remediación con el único propósito de venderle más soluciones, infraestructura y/o tecnología de seguridad.

En algunas ocasiones las remediaciones se dan al hacer ajustes menores en la configuración de activos o pequeños cambios en la codificación, representando un impacto económico que la adquisión de controles tecnológicos.

Busque proveedores independientes que proporciones planes de remediación basados solamente en la necesidad del negocio encontrada en la prueba de intrusión.

Comunicación continua

No solo es necesario comunicar de manera efectiva la gestión del proyecto: las fases del mismo, su porcentaje de cumplimiento, actividades realizadas y faltantes. Es indispensable que se cuente con las habilidades necesarias para transmitir la información de la prueba, de manera adecuada acorde a la audiencia presente.

Un PENTESTER experimentado debe tener la habilidad de generar reportes de calidad donde se expresen detallados técnicamente los hallazgos, vulnerabilidades explotadas y huecos encontrados en la infraestructura durante la prueba; explicando el impacto directo al negocio de manera clara y concisa.

Aclaración final:

Este listado de recomendaciones no se considera completo ni mucho menos único, siéntase libre de agregar los puntos que considere necesarios para una mejor selección de proveedores en algo esencial en la seguridad digital de su empresa, las pruebas de intrusión o PENTEST.

https://purplesec.com/servicios/redteam/