Algunas importantes verdades sobre las pruebas de intrusión

Alberto Soliño, director de Servicios de Consultoría de Seguridad de Core Security Technologies 25 de Febrero 2010
Algunas importantes verdades sobre las pruebas de intrusión

Las pruebas de intrusión constituyen un enfoque de la seguridad IT, mayormente científico, que ha sido practicado por programadores desde el comienzo de la era moderna de la computación.

Con el paso del tiempo, las exigencias de agencias de gobiernos y de negocios, hicieron que desarrolladores y equipos internos de seguridad IT formalicen el proceso de pruebas de intrusión (penetration test o pen testing), actualmente consideradas como la manera más efectiva de calcular el nivel de riesgo IT de un sistema u organización y de recolectar datos procesables para la gestión de las vulnerabilidades. 

A continuación, los principales mitos sobre las pruebas de intrusión:

1. Las pruebas de intrusión son inseguras  desde un punto de vista general de la seguridad y la confianza
Si bien es cierto que, cuando son realizadas de manera inapropiada o insuficiente, las pruebas de intrusión pueden tener consecuencias no previstas, esto es producto de su aplicación práctica y no del proceso de evaluación en sí.

2. La única forma de desarrollar pruebas de intrusión rigurosas es con servicios tercerizados
Si bien durante un tiempo, debido a la falta de experiencia de las empresas, las pruebas se tercerizaban, con el surgimiento del software de evaluación de seguridad automatizada, muchas organizaciones han evolucionado para adoptar más ampliamente la evaluación de seguridad como un elemento central en su seguridad IT interna y programas de control de riesgo, incluyéndolo como un medio de preparación para futuras auditorías.

3. La evaluación de seguridad siempre demanda mucho tiempo
Como cualquier otra forma de análisis, los períodos de tiempo de las evaluaciones de la seguridad pueden variar basándose en muchos factores, incluyendo el alcance de proyectos individuales, los recursos a ser evaluados y cualquier otro parámetro dictado por los usuarios. Sin embargo, no es una condición previa o hasta una regla básica común que estas evaluaciones deban abarcar largos períodos de tiempo.

4. Se necesita un staff preparado para llevar a cabo extensas evaluaciones de seguridad
Tradicionalmente, las pruebas de intrusión han sido consideradas por mucho tiempo como el dominio de profesionales y consultores con gran experiencia en seguridad IT.
En la actualidad, con la aparición de las soluciones de intrusión automatizada,
esto ha cambiado radicalmente: si bien algunas compañías procuran realizar revisiones sumamente personalizadas o independientes y prefieren que usuarios o consultores más experimentados lleven a cabo estos proyectos especializados, muchos tipos de pruebas de intrusión pueden ser realizadas de manera frecuente por personal interno de IT con soluciones adecuadas.

5. Las pruebas de intrusión son un “arte negro”
Basado en el tipo de trabajo que las pruebas de intrusión presupone, además del nivel de confidencialidad requerida en el resguardo de los resultados de la evaluación, mucha gente ha albergado la creencia de que los tests de intrusión son algo relacionado con un “arte negro”. Sin embargo, actualmente las pruebas de intrusión son un enfoque altamente ético, lógico y científico, para determinar las vulnerabilidades de programas, al intentar explotar sus debilidades como lo haría un atacante real.

6. Las pruebas de intrusión son difíciles de entender
Con la introducción de programas de software automatizados utilizados para desarrollar estas pruebas, es tema del pasado el largo proceso manual de combinación de resultados. Actualmente, las organizaciones pueden aprovechar la valiosa inteligencia de seguridad estratégica proporcionada a través del proceso, en formatos comprensibles con tan sólo apretar un botón.

7. La evaluación de seguridad y el escaneo: vulnerabilidades similares versus complementarias
Algunas personas perciben, erróneamente, que el escaneo de vulnerabilidades y las pruebas de intrusión, producen el mismo resultado y son, por lo tanto, similares. En realidad, los primeros visualizan vulnerabilidades que pueden llegar a ser detonadas por ataques reales, generando resultados voluminosos que ofrecen poco entendimiento en la severidad de las fallas o de cómo podrían ser explotados; mientras que las pruebas de intrusión visualizan qué vulnerabilidades pueden llegar a ser detonadas por ataques reales, cómo pueden ser explotadas y qué nivel de riesgo representan. Se trata entonces, de dos prácticas diferentes, podríamos decir, complementarias.

8. La evaluación de seguridad crea nuevos problemas para la seguridad IT
Algunas personas familiarizadas con la eficacia de las pruebas de intrusión en la detección de vulnerabilidades explotables han llegado a la conclusión de que el proceso crea más problemas que soluciones. Sin embargo, las pruebas de intrusión muestran a las organizaciones cuáles de sus fallas son más accesibles para los hackers y les permite priorizar esfuerzos de remediación de manera acorde.

9. Es difícil vender la evaluación de seguridad al directorio
A diferencia de muchos otros programas de IT o seguridad, las pruebas de intrusión son, actualmente, una práctica que involucra procesos, metas y beneficios que son fáciles de explicar y defender. Los ejecutivos están preocupados en evitar que hackers y ataques malignos inhabiliten sus sistemas o roben datos importantes. La evaluación de seguridad es un método seguro y proactivo para evaluar la postura de seguridad IT ante ataques verdaderos e intentos de robo de información.

10. Las pruebas de intrusión: un lujo versus una necesidad
Con el surgimiento de las soluciones de evaluación de seguridad, que permiten a las compañías implementarlas de manera regular con empleados IT ya existentes, las empresas pueden desarrollar estas prácticas sin agregar ningún gasto significativo al presupuesto.

 



¿Te gustó la nota?

Comparte tus comentarios

Sé el primero en comentar