(81) 2474 6594

Pasos para lograr la eficiencia en Pentest. Sin comprometer la profundidad y calidad de las pruebas

Por Nicandro López

 

Introducción

 

El análisis técnico de vulnerabilidades y las pruebas de penetración, es la práctica de ciberseguridad más común y fundamental para conocer el nivel de riesgo de la infraestructura tecnológica de sufrir un ciberataque, y por lo tanto son los servicios más solicitados por empresas de todos tamaños de sectores regulados y no regulados.

Estas pruebas se realizan como ejercicios independientes, o bien, como parte de otros proyectos como son el análisis y gestión de riesgo tecnológico, auditorías, así como en la implementación de sistemas de gestión de seguridad de información, continuidad de negocio, privacidad de datos y servicios de TI. Así mismo, son pruebas obligatorias que se solicitan para cumplimiento regulatorio ante autoridades como CNBV, Banxico, Indeval y SAT, así como para alineamiento y/o certificaciones de PCI DSS, ISO27001, ISO22301, ISO20000 e ISO27701, entre otras.

 

Definición de alcance tradicional

 

Al momento de solicitar un servicio de este tipo, la empresa solicitante se limita en señalar el número de elementos totales, sin precisar los elementos por tipo de familia de activos, como: servidores (físicos o virtuales), IP´s, firewall, routers, webs, BBDD, switchers, endpoints (equipos), cámaras e impresoras en red, etc, y sobre ese número total pide que se ejecuten tanto el análisis de vulnerabilidades como las pruebas de penetración. Cabe señalar que la distribución estimada del costo de este servicio es 30-35% para el análisis de vulnerabilidades y 65-70% para las pruebas de penetración, por el tiempo y esfuerzo que le dedica el Consultor a cada fase.

Típicamente, de cada 10 elementos escaneados para la identificación y análisis de vulnerabilidades, se identifican como críticas entre un 10 o un 40% máximo, sin embargo, se solicita se realicen las pruebas de penetración a los mismos 10 elementos considerados en la primera fase de análisis.

 

Definición de alcance recomendado

 

Considerando que el costo de las pruebas de penetración se lleva el 65-70% del proyecto y que no en todos los elementos escaneados en la fase de análisis se encuentran vulnerabilidades críticas, recomendamos los siguientes pasos para lograr la máxima eficiencia en estos ejercicios sin comprometer la profundidad y calidad de las pruebas:

  • Paso 1. Listar los activos por familia que vayan a ser objeto de pruebas. Esto permitirá tener un inventario y conocer toda la infraestructura tecnológica que puede ser objeto de pruebas, y con ello definir en su momento el tipo de pruebas (caja negra, gris o blanca, así como internas o externas) .
  • Paso 2. Cuantificar los elementos totales a probar de cada familia de activos. Es importante conocer el número de los elementos por familia para a su vez conocer el universo de la infraestructura y no perder de vista ningún activo.
  • Paso 3. Clasificar por nivel y/o criticidad de riesgos de cada familia. Mediante un análisis de riesgo habrá que asignar el nivel de criticidad de cada familia; por ejemplo, todos los servidores se consideran activos críticos, por lo que todos deberán considerarse para el análisis de vulnerabilidades ya que las recomendaciones para su tratamiento y cierre es específico. Caso contrario, los endpoints tienen una menor criticidad porque normalmente se encuentran vulnerabilidades comunes, y por lo tanto, las recomendaciones para su tratamiento y cierre son generales.
  • Paso 4. Para el análisis de vulnerabilidades definir la muestra 1 considerando la criticidad de riesgo de cada familia, que podrá ser entre 100% y 10% de los elementos totales. Esta muestra se sugiere que se defina y acuerde entre los responsables de infraestructura, sistemas, cumplimiento y seguridad de información, en su caso, apoyados de ser posible del Consultor externo que vaya a realizar los ejercicios.
  • Paso 5. Para las pruebas de penetración definir la muestra 2, que serán los elementos en los que se hayan identificado vulnerabilidades críticas. Se espera que esta muestra no sea mayor al 50% de los elementos considerados para el análisis de vulnerabilidades.

 

Conclusiones y recomendaciones

  • Es posible lograr una eficiencia y con ello un ahorro en el servicio entre 25 y 30%.
  • Si se realizan bien los pasos no debe afectar la profundidad y calidad de las pruebas.
  • Realizar un ejercicio al año con la misma mecánica, como mínimo.
  • Implementar un proceso de gestión de vulnerabilidades lo que permitirá una mayor eficiencia.

 

Noticias y Novedades

Artículos Relacionados
Novedades
hkmexico

OWASP A4:2021 Diseño Inseguro

Hoy en día, es común hablar de buenas prácticas de desarrollo de software en las distintas aplicaciones que manejamos para llevar a cabo nuestras tareas,

Leer más »
abril 28, 2023 No hay comentarios

Llena el formulario y uno de nuestros asesores te responderá a la brevedad para aclarar todas tus dudas y/o responder tus comentarios.

This field is for validation purposes and should be left unchanged.

Contáctanos

Ubicación

Torre Cibeles Calle Planificadores N°2802, Fraccionamiento Empleados S.F.E.O. Monterrey, Nuevo León, CP:64909, Piso 9, Oficina 94.

Whatsapp

(81) 3469 7349

Teléfono

(81) 2474 6594

2023 HKMX | Política de Privacidad

| Desarrollado por WHY MARKETING DIGITALWHY AGENCIA DE MARKETING DIGITAL Y PÁGINAS WEB EN MONTERREY
Whatsapp Phone-alt Envelope