Preguntas Frecuentes

PREGUNTAS FRECUENTES

¿Qué es una prueba de penetración?
Una prueba de penetración es un método para evaluar la efectividad de los controles de seguridad de una organización. Las pruebas se realizan bajo condiciones controladas, simulando escenarios representativos de como un verdadero hacker atacaría la red. Una prueba de penetración va más allá del análisis de vulnerabilidades básicas para determinar cómo un atacante podría tener acceso a activos de información confidencial, información de identificación personal, datos financieros, propiedad intelectual o cualquier otra información confidencial. Las pruebas de penetración utilizan herramientas y técnicas, guiadas por una metodología disciplinada y repetible, que dan como resultado un informe que contiene hallazgos detallados y recomendaciones que permiten a una organización implementar medidas y mejorar la postura de seguridad de la organización. Estas mejoras en última instancia reducen la probabilidad de que un atacante pueda obtener acceso a la red.
¿En qué se diferencia una prueba de penetración de una exploración de vulnerabilidad automatizada?
Tanto las pruebas de penetración como las evaluaciones de vulnerabilidades son herramientas útiles para encontrar vulnerabilidades en una red. Si bien estos son diferentes métodos de prueba, son complementarios y ambos deben realizarse. Una exploración de vulnerabilidad es un método automatizado para probar vulnerabilidades comunes de redes y servidores. Muchas herramientas automatizadas están disponibles y la mayoría son configuradas fácilmente por el usuario final para analizar las vulnerabilidades publicadas de forma programada. Si bien un análisis de vulnerabilidad automatizado es muy eficiente y rentable para identificar vulnerabilidades comunes, como parches faltantes, configuraciones erróneas del servicio y otras debilidades conocidas, no es tan preciso para validar las vulnerabilidades ni determinar completamente el impacto a través de la explotación. Los escáneres automatizados son más propensos a reportar falsos positivos (reportan vulnerabilidades incorrectamente) y falsos negativos (fallan identificando vulnerabilidades reales, especialmente aquellas que afectan las aplicaciones web). Una prueba de penetración se centra en la red total incluyendo redes Wi-Fi, redes internas, externas, y sitios Web. En muchos sentidos, retoma el lugar donde se detienen los escáneres para proporcionar un análisis completo de la seguridad cibernética real de la empresa. La mayor parte de una prueba de penetración es manual por naturaleza. Una prueba de penetración identifica vulnerabilidades que los exploradores automatizados no pueden encontrar, como fallas inalámbricas, vulnerabilidades de aplicaciones web y vulnerabilidades aún no publicadas. Una prueba de penetración también incluye un proceso de explotación de las vulnerabilidades encontradas en forma segura y controlada para identificar el riesgo real de estas. Procesos como elevación de privilegios para demostrar cómo un atacante podría obtener acceso a activos de información confidencial son parte de una prueba de penetración. Las pruebas de penetración y las exploraciones de vulnerabilidad automatizadas tienen un propósito y ambos tipos de pruebas pertenecen a un programa de evaluación de vulnerabilidad integral. El análisis automatizado de vulnerabilidades debe programarse para ejecutarse con frecuencia, idealmente al menos semanalmente, con pruebas de penetración de la red programadas trimestralmente o cuando se planifican cambios significativos en un entorno de red.
¿Cuáles son los objetivos de una prueba de penetración?
Los objetivos de una prueba de penetración varían mucho según el alcance de la revisión. En términos generales, el objetivo de una prueba de penetración es validar la efectividad de los controles de seguridad diseñados para proteger el sistema o los activos protegidos.
¿Por qué su empresa debería realizar pruebas de penetración en forma constante?
Las pruebas de penetración deben realizarse por una variedad de razones. Algunas de las razones más comunes por las que las empresas realizan pruebas de penetración de red incluyen:

  • Los estándares regulatorios más relevantes requieren que se realicen pruebas de penetración.
  • Las pruebas de penetración pueden identificar vulnerabilidades introducidas inadvertidamente durante cambios en el entorno, como una actualización importante o una reconfiguración del sistema.
  • Las pruebas de penetración se pueden integrar en el proceso de control de calidad del ciclo de vida del desarrollo del software para evitar que los errores de seguridad entren en los sistemas de producción.
  • Las organizaciones, especialmente aquellas que actúan como custodios de datos, deben realizar pruebas para asegurar que sus clientes están seguros cuando interactúan con los sistemas tecnológicos de la empresa. Las pruebas de penetración pueden demostrar un compromiso con la seguridad desde la perspectiva del cliente y dar testimonio de que sus activos o servicios se están administrando de manera segura.
  • Las pruebas de penetración son un requisito común como parte de los esfuerzos en curso para administrar amenazas, vulnerabilidades y riesgos para una organización. Los resultados se pueden utilizar como entrada en un proceso de gestión de riesgos en curso.
  • Las pruebas de penetración permiten a las empresas evaluar los controles de seguridad de los posibles objetivos vulnerables.
  • Las pruebas de penetración pueden indicar a una organización dónde pueden existir vulnerabilidades para tener una respuesta integral y evitar futuros incidentes.
  • Las pruebas de penetración permiten a las empresas evaluar de forma proactiva las vulnerabilidades emergentes o recién descubiertas que no se conocían o que aún no han sido publicadas.
  • Las pruebas de penetración sirven como ayuda para los equipos de desarrollo que están escribiendo nuevas aplicaciones web. Muchos ciclos de desarrollo incluyen pruebas de penetración en etapas claves del proceso. La corrección de fallas suele ser menos costosas cuando se realizan antes de que estas aplicaciones estén en producción.
¿Qué debemos esperar del proceso de prueba de penetración?
Como se mencionó anteriormente, las pruebas de penetración son un proceso extremadamente disciplinado. Seguridad-Ofensiva mantiene a todas las partes interesadas bien informadas a través de cada etapa clave del proceso. Nuestros clientes pueden esperar de nosotros:

  1. Un enfoque bien coordinado, planificado, documentado y comunicado a nuestros clientes en forma oportuna.
  2. Seguimos un enfoque disciplinado y repetible.
  3. Nuestro enfoque es personalizado para adaptarse al entorno único de su empresa.
  4. Utilizamos un proceso de iniciación, de planificación, pruebas coordinadas y un proceso de entrega colaborativo claramente definidos para garantizar resultados precisos y una comprensión clara de nuestros reportes para maximizar remediaciones de altos estándares.
¿Es una prueba de penetración perjudicial para nuestro entorno tecnológico? ¿Se verán afectados nuestros sistemas?
Si la prueba de penetración no se planifica y coordina adecuadamente, puede ser perjudicial. Por esta razón, es imperativo que la planificación se realice de manera adecuada e integral con el objetivo de identificar los riesgos potenciales de interrupción de los servicios y ajustar el enfoque en consecuencia. Esta planificación debe llevarse a cabo antes de la fecha de inicio de las pruebas para garantizar un tiempo adecuado para la comunicación con las partes interesadas. La comunicación y el monitoreo deben continuar a lo largo de todo el proyecto.
¿Con qué frecuencia debemos realizar una prueba de penetración?
Depende, ya que se debe pensar en una variedad de factores cuando se considera la frecuencia para realizar pruebas de penetración. Esto incluye:

  1. Con qué frecuencia cambia el entorno: las pruebas de penetración se deberían sincronizar para que se correlacionen con los cambios en los sistemas de producción ya que los cambios podrían generar vulnerabilidades que son imperceptibles.
  2. Qué tan grande es el entorno: los entornos más grandes se prueban frecuentemente en fases para nivelar el esfuerzo de prueba, las actividades de remediación y la carga colocada en el entorno.
  3. Factores presupuestarios: Las pruebas deben tener un alcance para enfocarse en los activos más críticos de acuerdo con un cronograma que es compatible con la asignación de presupuestos de seguridad. Recuerde que la frecuencia de las pruebas debe ajustarse para satisfacer las necesidades únicas de la organización; y es importante que esas necesidades se comprendan e incorporen al enfoque de prueba desde el principio. Las pruebas con poca frecuencia permiten una ventana que aumenta la exposición de una organización. Por otro lado, si las pruebas se realizan con demasiada frecuencia, no hay tiempo suficiente para remediar las vulnerabilidades antes de que se reanuden las pruebas. Por eso es importante lograr un equilibrio. Las empresas que reconocen la importancia de las pruebas de penetración de red implementarán las pruebas de forma recurrente. Los programas de prueba de penetración recurrentes permiten que los sistemas estén más seguros y que las vulnerabilidades sean remediadas de forma oportuna.
¿Cómo se define el alcance de una prueba de penetración?
El alcance de una prueba de penetración siempre debe personalizarse para adaptarse a la naturaleza única de su empresa. Una variedad de consideraciones, tanto internas como externas a una organización, impactan y guían el alcance de una prueba de penetración:

  • La naturaleza del negocio y los tipos de productos/servicios ofrecidos
  • Requisitos de cumplimiento y plazos
  • Consideraciones geográficas
  • Estructura organizativa
  • Los planes estratégicos de la organización
  • Expectativas del cliente, especialmente cuando una organización actúa como custodio de los datos de los clientes
  • El valor de los activos de la empresa
  • Redundancia en el medio ambiente que puede afectar los umbrales de muestreo
  • Segmentación de redes y conectividad
  • La edad de los diferentes componentes del entorno
  • Cambios recientes o planificados en el entorno.
Todos estos factores deben discutirse y entenderse para asegurarse de que el alcance sea adecuado y para asegurar que las pruebas se centren en las áreas del entorno que lo justifican.
¿Cuáles son las diferentes opciones para la prueba de penetración?
Las áreas más comunes seleccionadas para una prueba de penetración incluyen típicamente redes externas, redes internas, aplicaciones web, redes inalámbricas y conciencia de seguridad de los empleados (a través de ingeniería social).

Prueba de penetración de aplicaciones web:

Hay más de 100 áreas específicas revisadas dentro de cada aplicación web. La prueba comienza inicialmente con la recopilación de información seguida por la administración de la configuración e implementación de pruebas, la administración de identidades, la autenticación, la autorización, la administración de sesiones, la validación de datos, el manejo de errores, la capacidad de criptografía, la lógica empresarial, la seguridad del lado del cliente y otras pruebas específicas de lenguaje de desarrollo, según corresponda. Nuestro enfoque proporciona un marco flexible para identificar y evaluar vulnerabilidades técnicas de manera integral. Nuestras pruebas se realizan con el conocimiento previo de nuestros clientes para asegurar una comprensión profunda del propósito de la prueba. Se proporcionan credenciales para facilitar una revisión no solo desde la perspectiva de un usuario no autorizado, sino también para identificar posibles riesgos de autenticado, como la escalada de privilegios desde la perspectiva de un usuario autorizado.

Prueba de penetración de la red externa:

pruebas de penetración de redes externas se centran en la red frente a Internet en su conjunto. Comienza con el reconocimiento para identificar objetivos potenciales. Cualquier red, host o servicio que responda puede ser un posible punto de entrada en la red segura. Si bien las aplicaciones web identificadas pueden utilizarse para obtener acceso, las pruebas de penetración de la red son mucho más amplias para explorar cualquier servicio expuesto y las relaciones entre ellos. Las vulnerabilidades descubiertas se analizan para explotar las debilidades y escalar los privilegios hacia la red interna.

Prueba de penetración de la red interna:

las pruebas de penetración de la red interna son muy similares a las pruebas de penetración externas con la excepción de la perspectiva. Mientras que una prueba de penetración externa se realiza de forma remota para simular un atacante externo, una prueba de penetración de la red interna se realiza desde detrás de los cortafuegos perimetrales. El enfoque general es el mismo que el de una prueba de penetración externa, sin embargo, los sistemas y redes de destino son muy diferentes. La realización de pruebas en el sitio permite que el operador de la penetración se dirija a hosts no expuestos externamente, como controladores de dominio, servidores de archivos, servidores de aplicaciones internos, bases de datos, estaciones de trabajo de usuarios y otros dispositivos conectados.

Prueba de penetración de redes inalámbricas:

las pruebas de penetración de redes inalámbricas evalúan la idoneidad de los múltiples controles de seguridad diseñados para proteger el acceso no autorizado a sus servicios inalámbricos. Las pruebas analizan e intentan explotar las vulnerabilidades inalámbricas para obtener acceso a SSID inalámbricos privados (protegidos) autorizados para realizar pruebas. Se pueden realizar escenarios de prueba adicionales, como cuando se proporciona acceso inalámbrico de invitados a los visitantes con expectativas de que el acceso esté limitado de alguna manera.

Prueba de ingeniería social y concientización de seguridad para los empleados:

la ingeniería social es una evaluación remota realizada en condiciones controladas, diseñada para validar la efectividad de la conciencia de seguridad de los empleados y los procesos de respuesta a estos incidentes. Las pruebas incluyen aprovechar un sitio web “malicioso” ficticio cuidadosamente diseñado, campañas de correo electrónico dirigidas a empleados específicos, contactos telefónicos u otros escenarios de ataques personalizados. Esto se realiza comúnmente poco después del entrenamiento de seguridad o de las campañas de educación para validar su efectividad. Verificación de remediación: las pruebas de verificación de remediación validan que las vulnerabilidades identificadas se han remediado exitosamente, proporcionando una confirmación independiente de que las medidas correctivas se han implementado de una manera que impide la explotación de las diferentes vulnerabilidades previamente descubiertas.

¿Qué calificaciones debe poseer el equipo de pruebas de penetración?
Cuando se contrata a un proveedor de pruebas de penetración, la empresa contratante debe esperar que cada equipo de pruebas de penetración incluya un gerente de proyecto dedicado, un equipo de pruebas capacitado y experimentado, y un punto de escalamiento. El equipo de prueba debe incluir personas con experiencia en profundidad en múltiples tecnologías, incluidas plataformas de clientes, infraestructuras de servidores, desarrollo de aplicaciones web y redes IP. Las personas en el equipo deben tener certificaciones válidas relevantes para su función, tales como “Windows Red Team Certified Expert”, “Offensive Security Certified Professional” y “CREST – Operador de Prueba de Penetración Registrado”, entre otras. Muchos operadores de penetración calificados también suelen poseer otras certificaciones de tecnología para demostrar su conocimiento y competencia.
¿Qué documentación de prueba de penetración debo esperar recibir cuando se complete la prueba? ¿Cómo se documentan los resultados?
Una vez que se completa la prueba de penetración, la empresa contratante debe recibir la documentación de la prueba de penetración en un informe que detalla todos los hallazgos, recomendaciones y evidencias de respaldo. El reporte debe documentar claramente el alcance y los límites del compromiso, así como las fechas en que se realizó la prueba. Además, todos los hallazgos detallados deben incluirse en un formato técnico, así como resumirse para audiencias no técnicas. El informe debe incluir:
  • Recomendaciones detalladas para mejoras que documenten claramente las vulnerabilidades observadas
  • Una discusión de los impactos potenciales generados por las vulnerabilidades descubiertas en la red de la empresa
  • Instrucciones específicas para remediar, incluyendo referencias de instrucción cuando sea apropiado
  • Pruebas de apoyo y ejemplos
  • Un tutorial paso a paso y pantalla por pantalla que muestra cualquier vulnerabilidad para permitir que una organización comprenda y reproduzca el escenario
  • Informes ejecutivos y resumen para audiencias no técnicas.
  • En Seguridad-Ofensiva, nuestros operadores de pruebas de penetración están calificados para preparar estos documentos y reportes como parte del proceso. Toda nuestra documentación es de alta calidad y revisada con el cliente para validar la precisión y garantizar que las recomendaciones se entiendan bien.

¿Cómo validamos las vulnerabilidades que hemos remediado?
La validación de la remediación de las vulnerabilidades se puede realizar mediante una variedad de métodos, ya sea internos o mediante pruebas de verificación independientes externas. Algunas organizaciones prefieren realizar un seguimiento de la remediación en la empresa y poseen los recursos para validar de forma independiente una remediación exitosa. Es por esto que es crítico que una prueba de penetración se realice de manera repetible.
¿Cómo nos preparamos para una prueba de penetración?
En general, no hay necesidad de preparar nada especial con respecto a cómo se administran los controles de seguridad en el día a día. Recuerde que una prueba de penetración es una revisión puntual del entorno. La prueba evaluará la postura de seguridad en ese momento en particular. Si los parches se implementan todos los miércoles, por ejemplo, no es necesario cambiar este comportamiento para adaptarse a la prueba de penetración en sí. Si los resultados de la prueba de penetración de la red determinan que este proceso requiere atención, ese sería el momento adecuado para realizar el ajuste. Una organización debe esperar participar en las actividades de preparación relacionadas con la planificación de la prueba de penetración en sí misma para garantizar que la prueba se pueda realizar en condiciones controladas. También puede ser necesaria alguna preparación relacionada con la colocación del operador de la penetración, específicamente cuando la prueba se realiza en el sitio. La empresa contratante debe estar preparada para participar en las actividades de planificación y coordinación. Durante las pruebas internas de penetración de la red, a menudo se requieren credenciales de acceso de visitantes para los operadores de penetración. De lo contrario, no hay mucho más que deba hacerse antes de la prueba.
Tenemos nuestro sitio web alojado con un tercero. ¿Deberíamos probarlo?
Lo primero que se debe hacer es averiguar si el tercero ya tiene un proveedor de pruebas de penetración de red de buena reputación en el sitio web. Si es así, se necesita la debida diligencia para validar el alcance, revisar la metodología y comprender si se observaron y analizaron hallazgos claves. Se debe confirmar cuándo se probó por última vez, cuándo se probará la próxima vez, y si hay alguna vulnerabilidad de seguridad que el proveedor de alojamiento determina como tolerable. Si el tercero no está probando el sitio, o si la prueba que se está realizando no es adecuada, entonces sí, el sitio necesita ser probado. Obtenga el permiso del tercero, ya que deberían participar en la planificación, para garantizar que el sitio se pruebe de forma segura y se coordine adecuadamente. Si el tercero no permite las pruebas, uno debe considerar seriamente obtener una cláusula de "derecho a auditar" en su contrato o ubicar a otro proveedor de alojamiento que satisfaga la necesidad de una administración de vulnerabilidad continua, incluida la prueba de penetración de la red.
¿Deberíamos arreglar todas las vulnerabilidades que se reportan?
Debe evaluar todas las vulnerabilidades utilizando primero un modelo basado en el riesgo. Cada vulnerabilidad debe evaluarse para determinar el impacto en el negocio y la probabilidad de ser explotada para, en última instancia, asignar una calificación de riesgo. Las empresas deben tener criterios de riesgo definidos para determinar los umbrales de remediación. Las vulnerabilidades por encima del umbral deben remediarse o compensarse adecuadamente para que se encuentren en niveles de riesgo tolerables. Las vulnerabilidades que se encuentran dentro de un umbral aceptable pueden no requerir remediación y, en cambio, pueden ser monitoreadas con el tiempo en caso de que cambie el nivel de riesgo. Los entregables de la prueba de penetración de la red deben contribuir a este proceso. En ciertas situaciones, las vulnerabilidades específicas se pueden ver como brechas de cumplimiento; y esas brechas generalmente son remediadas o se implementan controles compensatorios cuando la remediación no es posible.
¿Cuáles son los costos típicos de una prueba de penetración?
El costo de las pruebas de penetración varía enormemente. Se utilizan varios factores para determinar la fijación de precios, que incluyen, entre otros, el alcance del proyecto, el tamaño del entorno, la cantidad de sistemas y la frecuencia de las pruebas. Es fundamental tener una reunión de alcance detallada para lograr una comprensión muy clara de las necesidades y desarrollar una declaración de trabajo antes de realizar cualquier prueba de penetración. Seguridad-Ofensiva define una tarifa antes de realizar la prueba de penetración para eliminar cualquier costo inesperado o gastos no planificados. La tarifa cotizada incluye toda la mano de obra y las herramientas de prueba requeridas.
¿Cuánto tiempo se necesita para realizar una prueba de penetración?
Seguridad-Ofensiva dedica el tiempo adecuado para definir la planificación y el organigrama para realizar una prueba de penetración. Se debe asignar tiempo adicional después de las pruebas para el desarrollo del informe y las reuniones de revisión posteriores, incluidas las discusiones de remediación. Todo el esfuerzo varía mucho según el tamaño y la complejidad de la prueba de penetración de la red. Cuanto más grande o más complejo sea el entorno, más esfuerzo se requiere. La duración de la prueba, sin embargo, es muy controlable. En general, de dos a cuatro semanas es una buena estimación de la duración de todo el proyecto desde la planificación hasta la entrega final. La prueba real en sí típicamente varía de una a dos semanas dependiendo del tamaño del entorno. Es muy raro que una prueba demore más de dos semanas y, cuando el entorno es grande, se debe asignar un equipo de penetración más grande para mantener la ventana de la prueba a una o dos semanas como máximo. Para entornos más grandes o más complejos, las pruebas pueden dividirse en fases.
Podemos hacer nuestras propias pruebas de penetración?
Depende, ya que asignar recursos internos puede ser un enfoque viable en ciertas situaciones; sin embargo, si la empresa está considerando realizar pruebas de penetración internas, se debe considerar primero lo siguiente:
  • Los operadores de penetración en el personal deben tener experiencia, capacitación y estar familiarizados con una variedad de tecnologías
  • El equipo de prueba de penetración debe tener una estructura de informes diferente a la de los equipos de ingeniería o de implementación. La separación entre los que administran el entorno y los que prueban el entorno es crucial. Nadie, sin importar su habilidad, puede probar objetivamente su propio trabajo
  • Algunos organismos reguladores tienen requisitos de independencia que pueden requerir cambios organizativos o capas adicionales de supervisión antes de que vean la prueba como verdaderamente independiente
  • Se debe obtener y actualizar regularmente un repositorio de herramientas comerciales y de código abierto. Como los costos de estas herramientas pueden ser significativos, esto debe incluirse como parte de la decisión para evitar costos inesperados
  • Se necesitan capacidades de administración de proyectos con experiencia en el personal, especialmente en organizaciones más grandes donde se necesita la coordinación con varias unidades de negocios antes del comienzo de la prueba
  • La capacitación continua y el monitoreo continuo de las vulnerabilidades y amenazas recientemente descubiertas es necesario
  • También es necesario mantenerse actualizado con las metodologías de prueba, la planificación y los artefactos de entrega
  • Los operadores de penetración deben tener acceso a un laboratorio de pruebas dedicado para desarrollar y probar explotaciones antes de su uso en un entorno de producción
  • Si estos activos están disponibles para una organización o el costo de obtenerlos y mantenerlos es menor que el de un tercero, puede ser más rentable realizar las pruebas de penetración de la red en casa. La mayoría de las veces es mucho más rentable aprovechar a un tercero que ya está equipado para las pruebas de penetración de la red.
Mi cliente quiere ver los resultados de nuestra prueba de penetración. ¿Debo compartir los resultados con terceros?
No es una buena idea enviar resultados fuera de su empresa; un informe de prueba de penetración contiene información extremadamente confidencial y solo debe estar disponible para recursos internos de confianza en una base de "necesidad de saber". No se recomienda compartir informes detallados con personas externas. Una vez que el informe se comparte con un tercero, es difícil garantizar el control sobre su distribución. Un informe de prueba de penetración puede ser una hoja de ruta para las vulnerabilidades de una organización y no debe distribuirse afuera a menos que sea absolutamente necesario. Un operador de penetración de red debe proporcionar una versión resumida del informe que detalle el alcance, el enfoque, las calificaciones y los resultados categóricos. Este informe es más apropiado para que lo comparta una organización. Es común incluir planes de remediación resumidos, si corresponde, pero en última instancia, el tercero debe recibir documentación que les brinde la tranquilidad de que existe un programa de pruebas continuas y maduras que evalúa proactivamente el entorno y que los hallazgos claves se están abordando de manera adecuada. Proporcionar a la parte externa detalles específicos de la prueba podría presentar un riesgo de seguridad significativo. Se puede proporcionar un resumen entregable a terceros que proporciona información sobre las pruebas sin revelar detalles confidenciales.
¿Cuál es la diferencia entre el "hacking ético" y otros tipos de hackers y pruebas que he escuchado?
Estos son términos inteligentemente utilizados para fines de marketing y no deben considerarse al momento de elegir un proveedor de pruebas de penetración. Al seleccionar un equipo para realizar la prueba, la empresa debe centrarse en las credenciales de todos los miembros del equipo en el proyecto, su experiencia, las referencias de las empresas a las cuales el proveedor ha prestado servicios y, en última instancia, que su enfoque y metodología sean aceptados por la industria. Estas características son lo que importa para garantizar que una prueba se realice de forma segura, integral y en la que se pueda confiar.
Copyrights © 2019 All Rights Reserved by Seguridad Ofensiva | Designed & Developed by Electrobeam.com | Website content, images, and idea approved by Andres Castillo.