Cuando se desarrolla un nuevo software o sistema debe someterse a una evaluación de seguridad para garantizar que cumple los estándares de ciberseguridad, se puede clasificar en 3 categorías:
Auditoría de seguridad (Security Audit).
Evaluación de vulnerabilidades (Vulnerability Assessments).
Pruebas de penetración (Penetration Testing).
- Auditoría de la seguridad
- Evaluación de las vulnerabilidades
- Pruebas de Penetración
- Evaluación técnica manual de sistemas o aplicativos dirigido a personas y/o procesos
- Auditoría de seguridad de TI en función a líneas base
- Definir, identificar y clasificar problemas o errores de seguridad en un sistema de información
- Se realiza mediante escáner de vulnerabilidades, configuraciones de dispositivos, sistema operativo, puertos abiertos y aplicaciones instaladas
- Simulan acciones de un atacante real para medir impacto de vulnerabilidades
- Formas de irrumpir en sistemas y obtener acceso no autorizado a recursos críticos
Formas de analizar y evaluar problemas o errores de seguridad en un sistema de información:
Tipos de Pruebas de Penetración
Las pruebas de penetración simulan las acciones de un hacker real para medir el impacto de las vulnerabilidades y diseñar planes de mejora.
- Pruebas Externas e Internas
- Pruebas Anunciadas y No Anunciadas
- Pruebas Automatizadas y Pruebas Manuales
Realización de pruebas desde red externa remota, simulando un hacker real, para que el tráfico de prueba pase a través del firewall del objetivo
- IDS (Sistema de Detección de Intrusos)
- IPS (Sistema de Prevención de Intrusos)
Pruebas de Penetración Externa
Pruebas de Penetración de Caja Negra
- El probador no tiene conocimiento del objetivo
- Simula ataques del mundo real y reduce falsos positivos
- Requiere recopilar información sobre sistema/red destino
- Requiere más tiempo, esfuerzo y costo
Pruebas de Penetración de Caja Gris
- El evaluador tiene cierto conocimiento de la infraestructura destino, mecanismos de seguridad y canales de comunicación
- Simula ataques del mundo real que puede realizar una persona interna o atacante con cierto conocimiento privilegiado limitado en el sistema destino
Pruebas de Penetración de Caja Blanca
- El evaluador tiene conocimiento profundo de la infraestructura del sistema destino, mecanismos y canales de comunicación
Pruebas Anunciadas
- EL equipo de de TI, red y gestión de organización tienen conocimiento del cronograma de pruebas
Pruebas No Anunciadas
- EL equipo de de TI, red y gestión de organización no reciben información sobre del cronograma de pruebas, sólo la alta dirección y mide el nivel respuesta y acción del área de TI
Pruebas Automatizadas
- Reutilización de herramientas para pruebas de penetración automatizadas
- Ejecución de herramienta en infraestructura a intervalos regulares y emisión de informes
Pruebas Manuales
- Experiencia y habilidades para vulnerar el sistema destino
- Permite mayor control y reduce probabilidad de falsos positivos