En el mundo actual de sistemas de piratería automatizados, violaciones de datos frecuentes y regulaciones de protección al consumidor como GDPR y PCI DSS, las pruebas de penetración ahora son un requisito de seguridad esencial para organizaciones de todos los tamaños. Pero, ¿qué debe buscar al elegir el proveedor adecuado?
La gran cantidad de proveedores puede ser abrumadora, y no es fácil encontrar uno que pueda ofrecer una prueba de alta calidad a un precio razonable. ¿Cómo saber si son buenos? ¿Qué nivel de experiencia en seguridad se incluyó en el informe? ¿Es segura su aplicación o el proveedor simplemente no encontró las debilidades?
No hay respuestas fáciles, pero puede facilitar las cosas haciendo las preguntas correctas desde el principio. Las consideraciones más importantes se dividen en tres categorías: certificaciones, experiencia y precio.
Certificaciones
Las certificaciones son el mejor lugar para comenzar, ya que proporcionan un atajo rápido para generar confianza. No hay escasez de certificaciones profesionales disponibles, pero una de las más reconocidas es CREST (Council of Registered Ethical Security Testers).
CRESTA fue creado por las principales consultoras de pruebas de penetración del Reino Unido precisamente para resolver este problema, y ahora es un sello de calidad reconocido internacionalmente para una variedad de disciplinas de seguridad cibernética.
Sin embargo, aún necesita saber qué buscar, ya que CREST tiene una certificación a nivel de empresa, así como certificaciones individuales en las que cada evaluador debe aprobar un examen para demostrar sus habilidades. Tener uno no significa que tengas el otro.
La acreditación de toda la empresa (‘empresa miembro de CREST’) se otorga a las empresas que pueden demostrar que sus políticas, procesos y procedimientos están a la altura. Esto permite a las empresas de pruebas de penetración demostrar que siguen buenas prácticas en papel y utilizan metodologías de prueba de seguridad adecuadas. Sin embargo, pedirle a una ‘compañía miembro de CREST’ que realice una prueba de penetración no garantiza que el consultor que realiza su prueba esté certificado, simplemente que la empresa está moralmente obligada a proporcionarle un evaluador adecuado.
Asegúrese de preguntar sobre el probador real que llevará a cabo el trabajo: ¿tiene las certificaciones y la experiencia adecuadas?
Por esa razón, CREST también tiene diferentes niveles, incluso para los evaluadores individuales, desde certificados de nivel de entrada hasta exámenes prácticos complejos en diferentes áreas de especialización. Es importante tener en cuenta tanto el nivel de las certificaciones como si son específicas para el tipo de prueba de penetración que está buscando. A continuación, describimos las certificaciones CREST disponibles para las pruebas de penetración:
 |
| Ya sea que esté buscando un junior, senior o especialista, dependerá del apetito por el riesgo de su organización. Los gobiernos generalmente solicitarían especialistas, las nuevas empresas con perfiles de riesgo más bajos podrían estar bien con los jóvenes. |
Si bien las certificaciones son útiles, no pueden cubrir todo. Existen muchos tipos de tecnología y no puede tener un examen para cubrir todos y cada uno de ellos. Como puede ver en el diagrama anterior, no existe un examen CREST para AWS, para dispositivos integrados o aplicaciones móviles.
Los probadores de penetración son como médicos; tienen un amplio conjunto de conocimientos y habilidades, pero no siempre hay un libro de texto para el paciente con el que está tratando. Ahí es cuando la experiencia puede entrar en juego.
Experiencia
Otro factor importante es la experiencia que su pen tester tiene en su haber. Cuanta más exposición hayan tenido, mejor serán para descubrir una gama más amplia de amenazas a la seguridad.
También es importante tener en cuenta que no toda la experiencia es igual, ya que algunos tipos de pruebas pueden implicar habilidades específicas en tecnologías particulares, como AWS Cognito o Real Time Messaging Protocol. Asegúrese de que su proveedor tenga experiencia relevante en las tecnologías con las que está trabajando.
Recuerde, es posible que no haya un evaluador con experiencia en todas las tecnologías, por lo que es posible que deba ser flexible. Un buen probador de penetración podrá aprender sobre la tecnología que necesita probar, en función de las habilidades y los principios de otras disciplinas, pero puede llevarles más tiempo familiarizarse con la tecnología en cuestión. Lo que podría tener un efecto dominó en el precio…
Precio
Cuando los clientes preguntan el costo promedio de una prueba de penetración, es como preguntar cuánto mide un trozo de cuerda. Depende de con qué estés trabajando y qué tan profundo necesites ir. Imagina pintar un puente: depende de qué tan grande sea y cuántas capas de pintura quieras. Una capa podría dejarte expuesto a los elementos.
 |
| Preguntar cuánto cuesta una prueba de penetración es como preguntar cuánto costaría pintar un puente. Depende del tamaño del puente, cualquier factor que lo complique y cuánta cobertura desee obtener. |
Por lo tanto, las pruebas de penetración generalmente se cotizan sobre la base de una «tarifa diaria» y, en general, puede esperar pagar cualquier cosa en el rango de £ 800-£ 1500.
Las tarifas diarias varían de un proveedor a otro según la reputación, las certificaciones y los requisitos especiales y la experiencia, aunque se pueden negociar descuentos si está comprando muchos días (más de quince días se consideraría una prueba grande).
Para comprender cuánto tiempo llevará su trabajo, el proveedor a menudo necesitará obtener una demostración de su producto o recopilar información sobre su entorno. Como regla general, mientras menos preguntas hagan en esta etapa, es menos probable que obtengas un trabajo citado con precisión.
Tampoco existe un estándar cuando se trata de determinar el alcance de un trabajo, por lo que es posible que las estimaciones difieran. Un proveedor puede evaluar un trabajo como 3 días de trabajo y otro como 5. Estas son las mejores estimaciones; es difícil estar seguro hasta que estés haciendo el trabajo.
Incluso puede comprar pentests de «tarifa fija», pero volviendo a la analogía del puente, probablemente debería preocuparse por la cobertura si la ofrecen por una tarifa fija sin preguntar qué tan grande es el trabajo.
Al igual que con todo en la vida, el precio que se cotiza debe reflejar la calidad de la prueba de penetración, pero en una industria donde la calidad de una prueba es difícil de juzgar, es probable que haya algunos comerciantes deshonestos. Haga las preguntas correctas y no se salte la diligencia debida.
Más allá de las pruebas de penetración puntuales
Hay problemas importantes con el uso de pruebas de penetración como único método de detección de vulnerabilidades.
En primer lugar, mientras que en profundidad, las pruebas de penetración solo cubren un punto en el tiempo. Con 20 nuevas vulnerabilidades identificadas todos los días, es probable que los resultados de su prueba de penetración estén desactualizados tan pronto como reciba el informe.
No solo eso, sino que los informes pueden tardar hasta seis meses en producirse debido al trabajo que implica, así como varios meses en digerirlos y actuar.
Pueden ser muy costosos, a menudo costando miles de libras cada vez.
Con los piratas informáticos encontrando métodos más sofisticados para ingresar a sus sistemas, ¿cuál es la mejor solución moderna para mantenerlo un paso adelante?
Para obtener la imagen más completa de su postura de seguridad, debe combinar el análisis automatizado de vulnerabilidades y las pruebas de penetración dirigidas por humanos.
Vanguardia intrusa hace exactamente eso, combinando la experiencia en seguridad y la cobertura continua para encontrar lo que otros escáneres no pueden. Llena el vacío entre la gestión de vulnerabilidades tradicional y las pruebas de penetración puntuales, para proporcionar una vigilancia continua sobre sus sistemas. Con los profesionales de seguridad líderes en el mundo disponibles, investigarán más a fondo, encontrarán más vulnerabilidades y brindarán asesoramiento sobre su impacto directo en su negocio para ayudarlo a mantener a raya a los atacantes.
Acerca del intruso
Intruso es una empresa de seguridad cibernética que ayuda a las organizaciones a reducir su superficie de ataque al proporcionar servicios continuos de análisis de vulnerabilidades y pruebas de penetración. El poderoso escáner de Intruder está diseñado para identificar rápidamente fallas de alto impacto, cambios en la superficie de ataque y escanear rápidamente la infraestructura en busca de amenazas emergentes. Ejecutando miles de verificaciones, que incluyen la identificación de configuraciones incorrectas, parches faltantes y problemas de la capa web, Intruder hace que el escaneo de vulnerabilidades de nivel empresarial sea fácil y accesible para todos. Los informes de alta calidad de Intruder son perfectos para pasar a clientes potenciales o cumplir con las normas de seguridad, como ISO 27001 y SOC 2.
Intruder ofrece una prueba gratuita de 30 días de su plataforma de evaluación de vulnerabilidades. ¡Visite su sitio web hoy para probarlo!