Una prueba de penetración (también conocida como pentest) es una evaluación de seguridad que simula las actividades de los atacantes del mundo real para identificar agujeros de seguridad en sus sistemas o aplicaciones de TI.
El objetivo de la prueba es comprender qué vulnerabilidades tiene, cómo podrían explotarse y cuál sería el impacto si un atacante tuviera éxito.
Por lo general, se realiza primero, una prueba de penetración externa (también conocida como prueba de penetración de red externa) es una evaluación de sus sistemas perimetrales. Su perímetro son todos los sistemas a los que se puede acceder directamente desde Internet. Por definición, están expuestos y, por lo tanto, son los que se atacan con mayor facilidad y regularidad.
Prueba de debilidades
Las pruebas de penetración externas buscan formas de comprometer estos sistemas y servicios externos accesibles para acceder a información confidencial y ver cómo un atacante podría atacar a sus clientes o usuarios.
En un pentest externo de alta calidad, los profesionales de seguridad copiarán las actividades de piratas informáticos reales, como ejecutar exploits para intentar obtener el control de sus sistemas. También probarán el alcance de las debilidades que encuentren para ver hasta dónde un atacante malicioso podría meterse en su red y cuál sería el impacto comercial de un ataque exitoso.
Ejecute pentests externos primero
Las pruebas de penetración externas asumen que el atacante no tiene acceso previo a sus sistemas o redes. Esto es diferente a una prueba de penetración interna que prueba el escenario en el que un atacante ya tiene un punto de apoyo en una máquina comprometida o está físicamente en el edificio. Por lo general, tiene sentido cubrir primero los fundamentos y considerar las pruebas internas después de que se hayan realizado tanto el escaneo de vulnerabilidades regular como las pruebas de penetración externas.
Cómo realizar pruebas de penetración externa
Entonces, ¿cómo haces para obtener una prueba de penetración externa? Programar un pentest externo debería ser tan simple como preguntarle a su proveedor de servicios administrados o consultoría de TI, y apuntarlos a sus sistemas perimetrales (una lista de dominios y direcciones IP/rango).
Una prueba de penetración externa normalmente se ejecuta sobre la base de una «caja negra», lo que significa que no se proporciona información privilegiada (como credenciales de aplicaciones, diagramas de infraestructura o código fuente) a los evaluadores. Esto es similar a donde comenzaría un pirata informático real que se dirige a su organización, una vez que haya descubierto una lista de sus direcciones IP y dominios.
Pero hay algunos consejos importantes y diligencia debida que vale la pena tener en cuenta al organizar su prueba de penetración externa:
- ¿Quién está realizando tu prueba? ¿Son un probador de penetración calificado? Puede obtener más información sobre las certificaciones de pruebas de penetración y elegir una consultoría en la guía sobre cómo elegir una empresa de pruebas de penetración.
- ¿Cuánto se le cobrará? Las cotizaciones normalmente se basan en una tarifa por día, y su trabajo se define en función de la cantidad de días que llevará realizar la evaluación. Cada uno de estos puede variar entre compañías, por lo que podría valer la pena comparar para ver qué se ofrece.
- ¿Que esta incluido? Los proveedores de servicios respetables deben ofrecerle una propuesta o declaración de trabajo que describa el trabajo que se llevará a cabo. Esté atento a lo que está dentro y lo que está fuera del alcance.
- ¿Qué más se recomienda? Elija un proveedor que incluya la verificación de sus servicios expuestos para la reutilización de credenciales violadas, ataques de rociado de contraseñas y pruebas de aplicaciones web en aplicaciones de acceso público.
- ¿Deberías incluir la ingeniería social? Puede ser un buen valor agregado, aunque este tipo de prueba casi siempre tiene éxito cuando lo intenta un atacante con suficiente determinación, por lo que no debería ser un requisito difícil si su presupuesto es limitado.
Pruebas de penetración externa frente a análisis de vulnerabilidades
Si está familiarizado con el análisis de vulnerabilidades, notará que un pentest externo comparte algunas similitudes. Entonces, ¿cuál es la diferencia?
Por lo general, una prueba de penetración externa incluye una prueba completa escaneo de vulnerabilidades externas, pero ahí es donde comienza. Todos los resultados de las herramientas de escaneo serán investigados manualmente por un pentester para eliminar los falsos positivos, ejecutar exploits para verificar el alcance/impacto de la debilidad y «encadenar» múltiples debilidades para producir exploits más impactantes.
Donde un escáner de vulnerabilidad simplemente informaría que un servicio tiene una debilidad crítica, un pentest intentaría explotar esa debilidad y obtener el control del sistema. Si tiene éxito, el pentester utilizará su acceso para ir más allá y comprometer más sistemas y servicios.
Pentests profundiza en las vulnerabilidades
Si bien los escáneres de vulnerabilidades a menudo identifican problemas potenciales, un probador de penetración los exploraría completamente e informaría si la debilidad necesita atención o no. Por ejemplo, los escáneres de vulnerabilidad informan de forma rutinaria sobre la ‘Lista de directorios’, que es donde los servidores web ofrecen una lista de todos los archivos y carpetas del servidor. Esto no es necesariamente una vulnerabilidad en sí misma, pero necesita investigación.
Si un archivo confidencial (como un archivo de configuración de copia de seguridad que contiene credenciales) se expone y se incluye en la lista de directorios, un simple problema de información (según lo informado por un escáner de vulnerabilidades) podría convertirse rápidamente en un riesgo de alto impacto para su organización. El trabajo del pentester incluye revisar cuidadosamente el resultado de una variedad de herramientas, para asegurarse de que no quede piedra sin remover.
¿Qué pasa si necesito pruebas más rigurosas?
También se pueden incluir algunas actividades adicionales que realizaría un atacante real y que no son realizadas por los escáneres de vulnerabilidades, pero estas varían entre los probadores. Verifique la propuesta o haga preguntas antes de programar el pentest si desea que estén dentro del alcance. Por ejemplo:
- Ataques sostenidos de adivinación de contraseñas (rociado, fuerza bruta) para intentar comprometer las cuentas de usuario en VPN expuestas y otros servicios
- Raspar la web oscura y las bases de datos de infracciones en busca de las credenciales incumplidas conocidas de sus empleados, y colocarlas en paneles y servicios administrativos
- Pruebas de aplicaciones web donde está disponible un mecanismo de autorregistro
- Ataques de ingeniería social como phishing a sus empleados
Los pentest no pueden reemplazar las pruebas regulares de vulnerabilidad
Recuerde que diariamente se descubren nuevas vulnerabilidades críticas, y los atacantes suelen explotar las debilidades más graves dentro de una semana de su descubrimiento.
Si bien una prueba de penetración externa es una evaluación importante para analizar en profundidad la seguridad de sus sistemas expuestos, es mejor utilizarla como un servicio adicional para complementar el escaneo de vulnerabilidades regular, ¡que ya debería tener implementado!
Acerca del intruso
Intruso es una empresa de seguridad cibernética que ayuda a las organizaciones a reducir su superficie de ataque al proporcionar servicios continuos de análisis de vulnerabilidades y pruebas de penetración. El poderoso escáner de Intruder está diseñado para identificar rápidamente fallas de alto impacto, cambios en la superficie de ataque y escanear rápidamente la infraestructura en busca de amenazas emergentes. Ejecutando miles de verificaciones, que incluyen la identificación de configuraciones incorrectas, parches faltantes y problemas de la capa web, Intruder hace que el escaneo de vulnerabilidades de nivel empresarial sea fácil y accesible para todos. Los informes de alta calidad de Intruder son perfectos para transmitir a clientes potenciales o cumplir con las normas de seguridad, como ISO 27001 y SOC 2.
Intruder ofrece una prueba gratuita de 30 días de su plataforma de evaluación de vulnerabilidades. ¡Visite su sitio web hoy para probarlo!