¿Se pueden considerar las Pruebas de Penetración como parte de un programa exhaustivo de Gestión de Vulnerabilidades? P.S: Me doy cuenta de la diferencia entre las pruebas de penetración y la evaluación de vulnerabilidad. ¿Pero quiero saber si ambos están dentro del paraguas de Vulnerability Management?
Absolutamente. Las pruebas de penetración pueden considerarse una parte clave tanto de la gestión de vulnerabilidades como de las evaluaciones de vulnerabilidades. Las pruebas de penetración son bastante diferentes a la exploración de vulnerabilidades, aunque la exploración de vulnerabilidades puede ser una de las tareas iniciales realizadas en una prueba de penetración para identificar problemas obvios en el entorno.
Se deben realizar pruebas de penetración dentro de un programa de administración de vulnerabilidades cuando se han abordado problemas obvios para que el entorno esté sujeto a un escenario de ataque de la vida real. Solo en este punto se pueden medir realmente las defensas en su lugar.
Cuando evalúa su riesgo en su programa de administración de vulnerabilidades, hay dos factores en su ecuación de riesgo. Las evaluaciones de vulnerabilidad proporcionan el factor que le proporciona el vector de explotación y su valor de riesgo potential para su organización. Pero el valor de riesgo real tiene que ser una dirección in situ del entorno que se explotará para saber qué tan mal está para el escenario específico your . El análisis de explotación (pruebas de penetración) proporciona un valor de riesgo real e ilumina los riesgos primarios, secundarios y terciarios que las evaluaciones de vulnerabilidad no pueden esclarecer del riesgo de portal identificado en la evaluación de vulnerabilidad.
Como ejemplo, sé que en mi casa tengo ventanas y son una vulnerabilidad, porque básicamente cualquier criminal idiota puede pasar por alto una ventana (incluso con una detección de alarma de ventana decente, por cierto). Y puedo pensar que estoy "a salvo" porque tengo a esta joya de grado agradable y segura. Mantengo mis joyas. Sin embargo, cuando contrate a alguien para que explote mis ventanas, e ingrese, puedo encontrar a mi pareja a quien necesito (en caso de que de emergencias) para entrar en esa caja fuerte, anotó la combinación segura y las pegó en su escritorio en la oficina, justo al lado de una de las ventanas. Ahora, en mi evaluación de vulnerabilidad, las ventanas podrían haber sido calificadas de bajo a medio en mi evaluación de riesgo, ya que es una vulnerabilidad bien conocida. Sin embargo, no hasta que mi análisis de explotación descubra que tengo un gran riesgo debido a la falta de protocolos en el manejo de la combinación en mi caja fuerte.
Todo se reduce a: a qué te refieres con pentesting.
Los escáneres de vulnerabilidad tienen una alta incidencia de falsos positivos y probar una vulnerabilidad a menudo implica explotarla.
Si te refieres a unir en rojo tu entorno, es una buena manera de probar la respuesta de tus equipos ante amenazas activas. También proporciona una buena imagen de la amenaza real frente al entorno en lugar de evaluar un riesgo por sí mismo sin contexto.
Si solo estás tratando de avergonzar a tus desarrolladores, gastaría mi dinero en otra parte.
-
Para no minimizarlo como parte de un programa de gestión de riesgos bien redondeado, es importante, pero es más una palanca de concientización para la alta gerencia que para aquellos que trabajan en la tecnología. Un equipo de administración de infraestructura bien motivado y financiado (y con una mentalidad de seguridad) puede hacer mucho más por usted en el 99% de los casos que un informe que diga lo que le han dicho todo el tiempo que hará por su moral.
Lea otras preguntas en las etiquetas penetration-test