Riesgos involucrados en la implementación externa del entorno de almacenamiento

Me aseguraría de que el equipo de pruebas de penetración pruebe tanto el acceso desde dentro de la red interna como desde Internet. Al exponer una aplicación a Internet, los agentes de amenazas (atacantes) están facilitando el acceso a esa aplicación, por lo que sí, esto afectaría el perfil de riesgo de la aplicación. Para calcular el riesgo, considere un enfoque de modelado de amenazas. Puede encontrar útil el enfoque de OWASP .

Depende principalmente de la confianza que usted deposite en el entorno de ensayo, pero en el caso general, exponerlo a Internet aumenta los riesgos. Porque además del equipo que realizará las pruebas, otros atacantes podrían acceder a la aplicación y, si encuentran vulnerabilidades, pueden explotarlos. Esto no sería una gran sorpresa porque las pruebas de la pluma aún no se han hecho. Si el entorno de almacenamiento está aislado de la red interna al configurarse como DMZ, el riesgo se limita a esta plataforma, pero si puede acceder a la red interna, podría utilizarse para atacar a otras máquinas (internas), actuando más o menos como un troyano.

Si el equipo que debe realizar la prueba de lápiz no tiene acceso directo a la red interna, debería considerar la configuración de una VPN segura para permitirles acceder al entorno de prueba, pero nadie más.

Un atacante podría "practicar" sus proezas en la copia de prueba, que a menudo no se monitorea / defiende hasta que han perfeccionado sus proezas, en cuyo momento pueden eliminar su aplicación en vivo de una sola vez.

Otro riesgo sería si hubiera algún error de configuración y la aplicación de prueba realmente contiene secretos que serían válidos en algún momento para la aplicación en vivo. Recientemente he encontrado exactamente esto en un trabajo reciente: la aplicación de prueba usaba las mismas contraseñas para un servicio externo que la aplicación en vivo.