¿Cuáles son las ventajas y desventajas de tener un departamento interno de pentest en una empresa grande en comparación con los proveedores de servicios externos?
El uso más efectivo de un profesional de seguridad que tiene habilidades de prueba de penetración es realizar ejercicios cibernéticos. Algunos se refieren a esto como una combinación de equipos púrpura o simulación de adversarios. Cada enfoque será exclusivo de una organización o conjunto de organizaciones, y tendrá sus propias ventajas y desventajas.
Rafael Mudge habló recientemente en el SANS Pen Test Hackfest en [PDF - Hacking to Get Caught - PDF], basado en su material original de un publicación de blog sobre simulación de adversarios .
No creo que sea importante si contrata de manera externa o interna para este tipo de trabajo: los beneficios de contratar a alguien internamente históricamente han sido desalentados porque la persona "probablemente se aburrirá", "será predecible" y se convertirá menos efectivo porque su conocimiento del medio ambiente evitaría ver las cosas desde una perspectiva nueva o nueva. Sin embargo, con los ejercicios cibernéticos que demuestran su valor en los Centros de Operaciones de Seguridad, los centros de fusión basados en la inteligencia de amenazas cibernéticas y los equipos rojos internos, el valor de tener habilidades internas de penetración está aumentando rápidamente.
Hay algunos recursos a los que me gustaría señalarle para comprender completamente los enfoques tradicionales y no tradicionales para los recursos de pruebas de penetración. Dos libros, uno: "Guía de pruebas de penetración de CISO: un marco para planificar, administrar y maximizar beneficios", y el otro, "Pruebas de penetración efectivas" de Kevin Pescatello y Matthew Larsen. En el libro anterior, el capítulo 5 cubre cuatro tipos de pruebas: compartidas en paralelo, aisladas en paralelo, compartidas en serie y aisladas en serie. Cada uno de estos enfoques de prueba incluye dos tipos de probadores de penetración externa, así como un tipo interno, que combina una combinación y un equilibrio de requisitos y necesidades.
Por último, me gustaría señalar que las pruebas de penetración son un campo emergente y cambiante con una variedad de conocimientos provenientes de muchos enfoques poco ortodoxos y una gran variedad de antecedentes. Habiendo sido introducido en la inteligencia nacional de los EE. UU., La seguridad nacional y las TTP militares como wargaming, OPFOR, red teaming analysis (RTA), teoría de juegos, simulación, inteligencia de advertencia, S & TI, TECHINT, inteligencia de todas las fuentes, contrainteligencia, MILDEC contra-negación, contra-engaño, marcos analíticos y el modelo del centro de fusión: he llegado a la conclusión de que la industria de las pruebas de penetración debe ser reescrita. Estas anticuadas evaluaciones de terceros que producen informes siempre han sido ridículas en comparación con la guerra, por lo que es un precedente que adoptemos el cambio, particularmente debido a esta guerra cibernética de 2014 y la situación de riesgo cibernético total que enfrentamos como una economía global o en el mundo. espacio geopolítico.
Lea otras preguntas en las etiquetas penetration-test