¿Cuál es la diferencia entre una prueba de penetración y una evaluación de vulnerabilidad?
¿Por qué elegirías una sobre la otra?
¿Qué entregables esperaría recibir y cómo calificaría su calidad?
Estoy seguro de que publiqué una respuesta a esto anteriormente, pero mi google-fu debe estar débil esta mañana. Desde mi publicación del blog sobre la taxonomía de penetración, tener una lista de tipos de pruebas que está ganando aceptación. También, trabajando con el Estándar de Ejecución de Pruebas de Penetración esperamos desarrollar más este . Esta lista debería ayudar a explicar cómo elegir una sobre otra.
Los entregables son casi un tema separado, y deben ser definidos por la necesidad y la audiencia (por ejemplo, para un organismo de gobierno no esperaría los mismos detalles que proporcionaría a un equipo de remediación técnica, pero desearía incluir negocios). información de riesgo). También hay un flujo de informes dentro del desarrollo de PTES para tratar de codificar esta área:
Descubrimiento
El propósito de esta etapa es identificar los sistemas dentro del alcance y los servicios en uso. No está pensado para descubrir vulnerabilidades, pero la detección de versiones puede resaltar versiones obsoletas de software / firmware y, por lo tanto, indicar vulnerabilidades potenciales.
Análisis de vulnerabilidad
Tras la etapa de descubrimiento, esto busca problemas de seguridad conocidos mediante el uso de herramientas automatizadas para hacer coincidir las condiciones con las vulnerabilidades conocidas. La herramienta establece automáticamente el nivel de riesgo informado, sin que el proveedor de pruebas realice ninguna verificación o interpretación manual. Esto puede complementarse con el análisis basado en credenciales que busca eliminar algunos falsos positivos comunes mediante el uso de las credenciales proporcionadas para autenticarse con un servicio (como las cuentas locales de Windows).
Evaluación de vulnerabilidad
Esto utiliza el descubrimiento y la exploración de vulnerabilidades para identificar vulnerabilidades de seguridad y coloca los hallazgos en el contexto del entorno bajo prueba. Un ejemplo sería eliminar los falsos positivos comunes del informe y decidir los niveles de riesgo que deberían aplicarse a cada informe del informe para mejorar la comprensión y el contexto de la empresa.
Evaluación de seguridad
Se basa en la evaluación de vulnerabilidad al agregar la verificación manual para confirmar la exposición, pero no incluye la explotación de vulnerabilidades para obtener mayor acceso. La verificación podría ser en forma de acceso autorizado a un sistema para confirmar la configuración del sistema e involucrar el examen de registros, respuestas del sistema, mensajes de error, códigos, etc. Una evaluación de seguridad busca obtener una amplia cobertura de los sistemas bajo prueba pero no la profundidad de exposición a la que podría conducir una vulnerabilidad específica.
Prueba de penetración
Las pruebas de penetración simulan un ataque de una parte maliciosa. Aprovechar las etapas anteriores e implica la explotación de las vulnerabilidades encontradas para obtener un mayor acceso. El uso de este enfoque resultará en una comprensión de la capacidad de un atacante para obtener acceso a información confidencial, afectar la integridad de los datos o la disponibilidad de un servicio y el impacto respectivo. Cada prueba se aborda utilizando una metodología consistente y completa de manera que el probador pueda usar sus habilidades de resolución de problemas, el resultado de una gama de herramientas y su propio conocimiento de redes y sistemas para encontrar vulnerabilidades que no podrían ser identificadas por Herramientas automatizadas. Este enfoque analiza la profundidad del ataque en comparación con el enfoque de evaluación de seguridad que se centra en la cobertura más amplia.
Auditoría de seguridad
Dirigido por una función de Auditoría / Riesgo para analizar un problema específico de control o cumplimiento. Caracterizado por un alcance limitado, este tipo de compromiso podría hacer uso de cualquiera de los enfoques anteriores (evaluación de vulnerabilidad, evaluación de seguridad, prueba de penetración).
Revisión de seguridad
Verificación de que las normas de seguridad internas o de la industria se han aplicado a los componentes del sistema o al producto. Por lo general, esto se completa a través del análisis de brechas y utiliza revisiones de compilación / código o revisando documentos de diseño y diagramas de arquitectura. Esta actividad no utiliza ninguno de los enfoques anteriores (evaluación de vulnerabilidad, evaluación de seguridad, prueba de penetración, auditoría de seguridad)
Además de las respuestas ya proporcionadas, contaré por qué puede elegir una sobre la otra. Las evaluaciones de vulnerabilidad son más útiles si no está seguro de su postura de seguridad actual y desea tener una idea de dónde pueden estar sus problemas.
Sin embargo, vale la pena señalar que, al igual que todas las evaluaciones de vulnerabilidad en el trabajo de seguridad, no todas son iguales. Para algunos proveedores, puede centrarse únicamente en el resultado de la herramienta, mientras que otros harán más trabajo manual para verificar y ampliar esos hallazgos.
Si ese es su objetivo, me enfocaré en el tipo de enfoque de "evaluación de seguridad" mencionado en la respuesta de @RoryAlsop.
Una prueba de penetración está, clásicamente, diseñada para replicar las acciones de un atacante al intentar comprometer la seguridad de un sistema u organización. Por lo tanto, es probable que esto sea más apropiado para las organizaciones que confían en los controles de seguridad establecidos para un sistema determinado y desean probar o refutar su eficacia.
Sin embargo, hay problemas con este enfoque, dependiendo de quiénes sean sus atacantes. Si está buscando diseñar controles que defiendan contra atacantes dirigidos hábiles (por ejemplo, el crimen organizado), es muy difícil usar una prueba de penetración para verificarlos, ya que no incluirá algunas técnicas que los atacantes puedan usar.
Algunos ejemplos de áreas en las que las pruebas de penetración tendrán dificultades para cubrirse debido a problemas legales serían cosas como apuntar a los equipos personales del hogar para que comuniquen sus instalaciones de acceso remoto, atacar a socios externos que puedan tener acceso a los sistemas de destino para fines de soporte, o comprando botnets que pueden tener zombies ya presentes en el entorno objetivo.
Por lo tanto, vale la pena conocer las limitaciones de ambos tipos de pruebas, pero una regla general es que las evaluaciones de seguridad y VA son buenas cuando no está seguro de su seguridad, y las pruebas de penetración son buenas para demostrarlo. una vez que lo sepas.
Para la mayoría de las personas, son lo mismo. Es por esto que esfuerzos como PTES fallarán. No puedes cambiar a las personas que no quieren cambiar.
La pregunta correcta es: "¿Cuál es la diferencia entre las pruebas de penetración y la piratería ética?".
La respuesta a esta pregunta es que las pruebas de penetración tienen un premio específico en mente, sin límite de tiempo y, por lo general, una larga lista de reglas de participación (las listas cortas piden que nadie sufra daños físicos o esté amenazado). La piratería ética es una actividad de caja de tiempo en la que se descubren la mayor cantidad de fallas posibles, por lo general solo se utilizan métodos no físicos.
"Evaluaciones", "auditorías" y "pruebas" suelen ser palabras intercambiables en el campo de la seguridad de la información. Las palabras "vulnerabilidad", "amenaza" y algunas otras son típicamente mal entendidas y mal interpretadas. Los profesionales con 20 años de experiencia, los mismos antecedentes y las mismas certificaciones generalmente discutirán sobre estos términos básicos. Lo mejor es ignorar lo que alguien "dice" o "piensa" es la respuesta correcta, y en su lugar, siga su instinto y sentido común cuando aplique el término en una conversación con los no iniciados.
El problema con esta pregunta es que no hay una definición estricta / seguida de lo que significa "prueba de penetración" en la industria. Algunas personas brillantes de toda la comunidad se reunieron para resolver ese problema, formando el " Estándar de Ejecución de Pruebas de Penetración . "
Intenta definir cada etapa de una prueba de penetración para establecer una expectativa razonable sobre la cual los ejecutivos de negocios y los evaluadores de penetración pueden basar sus interacciones.
Las etapas que listan son
Aquí hay una definición diluida de cada uno. Para obtener una imagen clara, debe leer las páginas wiki vinculadas.
Interacciones previas al compromiso implica establecer el alcance y las reglas del compromiso, junto con muchos aspectos orientados a los negocios.
Recolección de inteligencia es la fase de reconocimiento en la que el atacante aprende todo lo que puede sobre el objetivo (tanto aspectos humanos como técnicos) para usar durante el análisis y la explotación de la vulnerabilidad.
Modelado de amenazas implica identificar activos y amenazas, categorizarlos y finalmente asociarlos.
Análisis de vulnerabilidad "es el proceso de descubrir fallas en sistemas y aplicaciones que pueden ser aprovechadas por un atacante". la gente a menudo asume erróneamente que esto y la explotación es de lo que se trata la prueba de penetración.
Explotación "se enfoca únicamente en establecer el acceso a un sistema o recurso al pasar por alto las restricciones de seguridad".
Explotación posterior es la determinación del valor de las máquinas comprometidas y el mantenimiento del control para su uso posterior. En esta fase, puede recopilar información que le permita profundizar (las credenciales son las obvias).
Informes "[comunica] los objetivos, métodos y resultados de las pruebas realizadas a varias audiencias".
Ya sea que tengan éxito en su misión o no, es un tema de debate, pero creo que este es un buen lugar para desarrollar un inicio para una comprensión profunda.
También se encuentran las " Pautas técnicas de PTES " que trata sobre tácticas y herramientas que podría usarse durante una prueba de penetración.
No soy un juego para escribir algo largo para esto, pero aquí hay uno divertido que la mayoría de los probadores de lápiz comparten:
La prueba de la pluma, al menos en la esquina en la que doy vueltas, pretende simular un ataque de un adversario motivado. Las evaluaciones de vulnerabilidad suelen ser mucho menos.
El análisis de vulnerabilidad es el proceso de identificación de vulnerabilidades en una red, mientras que una prueba de penetración se enfoca en obtener acceso no autorizado a los sistemas probados y usar ese acceso a la red o los datos, según lo indique el cliente. Un análisis de vulnerabilidad proporciona una visión general de las fallas que existen en el sistema mientras que una prueba de penetración continúa para proporcionar un análisis de impacto de las fallas identifica el posible impacto de la falla en la red subyacente, el sistema operativo, la base de datos, etc. El análisis de vulnerabilidad es más un proceso pasivo. En Vulnerability Analysis, utiliza herramientas de software que analizan el tráfico y los sistemas de la red para identificar cualquier exposición que aumente la vulnerabilidad a los ataques. La prueba de penetración es una práctica activa en la que se emplean hackers éticos para simular un ataque y probar la resistencia de la red y los sistemas.
He escrito un post completo cubriendo esto. Léalo aquí: enlace
Lea otras preguntas en las etiquetas penetration-test terminology