¿Por qué es importante la prueba de penetración?

La informática es solo una ciencia. Sería muy científico suponer que estás seguro sin realmente ponerlo a prueba.

Puede realizar análisis de código fuente y otras metodologías de prueba de Whitebox para encontrar todo tipo de vulnerabilidades interesantes y de alto impacto ... pero, ¿qué pasaría si nadie pudiera explotar estos problemas ? No puede ser hackeado con una vulnerabilidad no explotable, sin embargo, los sistemas se interrumpen de forma regular. (Un interno podría explotar un problema como este, pero esa es una pregunta diferente).

Para mí, la prueba de penetración consiste en utilizar el Método científico para intentar responder a la pregunta simple, "En un escenario real, ¿qué podría hacer un pirata informático para dañar mi sistema o mi empresa? Para responder a esta pregunta, obtiene un pirata informático o un equipo de piratas informáticos capacitados y los debilita a propósito al no proporcionar el código fuente ni el acceso al equipo de desarrollo. Una prueba de penetración ideal es un escenario de prueba de caja negra estrictamente. Simplemente proporcione un nombre de empresa, un rango de direcciones IP o incluso una dirección física. Esa es toda la información que un atacante debería necesitar. (El CISSP tiene una sección de seguridad física por una razón).

Al final de la prueba de penetración, debe recibir un informe con los resultados. Una buena prueba de penetración siempre tendrá resultados. No hay un sistema perfecto, todos pueden tomar medidas para mejorar la seguridad. De los resultados de la prueba de penetración, puede identificar las debilidades en su sistema y puede ayudarlo a decidir cómo gastar sus recursos para mejorar la seguridad de su sistema en su conjunto .

Un beneficio importante obtenido a través de las pruebas en equipo rojo es que le brinda al personal de seguridad una experiencia real en el manejo de una intrusión real. De hecho, la compañía puede tener implementadas todas las políticas importantes, pero hasta que no tengan que lidiar con un atacante dentro de su red, es posible que no estén seguros de cómo proceder. Al igual que un simulacro de incendio, una prueba de penetración les permite desarrollar una estrategia de trabajo sobre cómo proceder en un entorno de otra manera inusual.

Por ejemplo, mientras se presta mucha atención al tema de prevenir y detectar un ataque externo, a menudo se prohíbe muy poco cómo eliminar un atacante de la red. Sin tener que lidiar con este tipo de eventos, el personal de seguridad puede dejar de adivinar cuál es la mejor manera de desalojar al atacante y al mismo tiempo proteger la integridad y el funcionamiento de su infraestructura crítica. Un atacante del mundo real podría aprovechar esta inexperiencia para persistir en su acceso incluso después de que la limpieza esté lista para completarse.

Durante la auditoría, mi captura de muchos de los mismos problemas que la prueba de lápiz, sus resultados son menos definitivos. Si bien un examinador de bolígrafos (pirata informático) no tiene la habilidad suficiente para acceder a su sistema, si lo son, será obvio.

Yo diría que la diferencia más importante, sin embargo, es la mentalidad. Los equipos de seguridad y los auditores tienden a examinar las cosas desde la perspectiva de la creación, quieren que las cosas funcionen. En otras palabras, están más inclinados a crear grandes aparatos innecesarios; cuanto mayor sea la estructura, más vulnerabilidades puede contener.

Los probadores de la pluma toman el enfoque opuesto. No tienen ningún interés en hacer un sistema, solo romperlo. Se han entrenado para estar alertas ante cualquier medio de acceso, incluida ingeniería social .

Todo esto combinado da a los evaluadores de pruebas un lugar definitivo en seguridad.

Como último punto: la piratería tiene que ver con la creatividad: es más probable que el equipo de seguridad y los examinadores de bolígrafos sean más creativos que los auditores.

Espero que esto presente mi argumento claramente.

Otro aspecto importante que no se ha tratado es el costo . Entonces, considerando el hecho de que una compañía no tiene un grupo de seguridad de software interno, la única forma en que la compañía puede auditar su estatura de seguridad es a través de Pen-Tests, mediante la contratación de consultores específicamente para el trabajo. Ahora, la prueba de la pluma dará resultados si se realiza correctamente. AFAIK, la prueba de la pluma es la forma más barata de evaluar su posición de seguridad. Hay varias aplicaciones para el análisis de código estático, es cierto, pero las licencias para estas aplicaciones cuestan mucho y también necesitaría una persona que pueda identificar falsos positivos.