Las pruebas de penetración son una forma clave de mantener segura su información, pero muchos de nosotros hacemos bastantes suposiciones falsas al respecto.
Las vulnerabilidades en sus sistemas informáticos no son necesariamente problemáticas hasta que los intrusos las descubren y las aprovechan. Si cultiva una cultura de identificación de lagunas antes que los actores de amenazas, puede resolverlas para que no representen ningún daño significativo. Esta es la oportunidad que te ofrecen las pruebas de penetración.
Pero existen más de unos cuantos mitos en torno a las pruebas de penetración que pueden impedirle tomar medidas para mejorar su seguridad.
1. Las pruebas de penetración son solo para organizaciones
Existe la noción de que las pruebas de penetración son una actividad para organizaciones, no para individuos. Comprender el objetivo de un pentest es clave para aclarar esto. El juego final de la prueba es asegurar los datos. Las organizaciones no son las únicas con datos confidenciales. La gente común también tiene datos confidenciales como información bancaria, detalles de tarjetas de crédito, registros médicos, etc.
Si, como persona, no identifica vulnerabilidades en su sistema o cuenta, los actores de amenazas las explotarán para acceder a sus datos y usarlos en su contra. Podrían usarlo como cebo para ataques de ransomware en los que exigen que pague una suma global antes de restaurar el acceso a usted.
2. Las pruebas de penetración son estrictamente una medida proactiva
La idea de descubrir amenazas en un sistema antes que los intrusos indica que las pruebas de penetración son una medida de seguridad proactiva, pero no siempre es así. A veces puede ser reactivo, especialmente cuando está investigando un ataque cibernético.
Después de un ataque, puede realizar una prueba de penetración para obtener información sobre la naturaleza del ataque para abordarlo adecuadamente. Al descubrir cómo ocurrió el incidente, las técnicas implementadas y los datos objetivo, puede evitar que vuelva a ocurrir cerrando las brechas.
3. Las pruebas de penetración son otro nombre para el análisis de vulnerabilidades
Dado que tanto las pruebas de penetración como el análisis de vulnerabilidades tratan de identificar vectores de amenazas, las personas a menudo los usan indistintamente, pensando que son lo mismo.
El escaneo de vulnerabilidades es un proceso automatizado de identificar vulnerabilidades establecidas en un sistema. Usted enumera posibles fallas y escanea su sistema para determinar su presencia e impacto en su sistema. La prueba de penetración, por otro lado, se trata de lanzar sus redes de ataque a través de todo su sistema de la misma manera que lo haría un ciberdelincuente, con la esperanza de identificar los enlaces débiles. A diferencia del análisis de vulnerabilidades, no tiene una lista predeterminada de amenazas a las que prestar atención, pero intente todo lo posible.
4. Las pruebas de penetración se pueden automatizar por completo
La automatización de las pruebas de penetración parece buena en teoría, pero en realidad es inverosímil. Cuando automatiza un pentest, realiza un análisis de vulnerabilidades. Es posible que el sistema no tenga la capacidad para resolver los problemas.
Las pruebas de penetración requieren intervención humana. Tiene que hacer una lluvia de ideas sobre las posibles formas de identificar las amenazas, incluso cuando parece que no existe ninguna en la superficie. Debe poner a prueba sus conocimientos sobre piratería ética, utilizando todas las técnicas disponibles para penetrar en las áreas más seguras de su red como lo haría un hacker. Y cuando identifica vulnerabilidades, busca formas de abordarlas, para que ya no existan.
5. Las pruebas de penetración son demasiado caras
La realización de pruebas de penetración requiere recursos humanos y técnicos. Quienquiera que esté realizando la prueba debe ser muy hábil, y tales habilidades no son baratas. También deben tener las herramientas necesarias. Si bien es posible que estos recursos no sean de fácil acceso, valen el valor que ofrecen para prevenir amenazas.
El costo de invertir en pruebas de penetración no es nada comparado con los daños financieros de los ataques cibernéticos. Algunos conjuntos de datos no tienen precio. Cuando los actores de amenazas los exponen, las repercusiones van más allá de la medición financiera. Pueden arruinar su reputación más allá de la redención.
Si los piratas informáticos pretenden extorsionarte durante un ataque, exigen grandes sumas que suelen ser más altas que tu presupuesto de pentest.
6. Las pruebas de penetración solo pueden ser realizadas por personas externas
Existe un mito de larga data de que las pruebas de penetración son más efectivas cuando las realizan partes externas que partes internas. Esto se debe a que el personal externo será más objetivo por no tener afiliación al sistema.
Si bien la objetividad es clave en la validez de la prueba, tener una afiliación con un sistema no lo hace exactamente no objetivo. Una prueba de penetración consta de procedimientos estándar y métricas de rendimiento. Si el probador sigue las pautas, los resultados son válidos.
Más aún, estar familiarizado con un sistema puede ser una ventaja ya que tiene conocimiento tribal que lo ayudará a navegar mejor por el sistema. El énfasis no debe estar en conseguir un evaluador externo o interno, sino en uno que tenga las habilidades para hacer un buen trabajo.
7. Las pruebas de penetración deben hacerse de vez en cuando
Algunas personas prefieren realizar pruebas de penetración de vez en cuando porque creen que el impacto de su prueba es a largo plazo. Esto es contraproducente considerando la volatilidad del ciberespacio.
Los ciberdelincuentes trabajan día y noche en busca de vulnerabilidades para explorar en los sistemas. Tener largos intervalos entre su pentest les da tiempo suficiente para explorar nuevas lagunas que quizás no conozca.
No tiene que realizar una prueba de penetración cada dos días. El equilibrio correcto sería hacerlo regularmente, dentro de unos meses. Esto es adecuado, especialmente cuando tiene otras defensas de seguridad en el terreno para notificarle sobre los vectores de amenazas, incluso cuando no los está buscando activamente.
8. Las pruebas de penetración tienen que ver con encontrar vulnerabilidades técnicas
Existe la idea errónea de que las pruebas de penetración se centran en las vulnerabilidades técnicas de los sistemas. Esto es comprensible porque los puntos finales a través de los cuales los intrusos obtienen acceso a los sistemas son técnicos, pero también tienen algunos elementos no técnicos.
Tome la ingeniería social, por ejemplo. Un ciberdelincuente podría utilizar técnicas de ingeniería social para atraerlo para que revele sus credenciales de inicio de sesión y otra información confidencial sobre su cuenta o sistema. Un pentest completo también explorará áreas no técnicas para determinar su probabilidad de ser víctima de ellas.
9. Todas las pruebas de penetración son iguales
Las personas tienden a concluir que todas las pruebas de penetración son iguales, especialmente cuando consideran los costos. Uno podría decidir optar por un proveedor de pruebas menos costoso solo para ahorrar costos, creyendo que su servicio es tan bueno como uno más costoso, pero eso no es cierto.
Como ocurre con la mayoría de los servicios, las pruebas de penetración tienen diferentes grados. Puede tener una prueba extensa que cubra todas las áreas de su red y una no extensa que capture algunas áreas de su red. Es mejor concentrarse en el valor que obtiene de la prueba y no en el costo.
10. Una prueba limpia significa que todo está bien
Tener un resultado de prueba limpio de su prueba es una buena señal, pero eso no debería hacer que se sienta complacido con su ciberseguridad. Mientras su sistema esté operativo, es vulnerable a nuevas amenazas. En todo caso, un resultado limpio debería motivarlo a duplicar su seguridad. Realice una prueba de penetración con regularidad para resolver las amenazas emergentes y mantener un sistema libre de amenazas.
Obtenga visibilidad completa de la red con pruebas de penetración
Las pruebas de penetración le brindan información única sobre su red. Como propietario o administrador de una red, usted ve su red de manera diferente a como la ve un intruso, lo que hace que se pierda cierta información que ellos pueden conocer. Pero con la prueba, puede ver su red desde la perspectiva de un pirata informático, lo que le brinda una visibilidad completa de todos los aspectos, incluidos los vectores de amenazas que normalmente estarían en sus puntos ciegos.