¿Por qué deberías ofrecer servicios de Pentesting a tus clientes?
Ayuda a tus clientes a identificar vulnerabilidades y ser proactivos con la remediación.
Si el objetivo de tus clientes es erradicar las vulnerabilidades de ciberseguridad en su infraestructura y cerrar la puerta al malware y ransomware, uno de los servicios que puedes ofrecerles es realizar pruebas de penetración o pentesting
Juan de Francesco, encargado de Pruebas de Penetración en Appgate Estados Unidos, afirmó que este tipo de prácticas produce un enorme impacto en las organizaciones.
Una prueba de penetración no es más que un ataque simulado a una red, a una nube, a la infraestructura, al directorio activo, al código fuente. De acuerdo con De Francesco se debe analizar todo, porque los atacantes no discriminan en cuanto a los puntos de entrada.
“No podemos proteger una casa poniendo solo una cámara de seguridad y reja en la puerta principal y dejar la puerta del patio trasera y las ventanas abiertas- explicó el ejecutivo- las pruebas de penetración son lo mismo”.
El canal que vende estas pruebas de penetración ayuda a las organizaciones a mejorar su postura de Inteligencia proactiva.
“Solo pensando en la seguridad defensiva no vamos a encontrar los agujeritos de seguridad de quien tiene una postura ofensiva, por eso es importante hacer pruebas de penetración de manera constante”, dijo el ejecutivo.
A diferencia de un ataque real, los pentesters no toman tanto tiempo para estudiar una vulnerabilidad y los comportamientos de la organización; en esta hay restricciones en recursos y requerimientos, por eso, el canal que haga estas pruebas debe adecuarse a las diferentes necesidades y alcances de las empresas, y optar por alguna de las pruebas conocidas:
- Caja blanca
- Caja negra
- Caja gris
- Red interna
- Red externa
- Cloud
- Inalámbrico
- Ingeniería social
- Físicos
De nada sirve incluir muchos tipos de pruebas en un solo ejercicio; regularmente se requieren diferentes tecnologías, personal experto, y se debe evitar generar conflicto entre áreas.
Si vas a ayudar a tu cliente a hacer una prueba de penetración define junto con él, el objetivo de la prueba.
¿Pentest o Red Team?
Tanto las pruebas de penetración como el trabajo de un Red Team simulan ataques, la diferencia radica en que el pentesting lo hace un grupo de expertos que quiere encontrar errores y proveer, en medida de lo posible remediación a ese problema específico.
En tanto que un Red Team es un ejercicio que usan las técnicas y tácticas de atacantes reales para evaluar la postura de seguridad de una empresa y ver como estos equipos responden ante ataques reales.
Ambos son necesarios, ambos simulan ataques, pero los dos son diferentes.
“Supongamos que el Red Team es ese chequeo anual que nos hacemos para ver el estado de salud del cuerpo; el pentesting es el médico especialista con el que nos atendemos algo concreto”, diferenció Francesco.
Las pruebas de penetración deben hacerse de manera constante, porque durante el ciclo de vida de las tecnologías hay cambios: Se suman servicios, se actualiza el sistema operativo, se añade una aplicación, y en cada cambio es necesario volver a revisar que no haya nuevas vulnerabilidades.
El ejecutivo hizo la analogía de que las pruebas de penetración son una ante el malware, porque fortalecen las defensas digitales de la compañía, pues al identificar, parchar y remediar vulnerabilidades, permite de manera proactiva, como una vacuna, defenderse de brechas minimizando los riesgos de infecciones.
Te interesa leer: Perception Point busca canales que quieran vender ciberseguridad
Puede suceder que, pese a todos los esfuerzos, una empresa sea víctima del ransomware, pero si a través de una prueba de penetración se protege lo interno, el core de negocio en una empresa, se evita una destrucción de grandes proporciones en la infección, tal como las vacunas.
Una vez que realizaste en tu cliente una prueba de penetración deberás generar reportes, cuyo objetivo es dar recomendaciones de tecnología, pero también de mejores prácticas, tanto para el personal de TI como los desarrolladores y trabajadores de IT.
Implementar estas recomendaciones mitigan riesgos y fortalecen las defensas no solo en lo inmediato, sino que una vez que el desarrollador aprende que estaba siguiendo una metodología insegura, evitará repetir los problemas en el futuro, educando a largo plazo a los trabajadores.