Las violaciones de datos resultan en pérdidas financieras significativas para las empresas. Según IBM, el daño promedio por violaciones de datos en 2020 ascendió a 3 3.86 millones. La mitad de estos incidentes fueron causados por ciberataques.
Las empresas pueden prevenir las filtraciones de datos realizando pruebas de penetración, ya que incluye simulación de ataques además de otras técnicas. Las pruebas de penetración (pentest) permiten a las empresas identificar vulnerabilidades existentes en su infraestructura de TI y evaluar el daño potencial que podría causar un ataque.
Probadores de penetración profesionales siga las metodologías y estándares aprobados por la industria. Los cinco más populares y bien considerados son el OSSTMM, el NIST SP800-115, el OWASP, el ISSAF y el PTES. Si bien cualquiera de estos es técnicamente suficiente para realizar una pentest, las empresas de auditoría veteranas prefieren usar varios a la vez. La elección exacta depende de las características específicas de la empresa auditada, como sus procesos comerciales y de seguridad de la información.
Echemos un vistazo más de cerca a cada una de las 5 metodologías y estándares.
Pruebas de penetración
OSSTMM
El Manual de Metodología de Pruebas de Seguridad de Código Abierto (OSSTMM) es uno de los estándares de prueba más populares. Fue desarrollado por el Instituto de Seguridad y Metodologías Abiertas (ISECOM).
El OSSTMM ofrece un plan de pruebas detallado, métricas para evaluar el nivel de seguridad actual y recomendaciones para redactar un informe final. Los creadores de OSSTMM garantizan que cualquier prueba realizada de acuerdo con OSSTMM será detallada y exhaustiva, y sus resultados serán medibles y estarán basados en hechos.
El OSSTMM propone cinco canales principales, o direcciones, para probar la seguridad operativa. Dividirlo en canales facilita las pruebas y permite a los evaluadores evaluar el nivel de seguridad de una empresa de una manera más completa.
Seguridad humana. El aspecto de seguridad que se ocupa de las interacciones físicas o psicológicas directas entre las personas.
Seguridad física. Cualquier elemento material (no electrónico) de seguridad que sea operado física o electromecánicamente.
Comunicaciones inalámbricas. La seguridad de todas las comunicaciones y dispositivos inalámbricos, desde Wi-Fi hasta sensores infrarrojos.
Telecomunicaciones. Telecomunicaciones analógicas y/o digitales. Este canal se refiere principalmente a la telefonía y la transmisión de información interna a través de líneas telefónicas.
Redes de datos. La seguridad de redes corporativas internas y externas, conexiones a Internet y dispositivos de red.
El OSSTMM es un estándar universal, lo que significa que puede proporcionar una base para realizar cualquier prueba de penetración. Los evaluadores pueden confiar en las pautas de OSSTMM al adaptar el proceso de evaluación de seguridad a un cliente específico, de modo que se tengan en cuenta sus procesos comerciales, así como las especificaciones tecnológicas y de la industria.
NIST SP800-115
La serie 800 de Publicaciones Especiales del NIST es un estándar de seguridad de la información desarrollado por el Instituto Nacional de Estándares y Tecnología. La publicación especial SP 800-115 describe el procedimiento general de prueba de penetración y los aspectos técnicos de la evaluación del nivel de seguridad de la información de una empresa. También proporciona recomendaciones para analizar los resultados de las pruebas y desarrollar medidas para reducir los riesgos de seguridad. La última versión de este documento se centra específicamente en reducir los riesgos de ciberataques.
El NIST SP800-115 es una guía técnica que se puede utilizar para evaluar la seguridad de la información en empresas de diferentes industrias, incluidas las finanzas y las TI. El uso de esta metodología pentest es considerado obligatorio por las empresas auditoras profesionales.
El NIST SP800-115 incluye, entre otras cosas:
- métodos de inspección: revisión de documentación — registros, conjuntos de reglas y configuraciones del sistema, rastreo de la red, verificación de la integridad de los archivos;
- métodos para evaluar vulnerabilidades dirigidas de forma rutinaria: descifrado de contraseñas, ingeniería social, pentests;
- organizar la evaluación de seguridad en sí misma: coordinación — procesamiento de datos, análisis y evaluación;
- acciones a tomar después de que se complete la evaluación: recomendaciones para reducir riesgos, crear el informe de evaluación, corregir vulnerabilidades.
OWASP
El Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) es una comunidad abierta en línea que ofrece la metodología más exhaustiva para probar aplicaciones, sitios web y API. La documentación de OWASP es útil para cualquier empresa de TI que desee desarrollar software seguro.
Esta documentación incluye:
OWASP Top 10. Documento que describe las vulnerabilidades más extendidas en aplicaciones web y móviles, dispositivos IoT y API. Las amenazas se ordenan en función de su complejidad e impacto en las empresas.
Guía de Pruebas OWASP. Un recurso que contiene varias técnicas para probar la seguridad de las aplicaciones web. También incluye ejemplos de la vida real.
Guía para Desarrolladores de OWASP. Una guía que proporciona recomendaciones para desarrollar código seguro y confiable.
Revisión del Código OWASP. Una guía que puede ser utilizada por desarrolladores web y gerentes de producto. Ofrece métodos efectivos para probar la seguridad del código existente.
Una de las principales ventajas de OWASP es que describe las pruebas en cada etapa del ciclo de vida del desarrollo de software: definición de requisitos, diseño, desarrollo, implementación y mantenimiento. Además de eso, la metodología OWASP cubre no solo las aplicaciones, sino también las tecnologías, los procesos y los recursos humanos.
Otra gran ventaja es que OWASP puede ser utilizado tanto por desarrolladores web como por pentesters.
La comunidad OWASP también creó OWASP ZAP, una herramienta multiplataforma para pruebas automatizadas, algo similar a Burp Suite.
ISSAF
El Marco de Evaluación de la Seguridad de los Sistemas de Información (ISSAF) fue creado por el Grupo Abierto de Seguridad de los Sistemas de Información (OISSG) y cubre muchos aspectos de la seguridad de la información. En particular, proporciona recomendaciones detalladas para las pruebas de penetración: describe las herramientas adecuadas y cómo usarlas, así como los resultados que los evaluadores pueden esperar en diversas circunstancias.
El ISSAF se considera una metodología compleja y exhaustiva que puede adaptarse para evaluar la seguridad de la información en cualquier organización. Cada etapa de la prueba ISSAF está cuidadosamente documentada. Este recurso también contiene recomendaciones sobre cómo usar herramientas específicas en cada etapa.
La metodología ISSAF sugiere seguir una secuencia estricta de pasos al simular un ataque:
- recopilación de información;
- mapeo de la red;
- identificación de vulnerabilidades;
- penetrante;
- obtener privilegios de acceso básicos y luego elevarlos;
- mantenimiento del acceso;
- comprometer usuarios remotos y sitios remotos;
- ocultando las huellas digitales del probador.
PTE
El Estándar de Ejecución de Pruebas de Penetración (PTES) ofrece recomendaciones para realizar una pentest básica, así como varias variantes de prueba más avanzadas para organizaciones con altos requisitos de seguridad de la información. Una de las ventajas del PTES es que brinda descripciones detalladas de los objetivos y resultados esperados del pentest .
Las principales etapas de prueba según el PTES.:
- Recopilación de Inteligencia. La organización cliente proporciona al probador información general sobre los objetivos dentro de su infraestructura de TI. El probador recopila información adicional de fuentes públicas.
- Modelado de amenazas. Las áreas clave y los vectores de ataque se definen en función de los procesos de negocio y los elementos críticos de la infraestructura de TI.
- Análisis de vulnerabilidades. El probador identifica y evalúa los riesgos relacionados con la vulnerabilidad. También analizan todas las vulnerabilidades que los atacantes pueden aprovechar.
- Explotación. El probador intenta explotar las vulnerabilidades encontradas y hacerse cargo de los elementos del sistema de información, imitando las acciones de un atacante.
- Reportando. La organización cliente recibe un informe que contiene resultados de pentest completamente documentados, con información sobre las vulnerabilidades encontradas, qué tan críticas son para el negocio y recomendaciones para solucionarlas.
El PTES también incluye una guía para realizar pruebas de seguimiento o posteriores a la explotación. Ayuda a la empresa a determinar si las vulnerabilidades encontradas se solucionaron correctamente.
Conclusión
Incluso cuando se aplica una sola metodología, los evaluadores experimentados se esfuerzan por cubrir toda la gama de amenazas potenciales para la organización del cliente. También tienen en cuenta los riesgos técnicos, organizativos y legales para el cliente: un probador no hará nada que realmente pueda tener un impacto negativo en la empresa. A diferencia de un atacante, un probador es mucho más moderado cuando se trata del efecto de sus acciones en la infraestructura de la empresa cliente.
Encontrar y corregir vulnerabilidades lo más rápido posible es una prioridad para todas las empresas. Entre otras cosas, ayuda a reducir la cantidad de daño material que puede ocurrir si un atacante realmente logra explotar una vulnerabilidad. Por eso simular un ciberataque realizando un pentest es como un juego de guerra: ayuda a las empresas a estar siempre en guardia.
