¿Qué preguntar al comprar una prueba de penetración premium para su negocio?

¿Qué debe preguntar al comprar una prueba de penetración (PT) premium para su empresa?

Encontrar un proveedor de pruebas de penetración bueno y confiable no es una tarea fácil, sin importar cuáles sean sus necesidades. En este breve artículo, repasaremos los aspectos principales que debe revisar al comprar un proveedor de pruebas de penetración.

Antes de comenzar, es importante comprender que no existe una solución única para todos. Diferentes negocios requieren diferentes proveedores. Depende de usted encontrar la empresa que mejor se adapte a sus necesidades. 

¿Necesito pruebas de penetración premium para mi negocio?

Esta es una decisión que debe tomar usted mismo, en lugar de con los proveedores con los que está hablando. 'Prueba de penetración' es un término muy amplio y podría usarse para describir muchas posibles auditorías de seguridad en el mercado.

La diferencia entre una prueba de penetración ligera y una premium radica principalmente en la cantidad de tiempo y experiencia invertidos en probar su seguridad. En última instancia, esto se traduce en la compensación que deberá realizar.

Los cuatro factores principales a tener en cuenta al decidir si se necesitan pruebas de penetración de calidad para usted son:

• Prevención de brechas de seguridad: si una brecha de seguridad es algo que puede devastar su negocio, dañar su reputación o impedir que los clientes trabajen con usted en el futuro, se recomienda invertir en pruebas de penetración de mayor calidad para reducir este riesgo a un nivel mínimo. mínimo. 
• Clientes empresariales: al cerrar nuevos tratos con clientes, especialmente corporaciones, algunos pueden requerir que presente un informe de prueba de penetración para asegurarse de que sus servicios sean seguros y no comprometan sus datos. Si la prueba de penetración no está a la altura de sus estándares, pueden rechazarla o solicitarle que realice una más completa. Esto podría ser un gran factor decisivo para muchas empresas.
• Datos confidenciales: si su empresa tiene datos confidenciales, como información personal o registros de transacciones financieras, puede correr un mayor riesgo de ser atacado por actores malintencionados. Además, en caso de incumplimiento, la ley puede obligarlo a pagar daños y perjuicios a los clientes cuya información se ha visto comprometida. Por lo tanto, se garantiza una prueba de penetración de mayor calidad para evitar pérdidas futuras.

¿Este proveedor tiene experiencia en probar mi tecnología?

Dado que hay un número creciente de tecnologías utilizadas en el mercado, debe asegurarse de que el proveedor que elija tenga experiencia con la tecnología específica que está utilizando.

Las dos categorías principales para esto son las pruebas de penetración de aplicaciones e infraestructura. 

Prueba de penetración de aplicaciones se puede dividir en función de las diferentes plataformas de destino de las aplicaciones, como Web, Android/IOS, Windows/Linux/Mac. Un proveedor de pruebas de penetración que tiene experiencia con Android, por ejemplo, puede o no tener conocimientos sobre aplicaciones web. Por lo tanto, debe preguntar a los posibles proveedores sobre su experiencia antes de comprometerse.

Pruebas de penetración de infraestructura se puede dividir en diferentes categorías. Las pruebas de infraestructura back-end para una empresa multinacional con cientos de miles de clientes son una bestia completamente diferente a las pruebas de infraestructura para una pequeña empresa emergente. Un proveedor de pruebas de penetración sin experiencia en operaciones a gran escala probablemente no sea adecuado para una empresa más grande. La tecnología utilizada en su back-end también es importante al encontrar un proveedor. Debe sondear a sus posibles proveedores con qué tecnologías trabajaron antes.

En general, las pruebas de penetración pueden ser de caja negra o de caja blanca. Las pruebas de penetración de Blackbox significan que los probadores no investigan las partes internas del sistema (código fuente, etc.), simulando un ataque real. Sin embargo, hay algunas desventajas de este método. En primer lugar, los atacantes reales no están limitados por el tiempo como los evaluadores y, en segundo lugar, los evaluadores pueden pasar por alto vulnerabilidades importantes. Las pruebas de caja blanca son exactamente lo contrario, los evaluadores están expuestos a las partes internas del sistema. Con frecuencia, esto implica una revisión exhaustiva del código, lo que requiere más tiempo y esfuerzo por parte de los probadores. Por lo tanto, a su vez, encarece la prueba.

Los proveedores generalmente se especializan en PT de caja negra o caja blanca, por lo que es importante revisar su experiencia. Un proveedor experto en pruebas de caja negra, por ejemplo, puede no tener experiencia en prácticas de revisión metódica de código.

En muchos casos, la combinación de los dos enfoques logrará los mejores resultados. El nombre de esta prueba combinada es prueba de caja gris. Dado que no existe una definición precisa para la prueba, variará entre diferentes pruebas y compañías. Comunicar sus plazos, requisitos técnicos y objetivos con su proveedor ayudará a definir las pruebas de caja gris (dar acceso a VPN, cuentas de administrador, lista de puntos finales, etc.). Además, una comunicación efectiva hará que el proceso de prueba sea efectivo en términos de tiempo y precio.

¿Quién realizará las pruebas? 

El factor más importante, aunque casi siempre el más descuidado para determinar la calidad del PT, es el probador o probadores que realizarán el trabajo. 

Cuando se comprometa con un PT, asegúrese de conocer el nombre y las calificaciones de las personas que realizarán las pruebas. Piense en las siguientes preguntas para hacerle a su proveedor acerca de los probadores:

• ¿Tienen más de 2 años de experiencia en el campo? 
• ¿Están trabajando directamente para el proveedor o son subcontratistas? La práctica de delegar trabajo a subcontratistas es muy común entre los grandes proveedores de seguridad. Esta práctica puede afectar negativamente a la calidad del servicio. Además, la delegación de trabajo a los subcontratistas también puede perjudicar la rendición de cuentas, ya que los subcontratistas suelen permanecer en el anonimato.
• ¿Los probadores están dedicados a mi proyecto o están haciendo varios proyectos simultáneamente?

Pida revisar su trabajo anterior. ¿Recibieron CVE (vulnerabilidades divulgadas públicamente) por hallazgos anteriores? ¿Trabajaron con una pila de tecnología similar a la mía?

¿Qué metodología se utilizará para mi prueba?

Un proveedor de penetración respetado utilizará una metodología y un marco bien definidos como garantías de calidad. Existen muchos estándares en competencia; aquí hay una breve descripción general:

• Guía de pruebas de seguridad web de OWASP (WSTG): solía llamarse OTG (Guía de prueba OWASP). Este estándar es la mejor guía para aplicaciones web y móviles. Esto se debe a que es el más actualizado y técnicamente más informativo sobre las pruebas que se deben realizar al realizar una prueba de penetración. Este estándar es actualmente el estándar de facto de la industria para PT y es comúnmente un requisito de las corporaciones de sus proveedores.
• Estándar de ejecución de pruebas de penetración (PTES): un estándar de alto nivel que cubre la metodología general que deben seguir los pen-testers. El estándar en sí no entra en los detalles técnicos de las pruebas de penetración (es decir, qué probar exactamente), pero tiene una guía complementaria con información muy extensa. Este estándar es mejor para pruebas de penetración de infraestructura. 
• NIST Cybersecurity Framework (CST): este estándar del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. es el más adecuado para auditar el estado general de ciberseguridad de una organización. Sin embargo, no está diseñado específicamente para pruebas de penetración. NIST también publicó una guía (NIST 800-115) que cubre los aspectos técnicos de las pruebas de seguridad.
• Building Security in Maturity Model (BSIMM): este marco se creó con un enfoque diferente: originalmente, los autores revisaron las prácticas de seguridad de 9 casas de software exitosas y las presentaron en un solo modelo. El lanzamiento más reciente, BSIMM12, se basó en las prácticas de 128 organizaciones diferentes. Este marco es similar al de NIST, ya que cubre todo tipo de actividades que las organizaciones deben realizar para mejorar su seguridad, en lugar de centrarse solo en las pruebas de penetración.
• Marco de evaluación de seguridad del sistema de información (ISSAF): es un estándar obsoleto, su última versión (0.2.1B) se publicó en mayo de 2006 y, como tal, gran parte de la información técnica de ISSAF no es particularmente relevante.

Al comprar una prueba de penetración premium o cualquier auditoría de seguridad, asegúrese de que se utilice la metodología correcta. Si su proveedor de PT no usa ninguna metodología o usa una obsoleta, esto puede conducir a una prueba de bajo estándar, que a menudo será rechazada por sus clientes.

¿La prueba es manual o automática?

Las pruebas automáticas son buenas para las pruebas de penetración de luz y proporcionarán una cobertura inicial. Son baratos de realizar y, por lo tanto, reducirán el costo total de la prueba. Las pruebas de penetración manuales son mejores para encontrar "días cero", vulnerabilidades desconocidas en su configuración que podrían afectar drásticamente su negocio.

Un PT de alta calidad debe ser una mezcla de scripts automáticos e investigación manual realizada por un evaluador experto. 

Los scripts automáticos son excelentes para encontrar vulnerabilidades conocidas de 1 día que están presentes con frecuencia en servicios y bibliotecas de terceros.

Las pruebas manuales lo ayudan a encontrar vulnerabilidades en su propio código personal, es decir, su propia lógica comercial. Este tipo de prueba de vulnerabilidades no se puede automatizar fácilmente ya que cada sistema es diferente y único y tiene su propia cuota de vulnerabilidades únicas.

Al comprar una prueba, debe asegurarse de que está pagando por una prueba de penetración de alta calidad que proporcionará tanto el escaneo automático como la investigación manual. Tenga en cuenta que la mayoría de la comisión se destinará a la investigación manual, ya que cuesta mucho más realizarla y no se puede automatizar.

Resumen

Comprar una prueba de penetración es una tarea compleja, específicamente cuando se comparan dos proveedores. Le recomendamos encarecidamente que comprenda el objetivo de la prueba de penetración antes de solicitar presupuestos. ¿Es solo para la certificación? ¿Tus clientes lo solicitan? ¿Qué tan importante es el nivel de seguridad para su empresa? 

Después de comprender sus necesidades internas, asegúrese de que el proveedor con el que trabaja tenga experiencia en su campo tecnológico. Y el probador de penetración que trabajará en su plataforma tiene experiencia previa en el campo, además de tener CVE disponibles públicamente. 

Verifique con el proveedor cuánto del presupuesto se destina a pruebas automatizadas y cuánto se asigna a pruebas manuales, las pruebas manuales deben tomar la mayor parte del precio.

Pídale al proveedor un informe de prueba de penetración de ejemplo y revise la gravedad y complejidad de los hallazgos, también solicite referencias de clientes anteriores.

Y en cuanto a todas las decisiones complejas, ¡confíe en su instinto y manténgase a salvo!