Las pruebas de penetración (también
llamadas “pen testing”) son una práctica para poner a prueba un sistema
informático, red o aplicación web para encontrar vulnerabilidades que un
atacante podría explotar.
Las pruebas de penetración pueden ser
automatizadas con aplicaciones de software, o se pueden realizar manualmente.
De cualquier manera, el proceso incluye la recopilación de información sobre el
objetivo antes de la prueba (reconocimiento), la identificación de posibles
puntos de entrada, intentos de entrar (ya sea virtualmente o de manera real) y
el reporte de los resultados.
El principal objetivo de las pruebas
de penetración consiste en determinar las debilidades de seguridad. Una prueba
de penetración también puede ser utilizado para probar el cumplimiento de la
política de seguridad de una organización, la conciencia de seguridad de sus
empleados y la capacidad de la organización para identificar y responder a los
incidentes de seguridad.
Las pruebas de penetración a veces se
llaman “ataques de sombrero blanco” debido a que en una prueba de este tipo los
tipos buenos están tratando de entrar a la fuerza.
Las estrategias de prueba de
penetración son:
Pruebas orientadas a un objetivo
Estas pruebas selectivas se llevan a
cabo en conjunto por el equipo de TI de la organización y el equipo de pruebas
de penetración. A veces se le llama un enfoque de “luces encendidas” porque
cualquiera puede ver el examen que se lleva a cabo.
Comprobación externa
Este tipo de prueba de penetración se
dirige a los servidores o dispositivos de la compañía que son visibles
externamente, incluyendo servidores de nombres de dominio (DNS), servidores de
correo electrónico, servidores web o firewalls. El objetivo es averiguar si un
atacante externo puede entrar y hasta dónde puede llegar una vez que ha
obtenido acceso.
Pruebas internas
Esta prueba simula un ataque interno
detrás del firewall por un usuario autorizado, con privilegios de acceso
estándar. Este tipo de prueba es útil para estimar la cantidad de daño que un
empleado descontento podría causar.
Pruebas a ciegas
Una estrategia de prueba a ciegas
simula las acciones y procedimientos de un atacante real, limitando severamente
la información dada de antemano a la persona o equipo que está realizando la
prueba. Por lo general, solo se les puede dar el nombre de la empresa. Debido a
que este tipo de prueba puede requerir una cantidad considerable de tiempo para
el reconocimiento, puede ser costosa.
Pruebas de doble ciego
Las pruebas de doble ciego toman la
prueba a ciegas y la llevan un paso más allá. En este tipo de prueba de
penetración, solo una o dos personas de la organización pueden ser conscientes
de que se está realizando una prueba. Las pruebas de doble ciego pueden ser
útiles para probar el monitoreo de seguridad y la identificación de incidentes
de la organización, así como sus procedimientos de respuesta.
No hay comentarios:
Publicar un comentario