1

10 verdades sobre las pruebas de intrusión

10-verdades-sobre-las-pruebas-de-intrusión

 

Alberto Soliño
Director de Servicios de Consultoría de Seguridad
Core Security Technologies
 
Las pruebas de intrusión constituyen un enfoque de la seguridad IT mayormente científico, basado en métricas, que ha sido practicado desde casi el comienzo de la era moderna de la computación, cuando los programadores comenzaron a realizar pruebas organizadas o hackeos de sus propias tecnologías o de terceros para probar su performance y confiabilidad.

Desde el inicio, cuando los desarrolladores intentaron evaluar los niveles de tolerancia de sus tecnologías a los diferentes tipos de inputs y usuarios, las  organizaciones –incluyendo los gobiernos- hicieron lo mismo. Se dieron cuenta que este proceso era beneficioso, no sólo porque permitía el diseño de productos más estables, sino porque también eran protegidos de tal forma que evitaban que fueran corrompidos o se los accediera de manera no autorizada.

Como las agencias de gobierno y los negocios que manejan información sensible y propietaria siguieron adoptando la informática más ampliamente, y exigieron que estos sistemas fueran más resistentes a la interrupción o acceso indeseados, nació el proceso de pruebas de intrusión (penetration test o pen testing), de la mano de sus desarrolladores como de los equipos internos de seguridad IT.

Décadas más tarde, el pen testing se presentó como uno de los métodos más establecidos y evidentes para evaluar la postura de seguridad de casi cualquier tipo de programa de software imaginable. Sin embargo, la ignorancia de las técnicas específicas implicadas en este proceso y los tipos de habilidades necesarias para practicarlas mantuvieron a la evaluación de seguridad como algo misterioso para el no iniciado.

Las pruebas de intrusión y sus sucesivos descendientes tecnológicos, como los tests de intrusión automatizados, son actualmente muy reconocidos por autoridades como numerosos organismos de estándares y profesionales líderes de la seguridad IT, como la manera más efectiva de calcular el nivel de riesgo IT de un sistema u organización y de recolectar datos procesables para la gestión de las vulnerabilidades. 

A continuación se presenta un listado de los principales mitos y falacias que se le han atribuido a las pruebas de intrusión y las razones por las cuales fueron o no válidos.

1. Las pruebas de intrusión son inseguras  desde un punto de vista general de la seguridad y la confianza

Si bien es cierto que cuando son realizados de manera inapropiada o insuficiente, las pruebas de intrusión pueden tener consecuencias no previstas, esto es producto de su aplicación práctica y no del proceso de evaluación en sí.

La evaluación de la seguridad puede ser un ejercicio intrusivo y en ocasiones tiene consecuencias inesperadas. De todas maneras, cuando se lleva a cabo con el nivel necesario de planificación y diligencia debida (due diligence), y se utilizan productos que han sido validados utilizando cuidadosos procesos de QA, es tan seguro como cualquier otra forma de evaluación de seguridad o sistemas. Particularmente, si se capacita a los empleados TI que serán responsables de desarrollar las pruebas con soluciones comerciales que han sido probadas para asegurar que sus exploits pueden ser utilizados para la ejecución de un conjunto controlado de acciones,  y que no tendrán ningún efecto inesperado o indeseado durante el testeo de los activos, las organizaciones pueden sentirse confiadas para llevar a cabo evaluaciones en sistemas en producción sin generar efectos secundarios inesperados.

2. La única forma de desarrollar pruebas de intrusión rigurosas es con servicios tercerizados
 
Las pruebas de intrusión se originaron como un proceso interno por los desarrolladores de tecnología, los organismos de gobierno y otras organizaciones como un método  destinado a la autoevaluación. Sólo luego de que el proceso fue utilizado por un gran número de organizaciones que no tenían experiencia de seguridad interna, o quienes fueron forzados por reguladores a buscar  evaluaciones de terceros, se convirtió en una práctica ampliamente entregada a través de proveedores de servicios de consultoría.

Con el surgimiento del software de evaluación de seguridad automatizada, muchas organizaciones -con una extensa variedad de niveles de experiencia interna- han evolucionado para adoptar más ampliamente la evaluación de seguridad  como un elemento central en su seguridad IT interna y programas de control de riesgo, incluyéndolo como un medio de preparación para auditorías. Además de tener la flexibilidad de llevar a cabo las evaluaciones según su propio calendario, partidarios de los pen testing argumentan que las pruebas internas también permiten evaluaciones sin exponer sus vulnerabilidades a terceros.

3. La evaluación de seguridad siempre demanda mucho tiempo
 
Como cualquier otra forma de análisis, los períodos de tiempo de las evaluaciones de la seguridad pueden variar basándose en muchos factores, incluyendo el alcance de proyectos individuales, los recursos a ser evaluados y cualquier otro parámetro dictado por sus usuarios. Sin embargo, no es una condición previa o hasta una regla básica común que estas evaluaciones deben abarcar largos períodos de tiempo.

Como muchas otras áreas de IT, estas falsas concepciones han sido originadas en parte por el deseo de de los proveedores de servicios de extender los compromisos y aumentar las horas a facturar relacionadas con la realización de las pruebas.

El avance de soluciones de evaluación de seguridad automatizada ha tenido un efecto dramático en la totalidad de esta propuesta. Además de permitir a testers inexpertos llevar a cabo las evaluaciones, estas soluciones también automatizan muchas tareas manuales que requieren mucho tiempo, permitiendo a aquellos que están entrenados acelerar su trabajo, desde la recolección de información  necesaria hasta el informe de resultados. 

4. Se necesita un staff preparado para llevar a cabo extensas evaluaciones de seguridad
 
Tradicionalmente, las pruebas de intrusión han sido consideradas por mucho tiempo como el dominio de profesionales y consultores con gran experiencia en seguridad IT, pero esto ha cambiado radicalmente en los últimos años con la aparición de las soluciones de intrusión automatizada.

Hoy en día, con los avances del software de pen testing y con la aparición de productos que ofrecen desde la recopilación de información de inteligencia previa al test y selección de objetivos, hasta el testeo en sí mismo y el reporte de resultados, las organizaciones pueden comenzar rápidamente a usar este proceso para ayudar a aislar y validar sus vulnerabilidades.

Si bien algunas compañías procuran realizar revisiones sumamente personalizadas o independientes y prefieren que usuarios o consultores más experimentados lleven a cabo estos proyectos especializados, muchos tipos de pruebas de intrusión ahora pueden ser realizadas de manera frecuente por personal interno de IT con soluciones adecuadas.

5. Las pruebas de intrusión son un “arte negro”
 
Basado en el tipo de trabajo que las pruebas de intrusión presupone, esto es, los intentos de explotar vulnerabilidades de seguridad usando frecuentemente las mismas tácticas empleadas por hackers criminales y malware, además del nivel de confidencialidad requerida en el resguardo de los resultados de la evaluación, mucha gente ha albergado la creencia de que los tests de intrusión son algo relacionado con un “arte negro”, practicado en cuartos oscuros por gente reservada con habilidades sumamente especializadas y autorizaciones de seguridad elevadas.

El uso intensivo de las evaluaciones de seguridad entre organismos de gobierno y agencias militares ha ayudado a contribuir a esta percepción. Sin embargo, actualmente las pruebas de intrusión son un enfoque altamente ético, lógico y científico para determinar las vulnerabilidades de programas al intentar explotar sus debilidades como lo haría un atacante real. Hoy en día, las organizaciones establecidas realizan regularmente pruebas de intrusión por un staff de seguridad IT interno entrenado y certificado para desarrollar el trabajo, o quien  usa las soluciones automatizadas desarrolladas para ese fin.
 
6. Las pruebas de intrusión son difíciles de entender

Antes de la aparición de las soluciones de evaluación de seguridad podría haber sido válido concluir que los resultados de la evaluación eran a menudo difíciles de entender, en gran parte basado en la manera personalizada en la que testers individuales adaptaron sus proyectos y los resultados que ellos procuraban alcanzar.

Sin embargo, con la introducción de programas de software automatizados utilizados para desarrollar estas pruebas, algunas de las cuales incluyen la capacidad de crear automáticamente resúmenes detallados de los logros conseguidos y los resultados de las revisiones, las organizaciones pueden aprovechar la valiosa inteligencia de seguridad estratégica proporcionada a través del proceso en formatos comprensibles. Y mientras en el pasado la combinación de resultados de múltiples pruebas para determinar tendencias era un proceso manual muy largo, las soluciones actuales permiten a las organizaciones recoger este tipo de datos rápidamente con tan sólo apretar un botón.

7. La evaluación de seguridad y el escaneo vulnerabilidades: similares versus complementarias

Como los programas de seguridad IT han evolucionado a través del tiempo, la evaluación de seguridad ha sido incluida en el rango de las funciones categorizadas bajo la terminología de “evaluación de vulnerabilidades”, que también abarca prácticas como la revisión del código fuente y el empleo de scanners de vulnerabilidades.

Una consecuencia de este desarrollo fue que algunas personas percibieron erróneamente que las pruebas de intrusión y el escaneo de vulnerabilidades producían el mismo resultado y eran, por lo tanto, comparables. En realidad, las dos prácticas son muy diferentes, casi complementarias.

En pocas palabras, los programas de escaneo de vulnerabilidades para cualquier tipo de potencial exposición de seguridad pueden encontrar y producir resultados voluminosos que ofrecen poco entendimiento en la severidad de aquellas fallas o de cómo podrían ser explotados.

Por su parte, las pruebas de intrusión muestran cuáles vulnerabilidades pueden llegar a ser detonadas por ataques reales, cómo pueden ser explotadas y qué nivel de riesgo representan; como por ejemplo, qué tipo de datos podrían llegar a exponer y cuándo múltiples fallas pueden ser atacadas de manera simultánea.

8. La evaluación de seguridad crea nuevos problemas para la seguridad IT
 
Algunas personas familiarizadas con la eficacia de las pruebas de intrusión en la detección de vulnerabilidades explotables han llegado a la conclusión que el proceso crea más problemas que soluciones. Al respecto, pueden citarse una gran cantidad de fallas que podrían ser difíciles de remediar de manera efectiva.

Sin embargo, las organizaciones ya no pueden darse el lujo de renunciar a una forma altamente productiva de evaluación de seguridad basada en el temor que ese trabajo puede llegar a generar, específicamente dado que los cibercriminales están trabajando sin cesar para descubrir métodos por los cuales sacar ventaja de las fallas que esta evaluación identifica, y tanto reguladores del gobierno e industrias no aceptarán como argumento de negación cuando las organizaciones sean atacadas. Las pruebas de intrusión muestran a las organizaciones cuáles de sus fallas son más accesibles para los hackers y les permite priorizar sus esfuerzos de remediación de manera acorde.

9. Es difícil vender la evaluación de seguridad al directorio

Basándose en algunas de estas nociones preconcebidas sobre la evaluación de seguridad, algunas personas mantienen la opinión de que mientras la evaluación puede ser efectiva, el proceso es muy invasivo como para promoverlo tanto en la dirección de negocios o a IT, siendo de este modo imposible conseguir apoyo u obtener ayuda financiera.

Sin embargo, a diferencia de muchos otros programas de IT o seguridad, las pruebas de intrusión son actualmente una práctica que involucra procesos, metas y beneficios que son fáciles de explicar y defender. En el ambiente de seguridad actual, los ejecutivos están  preocupados en evitar que hackers y ataques malignos inhabiliten sus sistemas o roben datos importantes, además de cumplir exigencias de regulaciones.

La evaluación de seguridad es un método seguro y proactivo de evaluar la postura de seguridad IT ante ataques verdaderos e intentos de robo de información.

10. Las pruebas de intrusión: un lujo versus una necesidad

Años anteriores, cuando la evaluación de seguridad era un proceso más especializado y requería la contratación de personas con experiencia o consultores externos, la práctica era considerada una actividad que era interesante para realizar si era posible permitírsela, pero poco práctica para muchas organizaciones.

Sin embargo, con el surgimiento de las soluciones de evaluación de seguridad que permiten a las compañías contar con empleados IT ya existentes para llevar a cabo estas evaluaciones de manera regular, las empresas pueden ahora desarrollar estas prácticas sin agregar ningún gasto significativo al presupuesto.

Asimismo, con la continua evolución de los cibercrímenes y el incremento de regulaciones que exigen que las organizaciones sean más proactivas a la hora de proteger sus activos IT, incluyendo aquellas recomendaciones que especialmente requieren evaluaciones de seguridad, el proceso ya no es más el dominio de un grupo selecto, sino una práctica estandarizada y extendida que próximamente se incorporará a sus operaciones regulares.

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.