Elige el equipo ideal de pentesting

Las brechas de datos y los múltiples ciberataques contra empresas de todo tipo y tamaño en el ahora predominante mundo digital siguen aumentando. (Consulta aquí información sobre tendencias cibercriminales del año pasado). Muchas de estas compañías se han dado cuenta de la necesidad de utilizar pruebas de seguridad en sus sistemas para determinar si son vulnerables a posibles amenazas y llevar a cabo las mejoras necesarias lo antes posible. Sin embargo, es posible que algunas empresas solo se limiten a cumplir con los estándares de la industria y las regulaciones de protección al consumidor como HIPAA, PCI DSS, y GDPR. De una forma u otra, la solución pentesting ha ido ganando mayor valor y popularidad en la evaluación de la seguridad a lo largo de los años entre organizaciones que van más allá de las agencias gubernamentales y los bancos.

Por esta razón, el mercado de pentesting se ha vuelto mucho más amplio, con cada vez más proveedores de pentesting ofreciendo sus servicios, lo que hace cada vez más compleja la elección para las empresas interesadas en su implementación. Como manifestó el pentester profesional Elliot en Security Boulevard el año pasado, seleccionar una empresa de pruebas de penetración puede ser una tarea desalentadora; se trata de una industria plagada de tácticas de venta engañosas, certificaciones débiles y, simplemente, profesionales no cualificados. Como consecuencia, diferentes empresas y personas relacionadas con la ciberseguridad han ido sugiriendo a través de sus redes sociales algunos consejos para tener en cuenta a la hora de elegir proveedores de pentesting.

Antes de pasar a estos consejos para entender mejor el mercado, familiaricémonos un poco más con el concepto. A finales de la década de 1960, empezaron a surgir los llamados "equipos tigre" para probar la capacidad de los sistemas gubernamentales y empresariales para resistir ciberataques. Entre los pioneros del desarrollo de las pruebas de penetración se encuentra James P. Anderson, quien en los años 70 estableció los pasos finales de las pruebas para esos equipos tigre. Sin embargo, al parecer fue hace poco, en 2009, que se definió un estándar de ejecución de penetraciones para probar los sistemas en busca de formas de vulnerarlos y obtener acceso a los datos. Este riguroso enfoque combina procedimientos manuales por parte de hackers éticos y pruebas automatizadas mediante herramientas, con predominio de los primeros. En resumen, el pentesting es una evaluación de la seguridad con una simulación de ataques auténticos para identificar las vulnerabilidades que los ciberdelincuentes podrían explotar en un entorno determinado.

Hace un año, Charles Horton publicó un post para NetSPI en el que describe cuatro factores que puedes tener en cuenta a la hora de elegir un equipo de pentesting y gestión de vulnerabilidades adecuado para tu organización. Inicialmente, se refiere a la innegable importancia de contar con un grupo talentoso. Cada uno de los pentesters debería tener la capacidad de ver los objetivos a través de los ojos de los hackers maliciosos. Deberían ser ágiles a la hora de adquirir conocimientos y mejorar las técnicas a emplear en función de las necesidades de sus clientes y de las nuevas complejidades en su campo. Por supuesto, deberías verificar que se trate realmente de un equipo que vas a vincular a tu personal y no de un único individuo sobre el que recaiga todo el peso y la responsabilidad.

En relación con el factor talento, podemos ver que otras fuentes (p. ej., Infosec e Intruder) también hablan de certificaciones y experiencia. Ellas recomiendan que busques equipos de pentesting cuyos miembros posean certificaciones profesionales reconocidas en el sector, tales como CEH, CRTE, OSCE, OSCP, OSWE y OSWP. Estas credenciales pueden generar cierta confianza en relación con la capacidad de los pentesters. Pero cuidado, ¡ellas no se deberían tomar como medida suficiente para elegir un equipo! Como dice Elliot, las certificaciones siguen estando muy por debajo de lo que se espera de un pentester experto. Y advierte que los organismos de certificación inherentemente deben dirigirse a un grupo de personas lo suficientemente grande como para seguir siendo rentables. En su lugar, Elliot te invita a prestar mucha atención a los repositorios Git de las compañías, así como a sus investigaciones y publicaciones.

Como segundo factor, Horton destaca la capacidad del equipo para seguir procesos de pentesting estandarizados y, al mismo tiempo, personalizables. Mediante la estandarización (como puede hacerse, por ejemplo, con los listados de control de pentesting), una empresa especializada debería garantizar resultados coherentes en diferentes proyectos de evaluación. En cuanto a la personalización, deberían demostrar que puede reconocer las similitudes y diferencias entre las necesidades de sus clientes y que es capaz de ajustarse a ellas en sus pruebas de penetración.

La personalización está relacionada con la flexibilidad, una mentalidad abierta, una cualidad que debe poseer un pentester. Los analistas que elijas para la evaluación de la seguridad de tu organización deberían ser curiosos y creativos, estar siempre interesados en aprender sobre nuevas técnicas y ambientes en los que simular ataques. Por supuesto, para asegurarte de que los pentesters implicados se ajustan adecuadamente a tus necesidades, ten en cuenta las palabras de Andrew en Intruder: asegúrate de que tu proveedor potencial tenga experiencia relevante en los tipos de tecnología con los que trabajas.

Como tercer punto, Horton menciona que un excelente equipo de pentesting para tu negocio debería saber cómo gestionar y presentar los datos obtenidos del análisis. Todo ello de forma que facilite a tu personal la remediación rápida y eficaz de las vulnerabilidades. Con sus herramientas, el equipo de pentesting debería organizar reportes detallados y priorizar los hallazgos para ti, ahorrándote algunos dolores de cabeza administrativos. De acuerdo con Brecht de Infosec, los informes de pentesting pueden estar plagados de jerga técnica, lo que supondría un problema. Es por esto que se valora mucho la capacidad de comunicar la complejidad en términos comprensibles para ejecutivos no técnicos. Así que, ¡solicita, revisa y compara informes de ejemplo de los proveedores!

También podemos añadir a lo dicho que es rigurosamente necesario que la empresa proveedora del servicio permita establecer un pacto documentado de confidencialidad y seguridad de los datos. De antemano, debe existir un seguro de responsabilidad civil por parte del proveedor para proteger a tu empresa de cualquier daño o pérdida relacionado con tus sistemas y datos. Además, debes saber quiénes serán los pentesters encargados de realizar las pruebas y cómo se gestionarán los datos, solicitando información como nombres y currículums.

Horton termina con un factor que hace énfasis en la calidad colaborativa del equipo de pentesting. Desde el principio, los miembros de estos grupos de evaluación deberían recibir formación para tener una mentalidad colectiva. Más allá de compartir conocimiento internamente, la colaboración consiste en ampliarlo, transmitirlo a otras personas fuera de los límites corporativos y contribuir a una comunidad dedicada a la ciberseguridad. Podemos añadir aquí que el equipo de pentesting debería ser capaz de mantener una comunicación constante y clara con tu equipo. Siempre deberían proporcionar retroalimentación sobre el progreso, las dificultades y los resultados, junto con valiosas recomendaciones para la acción.

La selección de un proveedor competente de pruebas de penetración no es una tarea sencilla, pero es ideal para detectar vulnerabilidades en tus sistemas y mantener en buen estado tu organización. Si buscas un proveedor de servicios de pruebas de penetración para una asociación a largo plazo, podemos mostrarte cómo en Fluid Attacks cumplimos con todos los factores enumerados aquí e incluso más. Somos una empresa que reconoce el valor fundamental del análisis manual en pentesting, de modo que empleamos herramientas automatizadas pero superamos sus defectos mediante la labor de hackers humanos. Estamos entre los que le ofrecen reataques para confirmar que las vulnerabilidades han sido remediadas con éxito. Además, superamos el número típico de dos o tres profesionales por proyecto, ¡alcanzando un promedio de 15 hackers éticos!

¿Quieres saber más sobre nosotros? Puedes consulta aquí nuestro repositorio y aquí las opiniones de nuestros clientes. Para más información, ¡no dudes en contactarnos!