Penetration testing as a service (PTaaS)
En el acelerado entorno actual de DevSecOps, la evaluación de la seguridad por parte de expertos en pruebas de penetración no puede ser un evento anual único. Esta debe evolucionar con tu código. Es por esto que las organizaciones están pasando de las evaluaciones de seguridad tradicionales basadas en proyectos a un modelo continuo.
Ahora todo gira en torno a un modelo relativamente reciente, el pentesting como servicio (PTaaS), en el que el pen testing convencional se ajusta para aportar más valor dentro de la ágil y ahora popular metodología DevSecOps.
¿Qué son las pruebas de penetración?
Como viste en el párrafo anterior, utilizamos las palabras "pruebas de penetración", "pentesting" y "pen testing". Esto es algo común en este contexto, pero todas ellas se refieren al mismo concepto: pruebas de seguridad en sistemas de información mediante la simulación de ataques reales con la autorización de sus propietarios para detectar problemas de seguridad.
Las pruebas de penetración consisten en que un analista de seguridad simule o investigue un sistema informático con el objetivo de encontrar vulnerabilidades explotables. No es raro realizar pruebas de penetración en la capa de aplicación; sin embargo, también se extienden a las capas de red, nube, IoT y API, lo que ofrece una visibilidad completa de las posibles vías de ataque.
Las pruebas de penetración forman parte de una postura de seguridad ofensiva en la que la idea predominante es que la mejor manera de hacer frente a los atacantes maliciosos es pensar y actuar como ellos. Para ello, los expertos en seguridad, conocidos como evaluadores de sombrero blanco, hackers éticos o, más precisamente, pentesters, utilizan diversas tácticas, técnicas y procedimientos. Esto permite a las organizaciones conocer cómo percibe un agente malicioso su postura de seguridad actual y cómo las medidas de seguridad existentes gestionan un ciberataque real.
En sus resultados de penetración y explotación, estos expertos revelan a los propietarios y a las partes interesadas dónde y cómo realizar ajustes para proteger sus sistemas.
Pruebas manuales vs. pruebas automatizadas: la ventaja híbrida
Los continuos avances de la ciberdelincuencia y la acelerada evolución de la tecnología hacen necesario evaluar una y otra vez la seguridad de los sistemas. Erróneamente, muchas organizaciones creen que implementar herramientas automatizadas es la solución perfecta, y que cuantas más herramientas tengan, mejor. La automatización cumple con el llamado escaneo de vulnerabilidades. Esto, sin embargo, actúa solo como un primer nivel dentro de una estrategia de pruebas de seguridad integral. Los sistemas se revisan a través de este método para detectar en ellos rápidamente problemas de seguridad previamente conocidos. No incluir un nivel activo de intervención humana en un proyecto de pruebas de seguridad, precisamente con el pen testing manual, es un error garrafal.
Te pedimos que seas consciente del énfasis que hemos puesto arriba en "manual". Hablamos de pruebas de penetración manuales porque, en el contexto de la ciberseguridad, también se atribuye a las herramientas automáticas la capacidad de realizar pentesting. No negamos que las herramientas puedan infiltrarse o abrirse camino en diversos rincones de un sistema. Pero una prueba de penetración adecuada no debe limitarse a la automatización. El pentesting sin intervención humana acaba siendo un simple escaneo de vulnerabilidades.
La experiencia humana ofrece flexibilidad y creatividad para respaldar las pruebas de seguridad en la detección de vulnerabilidades sofisticadas y de día cero que los escáneres pasan por alto, como fallas complejas en la lógica empresarial (e.g., eludir los flujos de trabajo de compra o manipular los permisos de los usuarios). A diferencia de lo que pueden conseguir los pentesters con una inspección detallada y a profundidad, el escaneo de vulnerabilidades suele arrojar altas tasas de falsos positivos y, sobre todo, de falsos negativos, los cuales, en últimas, deben ser validados y descubiertos por estos profesionales en seguridad. (Para ver una comparación real de exactitud entre herramientas y humanos, te invitamos a leer nuestro reporte "Aumentar la precisión de AST mediante pentesting.")
¿Cómo se lleva a cabo el pentesting?
Un servicio de pruebas de penetración puede incluir entre sus objetivos aplicaciones web y móviles, redes, dispositivos IoT, infraestructura como código, contenedores y otros sistemas de información. Su misión es detectar problemas en los controles de autenticación y autorización de usuarios, exposición de datos sensibles, errores en la codificación segura y debilidades en los mecanismos de defensa, entre otras muchas fallas de seguridad.
El proceso de pentesting suele dividirse en las siguientes fases:
Planificación y alcance
Para comenzar con la penetración, los pentesters deben obtener la aprobación del propietario del sistema, quien puede establecer ciertos límites de alcance. Esta etapa es fundamental para definir los objetivos de las pruebas, determinar aquellos componentes informáticos que están dentro y fuera de la superficie de ataque, y establecer protocolos de comunicación, acuerdos de nivel de servicio y plazos de entrega de reportes, entre otros aspectos.
Recopilación de información y reconocimiento
En primer lugar está el reconocimiento pasivo, en el que los pentesters recopilan información sobre la organización y los objetivos sin interactuar directamente con ellos. Recurren entonces a fuentes externas y abiertas. Luego, está el reconocimiento activo mediante la interacción directa con los objetivos. Los pentesters buscan un perfilado profundo con una recopilación de información más intrusiva. Identifican la tecnología utilizada y su funcionamiento. Además, determinan posibles vectores de entrada y ataque.
Análisis y explotación de vulnerabilidades
Posteriormente, los pentesters utilizan herramientas de escaneo y métodos manuales que contribuyen a la identificación de vulnerabilidades. Analizan a través de diversos factores el nivel de riesgo y el impacto que puede generar la explotación de cada problema de seguridad. Después de toda la planificación, los pentesters intentan explotar las vulnerabilidades de forma creativa (algo que una herramienta automática no puede hacer), preferiblemente dentro de un ambiente de prueba.
El objetivo es evaluar hasta qué punto un atacante podría penetrar en el sistema. Los pentesters obtienen acceso al objetivo mediante diferentes métodos (e.g., escalada de privilegios y movimiento lateral), a distintos niveles de profundidad, con el fin de determinar los impactos reales. La fase posterior a la explotación evalúa el impacto de la brecha y el alcance de las posibles acciones de un atacante una vez dentro del sistema.
Informes y remediación
Una vez finalizada la tarea, los pentesters recopilan sus resultados en reportes técnicos y ejecutivos. Estos presentan a las partes interesadas detalles sobre las vulnerabilidades detectadas y explotadas, las respuestas del sistema a la penetración, los datos a los que accedieron y todo el resto de la información sobre el incidente simulado. Adicionalmente, aportan evidencias de los problemas de seguridad y recomendaciones para solucionarlos.
¿Qué es el pentesting como servicio (PTaaS)?
Antes de la computación en la nube, el pentesting se solía contratar para llevarse a cabo como una evaluación puntual entre intervalos de tiempo amplios, por ejemplo, de forma anual o semestral. (Sin embargo, si es que lo aplican, muchas organizaciones siguen solicitándolo de esta manera). En este modelo, solo se entregan los resultados al cliente en un reporte final estático que podría tener incluso datos desactualizados. Las pruebas de penetración tradicionales suelen ser reactivas, requieren mucho trabajo y no logran seguir el ritmo de los sofisticados cambios que se producen en el desarrollo de software moderno.
PTaaS surgió como un nuevo modelo de entrega de pentesting para eliminar las limitaciones anteriores. PTaaS se adapta a la velocidad de desarrollo actual y se realiza de forma continua mientras el software evoluciona a un determinado ritmo en el SDLC (ciclo de vida de desarrollo de software). Se trata de una solución externalizada que proporciona pruebas de penetración bajo demanda, escalables y continuas a través de una plataforma basada en la nube que se integra directamente en tu SDLC.
La esencia del modelo PTaaS
Compromiso continuo: Los resultados se entregan de forma incremental en función de los nuevos hallazgos que van haciendo los pentesters involucrados. PTaaS permite a las organizaciones realizar pruebas de penetración a diario, o incluso después de cada cambio en sus aplicaciones u otros sistemas.
La plataforma: PTaaS utiliza un único panel de control basado en la nube donde los resultados se pueden ver, supervisar y analizar de forma continua. En lugar de engorrosos informes en PDF, usuales dentro de la metodología tradicional de pentesting puntual, los resultados se almacenan, se pueden buscar y están fácilmente disponibles para los miembros de los equipos de desarrollo y seguridad de las compañías clientes del PTaaS en dicha plataforma centralizada.
Enfoque híbrido: En PTaaS, debe haber pruebas de penetración automatizadas y manuales. Este modelo reconoce que la creatividad humana sigue siendo indispensable en la evaluación de los sistemas. Si solo fuera lo primero, acabaríamos hablando simplemente de software como servicio (SaaS). Las pruebas de penetración manuales continuas se combinan con el escaneo de vulnerabilidades para disfrutar de las ventajas de ambas soluciones. Los expertos y las herramientas pueden garantizar el uso de una amplia variedad de metodologías de pruebas de seguridad. Mientras que las herramientas automatizadas se centran en la detección rápida de vulnerabilidades conocidas, los pentesters se dedican a descubrir vulnerabilidades más complejas e incluso desconocidas hasta el momento. Los pentesters también correlacionan sus resultados y validan los proporcionados por las herramientas, asegurándose de que el informe final sea correcto y de que no se haya pasado nada por alto.
PTaaS en el SDLC: desplazando la seguridad hacia la izquierda
El valor de PTaaS reside en su perfecta integración en el SDLC, lo que supone un apoyo directo para los equipos de DevSecOps.
Detección temprana y rentabilidad: PTaaS ayuda a los equipos de DevSecOps a dar prioridad a la seguridad. Probar las aplicaciones en una fase temprana y repetir las evaluaciones permite a los equipos resolver los problemas de seguridad a medida que surgen. Como resultado, los desarrolladores pueden crear aplicaciones más seguras sin tener que realizar costosas reconstrucciones en las últimas fases del SDLC.
Ciclo de retroalimentación rápida: El cliente puede lograr una gestión de vulnerabilidades exitosa, ya que este nuevo modelo estable ayuda a resolver el problema de la priorización y la remediación, causado por el modelo anterior, en el cual todas las vulnerabilidades, antiguas y nuevas, se dejaban para ser reportadas en un solo momento. PTaaS acorta drásticamente el ciclo de retroalimentación, proporcionando los resultados en tiempo real, junto con puntuaciones de explotabilidad y guías de remedición. Los equipos de seguridad pueden solucionar los problemas antes de que los atacantes puedan explotarlos.
Colaboración: Otra dificultad que se resuelve con PTaaS es la colaboración limitada o inexistente entre desarrolladores y pentesters. Ahora, estos últimos pueden ayudar a los primeros con frecuencia, resolviendo sus dudas y proporcionándoles recomendaciones o instrucciones para solucionar los problemas. Esta colaboración constante y el acceso a expertos garantizan que las vulnerabilidades se solucionen sin agotar los recursos de los equipos internos.
Beneficios de PTaaS
De un proveedor competente de PTaaS, puedes esperar lo siguiente:
Pruebas híbridas para una mayor precisión: Una integración de automatización y hackers éticos o pentesters que mejora la eficiencia y la precisión de las pruebas de seguridad. Esta combinación garantiza la detección exhaustiva de vulnerabilidades complejas basadas en la lógica de negocio.
Visibilidad en tiempo real: Un único panel con todos los datos relevantes durante las pruebas de penetración que te ofrece un control amplio y cómodo para la gestión de vulnerabilidades. Los datos están siempre disponibles y se actualizan continuamente a medida que avanza la evaluación de tu sistema —un procedimiento que permanece alerta ante los cambios recientes.
Remediación acelerada: La remediación de vulnerabilidades se puede realizar poco después de su identificación, siguiendo un orden de prioridad. Así evitas entrar en producción con un alto riesgo de sufrir ciberataques exitosos. PTaaS ofrece a los equipos de seguridad una visibilidad continua de las vulnerabilidades explotables y recomendaciones para su rápida remediación.
Colaboración mejorada: Su modelo permite una cooperación constante, respetuosa y eficaz entre el grupo de pentesters y tus equipos de desarrollo y seguridad.
Reevaluaciones ilimitadas: Una vez que has remediado una vulnerabilidad, puedes solicitar la verificación de la eficacia de la solución implementada. Estas reevaluaciones bajo demanda, sin necesidad de contratar costosos consultores, suponen un importante impulso para la eficiencia operativa.
Escalabilidad y personalización: PTaaS se adapta sin esfuerzo a las necesidades de seguridad de las organizaciones en crecimiento y es altamente personalizable para satisfacer diferentes requisitos de seguridad y mandatos específicos según el sector, como PCI DSS, HIPAA y GDPR.
Posibles retos y qué buscar en un proveedor de PTaaS
Aunque PTaaS ofrece ventajas significativas, las organizaciones deben elegir cuidadosamente a su proveedor para maximizar los beneficios.
Reto/Consideración | Qué buscar en un proveedor |
Experiencia de los pentesters | Busca talentos con amplia experiencia, certificaciones reconocidas en el sector (e.g., OSCE³, eCPTX, CRTM, eWPTX) y un compromiso con altos estándares éticos. |
Consistencia de los evaluadores | Algunos proveedores se basan en modelos de crowdsourcing, lo que puede diversificar las pruebas, pero también reducir la oportunidad de establecer una relación coherente con un evaluador que conozca a fondo tu patrimonio. Elige un proveedor con pentesters internos, a tiempo completo y debidamente evaluados que dé prioridad a la creatividad humana y la supervisión. |
Cobertura de las pruebas | Asegúrate de que el proveedor ofrezca pruebas completas de todo tu ecosistema digital (aplicaciones, infraestructura, contenedores, API, etc.) y pueda realizar simulaciones de exploits encadenados para obtener una visión realista de cómo se puede propagar una violación de seguridad. |
Integración | La plataforma ideal se integra perfectamente con las herramientas existentes, como los pipelines de CI/CD, los IDE y los sistemas de tickets (e.g., Jira Cloud, Azure DevOps) para optimizar los flujos de trabajo de remediación. |
Priorización | Más allá de las puntuaciones CVSS estándar, la plataforma debería ofrecer una priorización dinámica basada en el riesgo potencial para el negocio, la explotabilidad en tu entorno y el valor de los activos, lo que ayuda a los equipos a centrarse en las cuestiones más importantes. |
Calidad de los informes | Los informes deben estar listos para su auditoría y ser fáciles de compartir, proporcionando un resumen ejecutivo de alto nivel y una guía de remediación detallada y contextualizada, adaptada tanto a las partes interesadas técnicas como no técnicas. |
PTaaS por parte de Fluid Attacks
En consonancia con lo anterior, tanto si solo pretendes cumplir con normas como PCI DSS, NIST, GDPR, HIPAA, etc., como si tu objetivo es un compromiso más amplio con la seguridad de tu empresa y tus clientes o usuarios, en Fluid Attacks te ofrecemos un PTaaS óptimo.
Proporcionamos evaluaciones continuas y exhaustivas realizadas por nuestros pentesters, que se centran en el descubrimiento de vulnerabilidades conocidas y de día cero en tu software con una evaluación de riesgos más cercana al panorama real de amenazas.
Nuestra experiencia: El pentesting real no es un proceso automatizado, sino manual. El nuestro lo realizan expertos que simulan las técnicas de los actores maliciosos de forma continua, no puntual. Nuestro equipo cuenta con más de 50 certificaciones en seguridad ofensiva, como OSCE³, OSCP, PWPP, eCPTX, CRTM, CAPenX, eWPTX y otras. El Council of Registered Ethical Security Testers (CREST) ha validado que Fluid Attacks cuenta con la experiencia, las metodologías y los conocimientos suficientes para realizar un PTaaS completo y fiable.
Cobertura integral: Probamos en modo seguro (i.e., sin afectar la disponibilidad de tus servicios) la seguridad de tus aplicaciones web y móviles, microservicios, infraestructura en la nube y otros sistemas de TI. Combinamos nuestras herramientas automáticas con pruebas de penetración manuales realizadas por nuestros expertos en ciberseguridad, quienes cuentan con gran variedad de habilidades en seguridad ofensiva. De esta manera, obtenemos tasas mínimas de falsos positivos y falsos negativos. El modelo PTaaS complementa magníficamente el escaneo de vulnerabilidades. Nuestros pentesters identifican vulnerabilidades que pasan desapercibidas para las herramientas y verifican meticulosamente la autenticidad de los hallazgos.
Integración y remediación: Integramos PTaaS en tu SDLC desde el principio y probamos tu software al ritmo de tu equipo de desarrollo y sus microcambios. En nuestra plataforma, recibes continuamente informes detallados a medida que avanza la prueba de penetración continua. Esto te permite comprender fácilmente tu exposición al riesgo y priorizar los problemas de seguridad para su remediación. Nuestros pentesters pueden explotar las fallas de tu software y luego proporcionar evidencia de los vectores de ataque y los impactos en los datos y las operaciones a través de videos e imágenes.
Soporte para desarrolladores: Tus desarrolladores pueden mantener la comunicación y la colaboración con nuestros pentesters, de quienes reciben pruebas claras y tangibles, así como recomendaciones para solucionar los problemas. Además, nuestro equipo te ofrece reataques ilimitados para verificar que tus vulnerabilidades se han solucionado de manera efectiva. Por otra parte, nuestro CI Gate rompe el build (interrumpe la compilación) para evitar que las vulnerabilidades pasen a producción si siguen abiertas, de acuerdo con las políticas de tu organización.
Esta solución forma parte de nuestro Hacking Continuo. Te invitamos a ponerte en contacto con nosotros si estás interesado en experimentar las ventajas de nuestras pruebas de penetración como servicio (PTaaS). Si deseas empezar a utilizar nuestros servicios de pruebas de seguridad con herramientas automáticas, ponemos a tu disposición una prueba gratuita de 21 días de nuestro plan Essential.