En publicaciones anteriores informamos sobre GAP Analysis y Vulnerability Assessment, dos de los tres de servicios que actualmente ofrecemos a través de ESET Intelligence Labs. En esta publicación detallaremos el alcance y los objetivos de un Penetration Testing y quiénes deberían interesarse en ejecutar este tipo de servicio.
¿Qué es un Penetration Testing?
Un Penetration Testing en una técnica utilizada para evaluar la seguridad de los recursos y activos de la organización en materia de seguridad. La finalidad del mismo es la identificación de puertos abiertos, servicios disponibles y a partir de ellos la detección de posibles vulnerabilidades que pudieran comprometer la seguridad de la organización.
Este servicio no solamente identifica las vulnerabilidades existentes en la infraestructura evaluada, sino que además ejecuta el análisis con mayor profundidad a través de la explotación de las vulnerabilidades identificadas para determinar el impacto real sobre la organización.
¿Qué involucra un Penetration Testing?
Al igual que el Vulnerability Assessment, este tipo de servicio puede ejecutarse en dos modalidades: interno y externo. El interno permite detectar vulnerabilidades y cuál es el impacto real luego de la explotación de las mismas desde una perspectiva interna a la organización. Específicamente, se evalúan los recursos internos de la compañía.
El Penetration Testing externo adopta la visión que posee un atacante desde el exterior de la organización. Esto permite evaluar la seguridad perimetral y cuál es el impacto real sobre la compañía luego de la explotación de aquellas vulnerabilidades detectadas.
Por lo tanto, un Penetration Testing involucra las siguientes etapas:
- Obtener una fotografía del estado de la seguridad que la organización, sistema u host objetivo en un momento determinado
- Visualizar su compañía desde el punto de vista del atacante, localizando debilidades, vulnerabilidades y puntos de acceso no autorizados
- Comprobar el verdadero impacto de las vulnerabilidades en su entorno particular
- Comprobar si el nivel de protección existente se condice con la política de seguridad establecida por la organización
- Comprobar la efectividad de sus medidas de protección, políticas y procesos de detección de intrusos y respuesta a incidentes
¿Quiénes deberían ejecutar un Penetration Testing?
El Penetration Testing es ideal para aquellas compañías que nunca han realizado una auditoría de seguridad de estas características. Esto permite obtener una fotografía completa de la seguridad actual de la empresa. De esta manera, es posible establecer un punto de partida junto a un plan de acción para mitigar todas las vulnerabilidades que han sido detectadas.
Finalmente, tal como siempre afirmamos, la seguridad de la información debe ser gestionada. Este es un proceso que debe incorporarse al modelo de negocio de la compañía, con la finalidad de mejorar el nivel de seguridad de la empresa y evitar futuros incidentes.
Los invitamos a visitar el sitio de ESET Intelligence Labs para conocer más sobre los servicios que ofrecemos. Para más información, no duden en contactarnos, y los ayudaremos a encontrar vulnerabilidades antes de que los atacantes lo hagan.
Fernando Catoira
Analista de Seguridad