Una prueba de penetración es una evaluación de seguridad que simula las actividades de los atacantes del mundo real para identificar agujeros de seguridad en sus sistemas o aplicaciones de TI.

El objetivo de la prueba es comprender qué vulnerabilidades tiene, cómo podrían explotarse y cuál sería el impacto si un atacante tuviera éxito.

Por lo general, se realiza primero, una prueba de penetración externa (también conocida como prueba de penetración de red externa) es una evaluación de sus sistemas perimetrales. Su perímetro son todos los sistemas a los que se puede acceder directamente desde Internet. Por definición, están expuestos y, por lo tanto, son los que se atacan con mayor facilidad y regularidad.

Prueba de debilidades

Las pruebas de penetración externas buscan formas de comprometer estos sistemas y servicios externos accesibles para acceder a información confidencial y ver cómo un atacante podría atacar a sus clientes o usuarios.

En una prueba de alta calidad, los profesionales de seguridad copiarán las actividades de los ciberdelincuentes reales, como ejecutar exploits para intentar obtener el control de sus sistemas. También probarán el alcance de las debilidades que encuentren para ver hasta dónde un atacante malicioso podría meterse en su red y cuál sería el impacto comercial de un ataque exitoso.

Ejecuta primero las pruebas de penetración externas asumen que el atacante no tiene acceso previo a sus sistemas o redes. Esto es diferente a una prueba de penetración interna que prueba el escenario en el que un atacante ya tiene un punto de apoyo en una máquina comprometida o está físicamente en el edificio. Por lo general, tiene sentido cubrir primero los fundamentos y considerar las pruebas internas después de que se hayan realizado tanto el escaneo de vulnerabilidades regular como las pruebas de penetración externas.

Cómo realizar pruebas de penetración externa

Entonces, ¿ cómo hacer para obtener una prueba de penetración externa? Programarla debería ser tan simple como preguntarle a su proveedor de servicios administrados o consultoría de TI, y apuntarlos a sus sistemas perimetrales (una lista de dominios y direcciones IP/rango).

Una prueba de penetración externa normalmente se ejecuta sobre la base de una "caja negra", lo que significa que no se proporciona información privilegiada (como credenciales de aplicaciones, diagramas de infraestructura o código fuente) a los evaluadores. Esto es similar a donde comenzaría un ciberdelincuente real que se dirige a su organización, una vez que haya descubierto una lista de sus direcciones IP y dominios.

¿Qué más se recomienda?

Elija un proveedor que incluya la verificación de sus servicios expuestos para la reutilización de credenciales violadas, ataques de rociado de contraseñas y pruebas de aplicaciones web en aplicaciones de acceso público. ¿Deberías incluir la ingeniería social? Puede ser un buen valor agregado. Aunque este tipo de prueba casi siempre tiene éxito cuando lo intenta un atacante con suficiente determinación, por lo que no debería ser un requisito difícil si su presupuesto es limitado. Pruebas de penetración externa frente a análisis de vulnerabilidades es la mejor opción en casos de suma delicadeza.

¿Cuál es la diferencia?

Por lo general, una prueba de penetración externa incluye un análisis completo de vulnerabilidades externas , pero ahí es donde comienza. Todos los resultados de las herramientas de escaneo serán investigados manualmente para eliminar los falsos positivos, ejecutar exploits para verificar el alcance/impacto de la debilidad y "encadenar" múltiples debilidades para producir exploits más impactantes.

¿Qué pasa si necesito pruebas más rigurosas?

También se pueden incluir algunas actividades adicionales que realizaría un atacante real

y que no son realizadas por los escáneres de vulnerabilidades.

Ataques sostenidos de adivinación de contraseñas (rociado, fuerza bruta) para intentar comprometer las cuentas de usuario en VPN expuestas y otros servicios raspar la web oscura y las bases de datos de infracciones en busca de las credenciales incumplidas conocidas de sus empleados, y colocarlas en paneles y servicios administrativos pruebas de aplicaciones web donde está disponible un mecanismo de autoregistro.

Si bien una prueba de penetración externa es una evaluación importante para analizar en profundidad la seguridad de sus sistemas expuestos, es mejor utilizarla como un servicio adicional para complementar el escaneo de vulnerabilidades que ya debería tener implementado.