Consejos para mejorar una prueba de penetración de red

Consejos para mejorar una prueba de penetración de red

José Antonio Lorenzo

Cada vez los ciberdelincuentes utilizan ataques más sofisticados. Si queremos garantizar que estamos evaluando nuestra seguridad de manera eficaz, es necesario copiar las herramientas, tácticas y procedimientos que utilizan los atacantes en el mundo real. La forma de hacerlo es realizando una prueba de penetración de red, también son conocidas como Penetration Testing o Pentesting. Hoy en RedesZone os vamos a dar unos consejos sencillos para mejorar estas pruebas de penetración.

Los equipos ofensivos para realizar pentesting

Cuando estamos haciendo ejercicios de seguridad cibernética, llamamos equipos ofensivos o rojos, a aquellos integrantes del mismo que están realizando la prueba de penetración. Su misión es realizar ataques replicando las técnicas, tácticas y procedimientos (TTP) de los ciberdelincuentes. Aparte de esto, ese equipo rojo comenzará sus acciones sin conocimientos previos sobre esa empresa.

Por otro lado, a la organización tampoco se le notificará sobre cuándo se van a realizar exactamente esas pruebas. Este equipo rojo va a ponerse en marcha intentando eludir los controles de seguridad de una organización, mientras evita que sean detectados. Además, va realizar una evaluación sobre lo bien que esa empresa puede identificar, administrar, resolver ataques y valorar también los procedimientos de respuesta a incidentes que tienen.

Cosas a tener en cuenta en las pruebas de penetración

Cuando se realiza una prueba de penetración, se sigue una serie de procedimientos establecidos y en un marco de tiempo predefinido. Por otra parte, corresponde a la empresa establecer qué activos deben probarse. Luego, se elaborará un informe en el que se resaltarán los problemas de seguridad y las vulnerabilidades encontradas.

Las pruebas de penetración tradicionales son un elemento importante dentro de la ciberseguridad de muchas organizaciones porque proporcionan una medición confiable sobre sus medidas de seguridad. No obstante, a veces un cliente puede clasificar los activos como fuera del alcance, y entonces puede que la prueba de penetración no proporcione una lectura real de la situación.

Por lo tanto, en un enfoque de una prueba de penetración con rangos predefinidos de antemano, es bastante probable que no midan la verdadera capacidad de una organización para identificar y actuar ante actividades y tráfico sospechosos. Otro aspecto a tener en cuenta, es que imponer límites al alcance o la duración de una prueba, puede hacer que nos aporte poco. La razón es que, ni el tiempo ni el alcance son importantes para los atacantes. Esto se va a traducir en unos resultados que no van a ser del todo fiables.

Los objetivos de la prueba de penetración

La incorporación de pruebas de penetración orientadas a objetivos puede mejorar los sistemas típicos de pruebas de penetración. En este sentido, lo primero que tenemos que hacer es ponernos de acuerdo en los posibles objetivos de los atacantes y establecer un periodo de tiempo razonable.

El equipo atacante para conseguir sus objetivos podría:

  • Realizar una prueba de penetración física para obtener acceso no autorizado a un edificio u oficina con el fin de hacer pruebas desde allí.
  • Combinar pruebas de penetración de redes, aplicaciones web y dispositivos móviles para obtener acceso no autorizado a la red interna o datos privados.
  • Utilizar ataques de phishing y de ingeniería social para comprometer las credenciales de la empresa.

La prueba de penetración avanzada

Hay que señalar que no todas las empresas están preparadas para realizar una prueba de este tipo. Si queremos realizarlas, antes deben implantarse unos marcos de actuación.

Lo primero que vamos a necesitar son evaluaciones de seguridad periódicas. Gracias a ellas, se puede determinar si su postura de seguridad de la información es resistente y madura, y ha avanzado en el tratamiento de las vulnerabilidades identificadas. Las evaluaciones y pruebas de penetración avanzadas descubren perfiles de amenazas y escenarios de ataque más realistas. Sin embargo, en el caso de que no se realicen evaluaciones periódicas, es mejor que hacer pruebas de penetración tradicionales.

Otra cosa con la que se debe contar es un entrenamiento de conciencia de seguridad. En ese sentido, sin un programa de concienciación maduro para los empleados, un equipo rojo atacante podría comprometer las credenciales de la organización gracias la ingeniería social, u obteniendo un acceso no autorizado a la infraestructura de misión crítica mediante una prueba de penetración física.

También se debe de contar con unas operaciones de seguridad maduras y detección de intrusiones. Si la empresa no tiene un buen control y solución para la detección de intrusiones, va a ser imposible medir la efectividad de la detección de ataques. Por último, se debe establecer un marco de gestión de vulnerabilidades para garantizar que éstas se solucionan correctamente de manera oportuna y son priorizadas según el riesgo que representan. Os recomendamos leer el tutorial cómo aprender a hacer Pentesting.