Requisitos para Pruebas de Penetración por Subcontratación
Muestras del personal cualificado para pruebas de penetración
Las pruebas de penetración dejan los sistemas sanos y salvos al descubrir vulnerabilidades que podrían costarle a su empresa los datos de sus clientes, la propiedad intelectual y su reputación.
Un enfoque imprudente pueden generar falsos negativos que dejan vulnerabilidades sin revelar mientras que dañan los sistemas a través de ataques intrusivos, perturbadores y dañinos que pueden ir demasiado lejos.
Un especialista en pruebas de penetración cualificado tendrá una táctica no-intrusiva. Estos expertos en penetración deben hacer más que simplemente ejecutar scripts y herramientas de pruebas gratuitas de procedencia desconocida. Ellos revisarán los errores lógicos aprovechables en los flujos de datos para determinar si la información privilegiada está disponible para los usuarios sin privilegios, y dejar una pista de auditoría con la visibilidad de que lo probaron, cómo lo probaron y lo que encontraron.
Con ejemplos de los tipos de métodos que debe de esperar de del especialista cualificados, usted puede investigar sobre estos profesionales antes de contratarlos.
Comprobación de errores lógicos explotables en los flujos de datos
Los errores lógicos son errores de programación que permiten que el software se comporte de modo anormal. Si un atacante puede explotar ese comportamiento, pueden atacar la aplicación o el sitio web y obtener la entrada. Por ejemplo, solo por un error lógico (OBOE) que permita el desbordamiento apilado podría habilitar al atacante ejecutar un ataque por desbordamiento de datos del búfer y ejecutar código más allá del espacio de memoria intencionado.
Los especialistas en pruebas de penetración aplican pruebas en el flujo de datos para señalar el flujo para el control del programa, los gráficos para localizar el uso de variables errantes que conducen a la explotación de errores lógicos.
La aplicación de la variable puede ser inapropiada dependiendo de cuando la programación declara, define, borra o elimina la variable. Mirando cuándo y cómo el programador definió y utilizó las variables, la prueba de penetración del experto puede aislar las fallas de programación que los atacantes pueden aprovechar.
Mantener información privilegiada de los usuarios sin privilegios.
El especialista en pruebas de penetración debe determinar si el programador utilizó un enfoque débil para proteger la información privilegiada de los ojos fisgones sin privilegios.
Son realmente los datos inaccesibles, o están simplemente enmascarados u ocultos? Por ejemplo, usar CSS para ocultar información solo puede mantener los datos de mostrarse en la página web. Los usuarios sin privilegios puede ser capaz de ver la información, como por ejemplo utilizando la función “Ver código fuente” en su explorador web.
Los probadores de penetración deben tratar de obtener acceso a información privilegiada mientras se registran en las cuentas sin privilegios.
El probador de penetración puede insertar un enlace malformado en un sitio web o una aplicación basada en web que cuenta con una base de datos sobre el backend, y elaborar un código de error? Si es así, la base de datos detrás del vínculo es vulnerable y los datos privilegiados en última instancia están disponibles para los usuarios sin privilegios.
Dejar pistas para auditorías
Las pistas de auditoría son registros de lo sucedido, típicamente contenido en los datos registrados en la bitácora.
El establecimiento de herramientas como el Metasploit pueden permitir a los expertos en penetración dejar pistas de auditoría para que la empresa cliente puedan ver cómo se realizó la prueba.
Estas pistas de auditoría son útiles para demostrar qué es lo que permite la penetración en en los sitios web y aplicaciones de una organización.
Los probadores de penetración deben utilizar pruebas no-intrusivas para permitir seguimientos de auditoría (y probar las aplicaciones sin hacer daño). Deben conseguir sus scripts y herramientas de prueba de fuentes bien conocidas para asegurar contra los falsos negativos que pueden surgir cuando los scripts de prueba están mal codificados.
Qué buscar en los probadores de penetración cualificados
Para obtener este tipo de cualidad en sus pruebas de penetración subcontratadas, utilice profesionales establecidos que puedan demostrar las certificaciones y experiencia requerida y el dominio de los flujos de trabajo de las pruebas de penetración.
Análisis y Gestión de Vulnerabilidades de QMA
Aún con la protección clave para la infraestructura de red, datos y aplicaciones en su lugar, las organizaciones todavía batallan para establecer defensas efectivas ante las amenazas cibernéticas.
Demasiados datos para analizar, falta de datos contextuales de sus herramientas de seguridad, muchos falsos negativos, no hay suficiente personal de seguridad cualificado para supervisar y responder a los incidentes, y con la falta de presupuesto se convierten en importantes desafíos para el establecimiento defensa efectivas.
Aquí es donde la detección de amenazas avanzadas de QMA y los servicios de respuesta a incidentes entran en juego.
Para mayor información, haga clic aquí.
David D. Geer (https://www.linkedin.com/in/daviddgeer/) escribe sobre ciberseguridad y tecnología en publicaciones nacionales e internacionales. La obra de David aparece en diversas revistas comerciales de IDG en Estados Unidos y en todo el mundo en varios idiomas.
ScientificAmerican, El Economista Tecnología trimestralmente, y muchas revistas y compañías han utilizado el contenido de David. David está en la página de Google Académico https://scholar.google.com/citations?user=ZkKA3fsAAAAJ&hl=en.