De cajas y colores: los servicios de pruebas de penetraciĆ³n
- Alfredo Arrache
- 5 mar 2021
- 3 Min. de lectura
Muchos servicios de operaciones de seguridad estĆ”n conformados por colores, no es extraƱo, por ejemplo, hablar de equipos rojos, azules o morados en lo relativo a los roles que los pentesters toman al interior de la dinĆ”mica de las operaciones de TI. En este sentido, lo mismo ocurre con los distintos tipos de pruebas de penetraciĆ³n, las cuales, de acuerdo a su mecanismo de funcionamiento, se clasifican en tres colores distintos: Black Box (o de caja negra), Grey Box (o de caja gris) y White Box (caja blanca).
De forma muy concisa, estas clasificaciones surgen de acuerdo al nivel de conocimiento y acceso dado al pentester al comenzar las pruebas, este espectro de acciĆ³n va desde el conocimiento mĆnimo, donde se busca que el analista sea lo mĆ”s ajeno posible, hasta aquel donde se le otorga un conocimiento sumamente profundo, con el fin de conocer de antemano las virtudes y fallas de un sistema.
Black Box Pentesting
Las pruebas de caja negra son las mĆ”s comunes y son aquellas preferidas por las organizaciones, pues los analistas trabajan al mismo nivel que un hacker usual. A los pentesters no se les otroga ninguna clase de conocimiento que no sea de dominio pĆŗblico sobre el funcionamiento interno de la empresa. En este sentido, las pruebas de Black Box determinan y detallas las vulnerabilidades en un sistema que pueden ser explotables desde el exterior. A nivel tĆ©cnico, esto implica que este tipo de pruebas recaen en anĆ”lisis dinĆ”micos de los programas ejecutĆ”ndose al interior, asĆ como de las redes. Si bien, esta clase de pruebas pueden ser sumamente rĆ”pidas, dependiendo de la capacidad del pentester por encontrar vulnerabilidades, asĆ como de las fallas implĆcitas de la red, una desventaja es que, si el analista no logra penetrar el perĆmetro, las fallas que se encuentran al interior permanecerĆ”n ocultas.
Gray Box Pentesting
Una prueba de Caja Gris es un paso siguiente al de Black Box, donde el analista tiene el mismo acceso a la red que un usuario promedio del sistema. En este sentido, tiene mƔs conocimiento sobre la infraestructura y arquitectura de la red y posee privilegios mayores, lo que puede ayudar a implementar un anƔlisis mucho mƔs enfocado y eficiente. Esto tambiƩn ayuda para generar simulaciones sobre amenazas persistentes al interior de un sistema, para evaluar la capacidad de respuesta de los usuarios.
White Box Pentesting
Contrario a las pruebas de caja gris o caja negra, las de caja blanca tienen un acceso total al cĆ³digo fuente de un sistema, asĆ como a la arquitectura, infraestructura y documentaciĆ³n, con el fin de ejercer acciones de anĆ”lisis, debugging y simulacros dados a partir del funcionamiento directo de los sistemas. En este sentido, esta clase de pruebas son las que implican mĆ”s tiempo, pues los analistas deben sortear una cantidad inmensa de informaciĆ³n para encontrar aquello que es verdaderamente Ćŗtil para la misiĆ³n. Una de las fallas de esta clase de pruebas es que puede generar una ceguera basada en el conocimiento profundo que tienen del sistema, el cual muchas veces puede obviar las acciones que un hacker sin conocimiento puede cometer.
Ventas y desventajas de los servicios de Pentest
La disyuntiva entre los tres tipos de prueba implica un intercambio entre tiempo y eficiencia. De primera instancia, las pruebas de Black Box son las mĆ”s rĆ”pidas pero dado el desconocimiento que el analista tiene sobre el sistema, pueden existir muchas vulnerabilidades invisibles que pueden pasarse por alto. Por su lado, las de Grey Box son un buen punto medio entre velocidad y granularidad, pues ante el accionar a nivel de usuario, se pueden asegurar los activos clave de la organizaciĆ³n. Finalmente, la prueba mĆ”s robusta, pero menos eficiente a nivel temporal es la de White Box, pues requiere un largo tiempo de anĆ”lisis y procesamiento; sin embargo, puede asegurar que incluso las fallas menos crĆticas serĆ”n tambiĆ©n subsanadas.
ĀæQuĆ© es lo que un Pentest te permite observar?
De manera puntual, una prueba de penetraciĆ³n busca cuatro metas fundamentales, con el fin de asegurar la infraestructura crĆtica de cada organizaciĆ³n y permitir generar un esquema de Ciberseguridad robusto basado en acciones concretas. En este sentido, se busca:
Identificar las amenazas y vulnerabilidades a las que los recursos de informaciĆ³n estĆ”n expuestos. Esto permite cuantificar el impactos de los posibles riesgos, asĆ como proporcionar una implementaciĆ³n de seguridad adecuada.
Reducir los costos de la organizaciĆ³n, proporcionando un mejor retorno de la inversiĆ³n en seguridad, esto al identificar y resolver vulnerabilidades y debilidades en el diseƱo e implementaciĆ³n de las tecnologĆas preventivas, en lugar de generar gastos que sĆ³lo se ocupan de medidas reactivas.
Obtener y mantener las certificaciones que regulan a la industria, segĆŗn sea el caso.
Alinear la organizaciĆ³n con las mejores prĆ”cticas y dar cumplimiento a regulaciones internas, externas y de la industria.