Muchos servicios de operaciones de seguridad están conformados por colores, no es extraño, por ejemplo, hablar de equipos rojos, azules o morados en lo relativo a los roles que los pentesters toman al interior de la dinámica de las operaciones de TI. En este sentido, lo mismo ocurre con los distintos tipos de pruebas de penetración, las cuales, de acuerdo a su mecanismo de funcionamiento, se clasifican en tres colores distintos: Black Box (o de caja negra), Grey Box (o de caja gris) y White Box (caja blanca).
De forma muy concisa, estas clasificaciones surgen de acuerdo al nivel de conocimiento y acceso dado al pentester al comenzar las pruebas, este espectro de acción va desde el conocimiento mínimo, donde se busca que el analista sea lo más ajeno posible, hasta aquel donde se le otorga un conocimiento sumamente profundo, con el fin de conocer de antemano las virtudes y fallas de un sistema.
Black Box Pentesting
Las pruebas de caja negra son las más comunes y son aquellas preferidas por las organizaciones, pues los analistas trabajan al mismo nivel que un hacker usual. A los pentesters no se les otroga ninguna clase de conocimiento que no sea de dominio público sobre el funcionamiento interno de la empresa. En este sentido, las pruebas de Black Box determinan y detallas las vulnerabilidades en un sistema que pueden ser explotables desde el exterior. A nivel técnico, esto implica que este tipo de pruebas recaen en análisis dinámicos de los programas ejecutándose al interior, así como de las redes. Si bien, esta clase de pruebas pueden ser sumamente rápidas, dependiendo de la capacidad del pentester por encontrar vulnerabilidades, así como de las fallas implícitas de la red, una desventaja es que, si el analista no logra penetrar el perímetro, las fallas que se encuentran al interior permanecerán ocultas.
Gray Box Pentesting
Una prueba de Caja Gris es un paso siguiente al de Black Box, donde el analista tiene el mismo acceso a la red que un usuario promedio del sistema. En este sentido, tiene más conocimiento sobre la infraestructura y arquitectura de la red y posee privilegios mayores, lo que puede ayudar a implementar un análisis mucho más enfocado y eficiente. Esto también ayuda para generar simulaciones sobre amenazas persistentes al interior de un sistema, para evaluar la capacidad de respuesta de los usuarios.
White Box Pentesting
Contrario a las pruebas de caja gris o caja negra, las de caja blanca tienen un acceso total al código fuente de un sistema, así como a la arquitectura, infraestructura y documentación, con el fin de ejercer acciones de análisis, debugging y simulacros dados a partir del funcionamiento directo de los sistemas. En este sentido, esta clase de pruebas son las que implican más tiempo, pues los analistas deben sortear una cantidad inmensa de información para encontrar aquello que es verdaderamente útil para la misión. Una de las fallas de esta clase de pruebas es que puede generar una ceguera basada en el conocimiento profundo que tienen del sistema, el cual muchas veces puede obviar las acciones que un hacker sin conocimiento puede cometer.
Ventas y desventajas de los servicios de Pentest
La disyuntiva entre los tres tipos de prueba implica un intercambio entre tiempo y eficiencia. De primera instancia, las pruebas de Black Box son las más rápidas pero dado el desconocimiento que el analista tiene sobre el sistema, pueden existir muchas vulnerabilidades invisibles que pueden pasarse por alto. Por su lado, las de Grey Box son un buen punto medio entre velocidad y granularidad, pues ante el accionar a nivel de usuario, se pueden asegurar los activos clave de la organización. Finalmente, la prueba más robusta, pero menos eficiente a nivel temporal es la de White Box, pues requiere un largo tiempo de análisis y procesamiento; sin embargo, puede asegurar que incluso las fallas menos críticas serán también subsanadas.
¿Qué es lo que un Pentest te permite observar?
De manera puntual, una prueba de penetración busca cuatro metas fundamentales, con el fin de asegurar la infraestructura crítica de cada organización y permitir generar un esquema de Ciberseguridad robusto basado en acciones concretas. En este sentido, se busca:
Identificar las amenazas y vulnerabilidades a las que los recursos de información están expuestos. Esto permite cuantificar el impactos de los posibles riesgos, así como proporcionar una implementación de seguridad adecuada.
Reducir los costos de la organización, proporcionando un mejor retorno de la inversión en seguridad, esto al identificar y resolver vulnerabilidades y debilidades en el diseño e implementación de las tecnologías preventivas, en lugar de generar gastos que sólo se ocupan de medidas reactivas.
Obtener y mantener las certificaciones que regulan a la industria, según sea el caso.
Alinear la organización con las mejores prácticas y dar cumplimiento a regulaciones internas, externas y de la industria.