Penetration test & Vulnerability scan

El pasado mes de Marzo el consorcio de seguridad que estandariza la PCI-DSS, con el objetivo de evitar fraudes que involucren tarjetas de pago de débito y crédito, publicó la Guía de Test de Penetración con el fin de que las compañías que procesan, guardan o transmiten datos de tarjetas sigan unas líneas generales y recomendaciones para cumplir el requerimiento 11.3 de Test de Penetración.

Me ha llamado la atención en este suplemento cómo se ha destacado la diferencia que existe entre Test de Penetración y Escáner de Vulnerabilidades, ya que es una comparativa a tener en cuenta cuando se va a contratar un análisis de este tipo, que no nos den gato por liebre, y en definitiva no nos engañen con un Test de Penetración muy barato donde realmente tan solo se ha lanzado un escáner de vulnerabilidades sin haber analizado siquiera cada vulnerabilidad por separado, mostrándonos un informe tal y como lo genera automáticamente la herramienta de escaneo de vulnerabilidades.

En primer lugar un Test de Penetración va a intentar identificar vulnerabilidades para explotarlas, para ello tratará de saltarse todas las medidas de seguridad de los sistemas intermedios, e incluso se aprovechará de malas configuraciones o despistes de los administradores para llegar a su objetivo. Sin embargo, un Escáner de Vulnerabilidades identificará, clasificará y generará un informe con las vulnerabilidades encontradas, sin intentar explotarlas para llegar a una segunda fase u otro fin.

Por otro lado un Test de Penetración normalmente se realiza al menos una vez al año, o tras un cambio significativo en la plataforma, por un hacker con suficiente experiencia en el infraestructura a analizar y con total imparcialidad en el sistema que se va a explotar. Sin embargo, un Escáner de Vulnerabilidades lo puede hacer perfectamente los técnicos que mantienen la plataforma a analizar y debería hacerse al menos cada cuatro meses, o tras un cambio significativo en la plataforma. La diferencia en cuanto a la periodicidad se debe principalmente a la cantidad de nuevas vulnerabilidades que aparecen constantemente, y fundamentalmente a la disparidad del coste del Test de Penetración frente al Escáner de vulnerabilidades, sino podría realizarse perfectamente un Test de Penetración continuo en el tiempo, igual que lo puede hacer cualquier hacker con fines maliciosos.

Si volvemos al coste, veremos que un Test de Penetración es mucho más caro debido a la cantidad de tiempo necesario para realizar el análisis. Mientras que un Test de Vulnerabilidades se puede realizar en minutos dependiendo de la cantidad de equipos a escanear, un Test de Penetración puede llegar a durar semanas dependiendo del entorno a analizar y del alcance del test. Además, la persona encargada de realizar el Test de Penetración debe poseer conocimientos técnicos avanzados de la plataforma a explotar, valorándose certificaciones como OSCP o CEH, mientras que la empresa también debe tener experiencia en este tipo de proyectos basándose en metodologías como OSSTMM o PTES para realizar estos test.

Por último, el informe generado por un Test de Penetración suele ser conciso, donde se identifica claramente qué datos o sistemas fueron comprometidos y cómo se comprometieron, cuáles son las fases que se han seguido, las vulnerabilidades explotadas y las herramientas o scripts desarrollados. Sin embargo, el informe generado por un Test de Vulnerabilidades mostrará una lista de las vulnerabilidades conocidas, categorizadas por riesgo y CVSS, suelen ser informes generados automáticamente por herramientas como Nessus, Retina o GFI LANGuard, que además realizan comparativas con los últimos test realizados.

Un saludo amigos y recuerda, lo primero que te venga a la cabeza ¡escríbelo en un comentario!