Cómo las pruebas de penetración pueden promover una falsa sensación de seguridad


Las pruebas de penetración en sí mismas son una buena manera de probar la ciberseguridad, pero solo si se prueban todos los rincones del entorno electronic si no es así, no es necesario realizar la prueba.

cybersecurity.jpg

Imagen: Teera Konakan / Instant / Getty Photos

Rob Gurzeev, director ejecutivo y cofundador de CyCognito, una empresa especializada en la gestión y protección de superficies de ataque, está preocupado por los puntos ciegos, pasados ​​y presentes. En su artículo de DarkReading Defendiendo el castillo: cómo la historia mundial puede enseñar una lección sobre ciberseguridadGurzeev mencionó que «las batallas militares traen lecciones directas y, en mi opinión, a menudo sirven como recordatorio de que los puntos ciegos de la superficie de ataque han sido un talón de Aquiles para los defensores durante mucho tiempo».

Como ejemplo, Gurzeev se refiere al asedio de Château Gaillard en 1204: se pensaba que el castillo period impenetrable. Después de casi un año de intentos fallidos, los atacantes de alguna manera determinaron que las letrinas y el sistema de alcantarillado estaban mal defendidos. Se hicieron planes y, en la siguiente noche sin luna, el equivalente medieval de un equipo de operaciones especiales se abrió paso a través de las alcantarillas, logró entrar, prendió fuego al funcionamiento interno del castillo y, en poco tiempo, el asedio terminó. .

VER: Política de protección contra robo de identidad (TechRepublic Quality)

«Los atacantes de ciberseguridad siguen este mismo principio hoy», escribió Gurzeev. «Las empresas suelen tener una cantidad significant de activos de TI dentro de su superficie de ataque externa que ni monitorean ni defienden y probablemente no conocen en primer lugar».

Algunos ejemplos son programas o equipos:

  • Configurar sin el conocimiento o la participación de la seguridad, a veces incluso sin el conocimiento de TI
  • Ya no se united states y se olvida
  • Se utiliza para pruebas a corto plazo que no se retiran.

«Los activos y las aplicaciones se crean o cambian constantemente, y el ritmo del cambio es rápido y dinámico», agregó Gurzeev. «Es una tarea monumental para cualquier organización de seguridad estar al tanto de todos ellos».

Los ciberdelincuentes entienden esta tendencia

Los ciberdelincuentes experimentados, que no quieren perder tiempo ni dinero, buscan la forma más sencilla de lograr su objetivo. «Los atacantes tienen acceso a numerosas herramientas, técnicas e incluso servicios que pueden ayudar a encontrar la parte desconocida de la superficie de ataque de una organización», sugirió Gurzeev. «Al igual que los atacantes franceses del siglo XIII de Château Gaillard, pero con el atractivo de menores bajas y menor costo con una mayor probabilidad de éxito, los atacantes pragmáticos buscan la superficie de ataque externamente accesible de una organización».

Como se mencionó anteriormente, proteger completamente la superficie de ataque cibernético de una organización es casi imposible, en parte debido a que las superficies de ataque son dinámicas y en parte debido a la rapidez con que cambian el computer software y el components. «Las herramientas convencionales están plagadas de algo que mencioné al principio: suposiciones, hábitos y prejuicios», explicó Gurzeev. «Todas estas herramientas se enfocan solo donde apuntan, dejando a las organizaciones con puntos ciegos sin resolver que conducen a infracciones».

Por herramientas, Gurzeev se refiere a pruebas de penetración: «Las pruebas de penetración son una serie de actividades que se llevan a cabo para identificar y explotar vulnerabilidades de seguridad. Ayuda a confirmar la efectividad o ineficacia de las medidas de seguridad que se han implementado».

Hay preocupaciones

A Gurzeev le preocupa que las pruebas de penetración periódicas tomen el camino de menor resistencia, adhiriéndose a superficies de ataque conocidas. «Evaluar y proteger solo las partes conocidas de la superficie de ataque garantiza virtualmente que los atacantes encontrarán infraestructura de purple, aplicaciones o datos sin vigilancia que puedan proporcionar acceso sin obstáculos a recursos valiosos», explicó Gurzeev. «En cambio, las organizaciones deben dedicar más recursos a descubrir y abordar las incógnitas en su superficie de ataque externa».

Sospechas verificadas

Este comunicado de prensa de CyCognito (la empresa de Gurzeev) anuncia los resultados de una encuesta realizada por Informa Tech que involucró a 108 gerentes de TI y seguridad de organizaciones empresariales con 3,000 o más empleados en más de 16 verticales de la industria.

El informe de la encuesta, «La práctica fallida de las pruebas de penetración» menciona de inmediato: «Si bien las organizaciones invierten de manera significativa y dependen en gran medida de las pruebas de penetración para la seguridad, el enfoque ampliamente utilizado no mide con precisión su postura de seguridad general o su preparación para infracciones. dos objetivos declarados entre los profesionales de seguridad y TI «.

En cuanto a por qué, el comunicado de prensa explicaba, «La investigación muestra que cuando se utilizan las pruebas de penetración como práctica de seguridad, las organizaciones carecen de visibilidad sobre sus activos expuestos a World-wide-web, lo que genera puntos ciegos que son vulnerables a exploits y compromisos».

Para obtener el contexto adecuado, el informe menciona que las organizaciones con 3.000 empleados o más tienen más de 10.000 activos conectados a Online. Sin emabargo:

  • El 58% de los encuestados dijo que las pruebas de penetración cubren 1,000 o menos activos.
  • El 36% de los encuestados dijo que las pruebas de penetración cubren 100 o menos activos.

El informe luego enumera las preocupaciones expresadas por los participantes de la encuesta:

  • El 79% cree que las pruebas de penetración son costosas
  • El 78% utilizaría pruebas de penetración en más aplicaciones si los costos fueran más bajos
  • El 71% informa que se tarda entre una semana y un mes en realizar una prueba de penetración.
  • El 60% informa que las pruebas de penetración les dan una cobertura limitada o dejan demasiados puntos ciegos
  • El 47% informa que las pruebas de penetración detectan solo activos conocidos y no nuevos o desconocidos
  • 26% espera entre una y dos semanas para obtener los resultados de la prueba

En cuanto a la frecuencia con la que se realizan las pruebas de penetración, el informe de la encuesta indica:

  • El 45% realiza pruebas de penetración solo una o dos veces al año
  • 27% realiza pruebas de penetración una vez por trimestre

Que significa todo esto?

Parece lógico suponer lo peor si solo los activos conocidos se prueban unas pocas veces al año. «Lo más importante de este informe es que lo que las organizaciones quieren o esperan lograr a través de las pruebas de penetración compared to lo que están logrando son dos cosas muy diferentes», dijo Gurzeev. «Hay un valor muy limitado en probar solo una parte de su superficie de ataque periódicamente. A menos que esté continuamente descubriendo y probando toda su superficie de ataque externa, no tiene una comprensión common de cuán segura es su organización».

La conclusión, según Gurzeev, es que si una organización tiene un conducto «en la sombra» significativo que sería atractivo para los ciberdelincuentes, lo encontrarán y lo explotarán. Añadió: «Quizás las paredes y los flancos de su organización estén cuidadosamente protegidos mientras existe un pasaje en gran parte abierto y sin vigilancia justo debajo de sus pies».

Ver también



Enlace a la noticia first