Principales diferencias entre Análisis de Vulnerabilidades, Pentesting y Ethical Hacking

Análisis de vulnerabilidades vs Pentesting vs Ethical Hacking

Cuando te pones en la piel del CEO de una empresa que acaba de sufrir un ciberataque; existe cierta confusión sobre qué medidas debes tomar ahora que finalmente toca invertir en seguridad para proteger la información de la organización

Acaban de acceder a la información de tu empresa, te han cifrado los archivos, te preocupa la seguridad de tu empresa y tomas la decisión de invertir en seguridad. Lo más seguro es que llegado a este punto no sepas como empezar, tranquilo, es lo más común.

 

 

En Auditech creemos que hay que empezar a construir la casa por los cimientos, de nada te sirve tener un búnker si este no tiene puerta.

Por lo que pensamos que se debe empezar por una auditoria de seguridad con la que obtendremos una visión global de la seguridad de la organización y continuar con un plan de actuación para asegurar tu organización.

Llegados a este punto, tendremos que identificar que tipo de servicio nos aporta mayor valor según nuestras necesidades en ese momento. Si no sabes que servicio encaja mejor con tus necesidades, puedes consultarnos sin compromiso.

Sin más preámbulos, veamos que diferencias existen entre los servicios.

 

Análisis de Vulnerabilidades o Vulnerability Assessment

El Análisis de vulnerabilidades tiene como objetivo evaluar las debilidades que puedan existir en un determinado software, aplicación o sistema que pudiera afectar a su integridad durante su vida útil.

El objetivo principal se centra en identificar todos los puertos abiertos, servicios en ejecución y vulnerabilidades ya conocidas sobre sistemas o aplicaciones. Con la premisa de generar un informe de las vulnerabilidades encontradas.

Con este análisis un profesional de seguridad podrá determinar el nivel en el que se encuentra la empresa y como puede llegar a afectar estas vulnerabilidades a la continuidad de negocio. Para posteriormente solucionar o mitigar estas vulnerabilidades trazando un plan de actuación y así evitar sufrir ciberataques que repercutan en las tecnologías utilizadas y en los datos privados de la compañía.

El servicio de Análisis de Vulnerabilidades es rápido, barato, no se beneficia de una metodología, inflexible y puede realizarlo cualquier persona sin fuertes conocimientos técnicos.

Cabe mencionar, que esta tipología de análisis aporta un bajo valor al cliente debido a su estructura.

 

Pentesting

El pentesting está enfocado a la realización de pruebas de penetración de forma ofensiva, atacando a los sistemas de información o a la propia organización, poniendo a prueba la concienciación de los trabajadores, haciendo uso de técnicas de ingeniería social.

Estas pruebas tienen la finalidad de descubrir cualquier tipo de vulnerabilidad que pudiera afectar al entorno y tener las bases que permitan prevenir este tipo de ataques.

Para la realización de este tipo de auditorías, existen metodologías “Open-Source” dentro de las que destacan OWASP (Open Web Application Security Project) y OSSTMM (Open Source Security Testing Methodology Manual).

En esta etapa ya se tiene un objetivo y alcance definido al cual atacar para comprometer. Ya sea gracias a alguna vulnerabilidad en el sistema o por medio de técnicas de Ingeniería Social, el fin es penetrar en el sistema y analizar la repercusión de la intrusión. Es importante también conocer la infraestructura considerando comprometer los elementos de seguridad perimetral (Firewall, IPS/IDS, Load Balancers…)

Haciendo una breve conclusión de este punto, determinamos que:

El servicio de Pentesting aporta mayor valor que un Análisis de Vulnerabilidades, debido a que se hace un análisis más detallado de las vulnerabilidades que se encuentran durante la auditoria, descartando así falsos positivos. Se permiten nuevas vías de ataque, por medio de técnicas de Ingeniería Social, donde se podrá a prueba la concienciación del personal de la organización. Se medirá también la eficacia de la protección de la infraestructura de seguridad perimetral.

 

 

Ethical Hacking / Red Team

Cuando hablamos de realizar un “Ethical Hacking” nos referimos a realizar una prueba de penetración que abarca absolutamente TODO. O, dicho de otro modo, no hay un objetivo determinado, todo es explotable y no hay limitación más allá de la pactada con el cliente para la realización de las pruebas, en la que se pueden excluir algún tipo de pruebas.

En un “Ethical Hacking” se simula el comportamiento de un atacante real, con el objetivo de comprometer la organización en su totalidad. Utilizando técnicas propias de bandas cibercriminales organizadas, por lo que este tipo de análisis son los que están más a la vanguardia en cuanto a seguridad ofensiva haciendo uso de vectores de ataques poco conocidos e incluso ideando nuevos vectores de ataque que ponen a prueba las defensas de las mejores organizaciones.

Este tipo de pruebas, debe estar consensuadas y aprobadas por el cliente, de forma que existan “limitaciones” legales, debido al riesgo al que se somete la organización debido a la realización de este tipo de pruebas.

Para concluir: Un Ethical Hacking/Red Team aporta el mayor valor para el cliente en cuestiones de auditoria de seguridad técnica, teniendo como objetivo la toma del control de la organización bajo cualquier concepto. Haciendo uso de las técnicas más vanguardistas en hacking, el uso y desarrollo de los últimos exploits contra las últimas vulnerabilidades publicadas o encontrando nuevos vectores de ataque.

Para tener una comparativa de los puntos anteriores hemos preparado una tabla con la información más relevante.

 

TIPOLOGÍA ANÁLISIS DE VULNERABILIDADES PENTESTING ETHICAL HACKING / RED TEAM
OBJETIVO PRINCIPAL Enumerar vulnerabilidades conocidas. Descubrir y enumerar vulnerabilidades en los procesos de negocio. Obtener el control de la organización bajo cualquier concepto.
METODOLOGÍA Sin metodología OWASP, OSSTMM, … Uso de varias metodologías, y metodologías propias de cada equipo.
REALIZADO POR Normalmente hecho por personal interno con credenciales y accesos privilegiados. No es necesario un alto conocimiento técnico. Auditoria de seguridad realizada por personal especializado. Con un alto nivel técnico Equipo de expertos en seguridad ofensiva, simulando una organización cibercriminal especializada.
VALOR PRINCIPAL Detectar sistemas y aplicaciones con vulnerabilidades que puedan ser comprometidas. Identificar vulnerabilidades que pongan en riesgo la seguridad de los sistemas de información. Reducir y mitigar los riesgos derivados. Evaluación e identificación de vulnerabilidades
INFORME Informe técnico comprensivo donde se numeran todas las vulnerabilidades identificadas, ranking de vulnerabilidades por riesgo y tareas de remediación recomendadas. Informe técnico y ejecutivo de las vulnerabilidades, incluyendo vectores de ataque y ataques satisfactorios, Ranking de vulnerabilidades por riesgo y tareas de remediación recomendadas. Informe técnico y ejecutivo de los vectores de ataque usados en la organización, pruebas de ingeniería social, nivel de concienciación de los empleados e informes de debilidades de la infraestructura de seguridad. Nivel de impacto en el negocio, vectores de ataque satisfactorios e información exfiltrada durante la auditoria, nivel de acceso obtenido. enumeración de mayor riesgo y Tareas de remediación por prioridad.

 

Una vez explicadas las diferencias entre Análisis de Vulnerabilidades vs Pentesting vs Ethical Hacking, esperamos que ahora entiendas la importancia de cada una de ellas y como pueden ser útiles para la seguridad de la información de tu empresa.

Josué López – Chief Security Officer – Auditech

Recommended Posts