El uso de las tecnologías como aplicaciones web/movil, Internet, computadoras, y otros sistemas informáticos se han vuelto esenciales para el dia a dia de las personas y empresas. Pero muchos no saben de la Ciberseguridad (Seguridad Informática), que básicamente son las políticas, tecnologías y metodologías utilizadas para proteger estos activos tecnológicos.
En Stolkin International, proveemos servicios para la protección de sus sistemas informáticos de los riesgos y amenazas de hoy y del futuro. Algunos de estos servicios son una Evaluación de Vulnerabilidades y una Prueba de Penetración, comúnmente conocida como un Hacking Ético (Para aprender Que es un Hacker? Lee este Post). Aunque ambas son evaluaciones similares que miden el nivel de seguridad del sistema informático, existen entre ellas unas diferencias importantes y hay unas situaciones especificas en las cuales seria mejor aplicar una y no la otra.
Evaluación de Vulnerabilidades
Es un proceso diseñado para descubrir vulnerabilidades (debilidades) en el sistema mediante el uso de herramientas automatizadas y un experto que evaluá los resultados para filtrar los falsos positivos que la herramienta pudo encontrar. Al final de la evaluación se entrega un reporte en el cual se presentan las vulnerabilidades encontradas con su puntuación CVSS (Common Vulnerability Scoring System), que define la severidad de cada vulnerabilidad encontrada. También se entregan recomendaciones apropiadas para remover o reducir los riesgos y amenazas que estas vulnerabilidades crean.
Dependiendo del sistema informático que se este evaluando se cambian las tecnologías y metodologías pero por lo general se siguen los siguientes pasos:
- Reconocimiento
- Pruebas Automatizadas
- Exploración y Verificación
- Reporte
Esta evaluación se recomienda para empresas y organizaciones que tienen un nivel de seguridad informática entre BAJO y MEDIO. Esta es una buena evaluación para comenzar e incrementar la seguridad de la organización ya que es rápida de realizar, relativamente de bajo costo y puede encontrar vulnerabilidades de alto riesgo.
Prueba de Penetración (Hacking Ético)
Es similar a una evaluación de vulnerabilidades pero con la diferencia que es un ejercicio orientado a unos objetivos específicos. Tiene menos que ver con descubrir vulnerabilidades y mas concentrado en una simulación de un ataque real hacia el sistema informático. Evaluá las defensas y traza los caminos que un atacante real podría tomar para cumplir su objetivo.
La metodología para hacer una prueba de penetración es mucho mas elaborado y se requiere al menos los siguientes pasos:
- Planificación
- Reconocimiento
- Análisis de Vulnerabilidades
- Explotación
- Ataques Internos
- Ataques Externos
- Pos-Explotación
- Reporte
Existen 3 tipos de pruebas de penetración:
- Caja Blanca: El examinador tiene acceso completo y conocimiento exhaustivo del sistema informático.
- Caja Gris: El examinador tiene conocimiento y acceso limitado al sistema informático.
- Caja Negra: El examinador no tiene ningún acceso y solo tiene conocimiento superficial del sistema informático.
Estas pruebas se recomiendan para empresas y organizaciones que ya tengan un nivel de seguridad ALTO en sus programas de seguridad informática. Esto significa que la empresa ejecuta evaluaciones de vulnerabilidades regularmente en sus sistemas y están buscando una evaluación mas manual que podría encontrar vulnerabilidades mas escondidas en sus sistemas.