Pentesting as a service: Analizar la seguridad desde la postura del atacante

Publicado el 20 Oct 2022

20221021p6

Vladimir Villa, CEO de Fluid Attacks.

El avance del cibercrimen y el rápido desarrollo tecnológico hacen necesario evaluar la seguridad de los sistemas una y otra vez. Fluid Attacks, compañía especializada en realizar pruebas de seguridad integrales en los sistemas informáticos de las empresas, da a conocer los puntos clave a la hora de elegir un proveedor de pruebas de penetración como servicio (PTaaS, por sus siglas en inglés) y los beneficios de este modelo para la ciberseguridad en las organizaciones.

Las pruebas de penetración son ataques genuinos realizados por hackers éticos con el consentimiento de los dueños de los sistemas. El modelo PTaaS permite que las pruebas de penetración tradicionales se ajusten dentro de la metodología DevSecOps, adaptándose a la velocidad de desarrollo actual, ya que se realizan de forma continua desde el inicio del ciclo de vida del desarrollo del software.

Vladimir Villa, CEO de Fluid Attacks, explicó que “las pruebas de penetración hacen parte de una postura de seguridad ofensiva, donde predomina la idea de que lo mejor para combatir a los atacantes es pensar y actuar como ellos; así, con la autorización de las empresas, se simulan ataques para detectar vulnerabilidades. Muchas organizaciones creen que la implementación de una gran variedad de herramientas automatizadas es la solución perfecta para mantener los sistemas seguros, sin embargo, esto suple tan solo un poco de una estrategia verdaderamente integral”.

Mediante la utilización de una plataforma centralizada, basada en la nube, los resultados de las pruebas de penetración se pueden consultar, monitorear y analizar continuamente, permitiendo a las organizaciones lograr una gestión de vulnerabilidades exitosa.

Para elegir un proveedor de PTaaS adecuado, Fluid Attacks destaca que este debe cumplir con los siguientes atributos:

– Una integración de automatización y hackers éticos, o pentesters, que permita mejorar la precisión de las pruebas de seguridad.

– Una única plataforma de administración que ofrezca todos los datos relevantes sobre las vulnerabilidades encontradas durante las pruebas de penetración, incluyendo recomendaciones, para poder priorizarlas y remediarlas.

– Datos disponibles y actualizados continuamente a medida que avanza la evaluación del sistema; abarcando además todo nuevo cambio.

– Un modelo que permita que la remediación de vulnerabilidades se haga poco después de la identificación y siga una determinada priorización. Así, se evita entrar en producción con un alto riesgo de ser afectado por un ciberataque.

– Un modelo que permita una colaboración constante entre el grupo de pentesters y el equipo de desarrolladores de la organización.

– Un modelo que verifique la efectividad de las soluciones implementadas por la organización.

Según Vladimir Villa, “el modelo PTaaS reconoce que la inteligencia humana es indispensable en la evaluación continua de los sistemas. Al combinar las ventajas de la automatización y el trabajo manual, se logran descubrir vulnerabilidades más complejas y aumentar la precisión de los hallazgos. Permitir que pentesters prueben constantemente la seguridad de los sistemas con ataques reales, permite a las empresas remediar las vulnerabilidades antes de que sea un criminal el que las descubra, estando verdaderamente un paso adelante”.

¿Qué te ha parecido este artículo?

¡Síguenos en nuestras redes sociales!

Redacción

Artículos relacionados

Artículo 1 de 2