Pentesting as a service, un modelo que analiza continuamente la seguridad del software desde la postura de un atacante

Al utilizar una plataforma basada en la nube, los resultados de las pruebas de penetración pueden ser consultados, monitoreados y analizados continuamente por las empresas.

Octubre de 2022.- El avance del cibercrimen y el rápido desarrollo tecnológico hacen necesario evaluar la seguridad de los sistemas una y otra vez. Fluid Attacks, compañía especializada en realizar pruebas de seguridad integrales en los sistemas informáticos de las empresas, da a conocer los puntos clave a la hora de elegir un proveedor de pruebas de penetración como servicio (PTaaS, por sus siglas en inglés) y los beneficios de este modelo para la ciberseguridad en las organizaciones.

Las pruebas de penetración son ataques genuinos realizados por hackers éticos con el consentimiento de los dueños de los sistemas. El modelo PTaaS permite que las pruebas de penetración tradicionales se ajusten dentro de la metodología DevSecOps, adaptándose a la velocidad de desarrollo actual, ya que se realizan de forma continua desde el inicio del ciclo de vida del desarrollo del software. La evaluación continua de la seguridad recibe cada vez más atención, de lo cual es evidencia que el último año el número de sistemas evaluados por Fluid Attacks con hacking continuo creció en un 33%.

“Las pruebas de penetración hacen parte de una postura de seguridad ofensiva, donde predomina la idea de que lo mejor para combatir a los atacantes es pensar y actuar como ellos; así, con la autorización de las empresas, se simulan ataques para detectar vulnerabilidades. Muchas organizaciones creen que la implementación de una gran variedad de herramientas automatizadas es la solución perfecta para mantener los sistemas seguros, sin embargo, esto suple tan solo un poco de una estrategia verdaderamente integral, que incluye pruebas manuales y continuas capaces de identificar y descubrir vulnerabilidades más complejas”, explica Vladimir Villa, CEO de Fluid Attacks.

Mediante la utilización de una plataforma centralizada, basada en la nube, los resultados de las pruebas de penetración se pueden consultar, monitorear y analizar continuamente, permitiendo a las organizaciones lograr una gestión de vulnerabilidades exitosa. “Este nuevo modelo ayuda a resolver el problema de priorización y remediación causado por el modelo anterior, en el que todas las vulnerabilidades, tanto antiguas como nuevas, son dejadas para ser reportadas en un determinado momento del tiempo, creando períodos durante los cuales los criminales pueden encontrarlas y atacar”, agrega Villa.

Para elegir un proveedor de PTaaS adecuado, Fluid Attacks destaca que se espera que cumpla con los siguientes atributos:

• Una integración de automatización y hackers éticos, o pentesters, que permita mejorar la precisión de las pruebas de seguridad.
• Una única plataforma de administración que ofrezca todos los datos relevantes sobre las vulnerabilidades encontradas durante las pruebas de penetración, incluyendo recomendaciones, para poder priorizarlas y remediarlas.
• Datos disponibles y actualizados continuamente a medida que avanza la evaluación del sistema; abarcando además todo nuevo cambio.
• Un modelo que permita que la remediación de vulnerabilidades se haga poco después de la identificación y siga una determinada priorización. Así, se evita entrar en producción con un alto riesgo de ser afectado por un ciberataque.
• Un modelo que permita una colaboración constante entre el grupo de pentesters y el equipo de desarrolladores de la organización.
• Un modelo que verifique la efectividad de las soluciones implementadas por la organización.

“El modelo PTaaS reconoce que la inteligencia humana es indispensable en la evaluación continua de los sistemas. Al combinar las ventajas de la automatización y el trabajo manual, se logran descubrir vulnerabilidades más complejas y aumentar la precisión de los hallazgos. Permitir que pentesters prueben constantemente la seguridad de los sistemas con ataques reales, permite a las empresas remediar las vulnerabilidades antes de que sea un criminal el que las descubra, estando verdaderamente un paso adelante”, concluye el vocero de Fluid Attacks.