8 ago 2013

Pentesting By Design: La nueva tendencia

El sector de la seguridad informática aumenta en trabajos, en seriedad por parte de las empresas y por necesidades de proteger los activos de éstas. Cada vez más personas se dedican a la seguridad, una rama de la informática que engorda por momentos. Es más, sabemos que avanza a gran velocidad, cada día salen nuevas vulnerabilidades, nuevas formas de atacar, nuevos trucos, nuevas tecnologías que deben ser auditadas, nuevos sistemas más complejos... Por esta razón los investigadores en seguridad informática estudian nuevas fórmulas con las que mejorar las vías de detección de vulnerabilidades y corrección de éstas.

Pentesting By Design

Siempre aparecen vulnerabilidades que ayudarán a preparar ataques contra sistemas, y se podrá demostrar que se ha conseguido entrar al sistema o a partes de éste. Históricamente han existido graves incidentes de seguridad que han sacudido a grandes compañías, organizaciones, gobiernos, etcétera.

El pentesting by design es un nuevo modelo o tendencia el cual responde a la siguiente cuestión, ¿Por qué en la mayoría de las ocasiones que se realiza una auditoría de seguridad externa se descubren fallos de seguridad graves? El pentesting no debería ser un proceso puntual, debería ser un proceso continuo que se ejecute constantemente sobre el ciclo de vida del sistema. Como indica el eslogan del modelo: un servicio de ataque 24x7 durante la vida del sistema.

Un atacante puede realizar distintos ataques cualquier día sobre los sistemas de una empresa, por lo que se puede decir que los malos atacan muchísimas más veces que un auditor. Este hecho hace que el pentesting by design proporcione soporte desde la fase de diseño de los sistemas. Las empresas de seguridad que realizan auditorías están moviendo el modelo de negocio y utilizando herramientas de automatización para llevar a cabo las auditorías constantemente bajo el modelo expuesto en este artículo. De esta vía los atacantes y los auditores se encuentran casi en igualdad de condiciones. Los sistemas deberán estar diseñados para soportar las pruebas constantemente, es decir 24x7. Si no es así, los atacantes ya tienen más posibilidades de conseguir los logros, antes que los auditores encuentren los fallos de seguridad.

Esta nueva tendencia no implica que si la empresa dispone de un equipo de pentesting interno se deba deshacer de él. Ambas partes son totalmente compatibles, e incluso, es una buena suma de soluciones.

El pentesting by design necesita un dimensionamiento de la memoria, el almacenamiento y el ancho de banda en las comunicaciones en los sistemas diseñados a priori para dar calidad de servicio a los usuarios, más un porcentaje destinado al ataque continuo de los atacantes, más un porcentaje necesario para que los auditores puedan realizar el proceso de pentesting continuo desde el primer día.

3 comentarios:

  1. Bueno , esto me parece que estais intentando crear otra moda , igual que la virtualización y el cloud, y el NGFW y el UTM, el pentesting by desing es lo que de "Toda la vida" (una forma de referirse) a un buen aprovisionamiento, diseño y escalabilidad de la red. Netamente experiencia del consultor, y ahora por estoy tiempos lo llaman "Penetration Testing By Desing", lo que debería llamarse experiencia y calidad de diseño de redes.. pero Marketing es Marketing chavales :)

    ResponderEliminar
  2. Decir que la virtualización y el cloud son una moda, ole!Tu si que vales killo!Saludos!

    ResponderEliminar
  3. [...] encontradas por la evaluación “continuamente”, es una especie de  ”pentesting by desing“o https://www.risk.io/ y te proporcionan la solución rápidamente para arreglarlo, [...]

    ResponderEliminar