Diferencia entre evaluación de vulnerabilidades y pruebas de penetración

vulnerability assessment

Pruebas de penetración frente a escaneo de vulnerabilidades:

A veces, he visto a probadores y dueños de negocios equivocarse al entender la idea básica detrás de la prueba de penetración y el escaneo de vulnerabilidades.

Ambos se confunden a menudo como los mismos servicios. Cuando la empresa no puede decidir si opta por una prueba de penetración o una prueba de vulnerabilidad. ¿Las pruebas de penetración son iguales a las pruebas de vulnerabilidad o son diferentes? Si son diferentes, ¿están relacionados? Cuál elegir - Prueba de penetración o prueba de vulnerabilidad ?

Intentaremos encontrar las respuestas a todas las preguntas anteriores en este tutorial.

Lo que vas a aprender:

• Introducción
• Introducción a las pruebas de penetración
  • Prueba de penetración de caja negra:
  • Prueba de penetración de caja blanca:
• Introducción al análisis de vulnerabilidades
• Pruebas de penetración frente a escaneo de vulnerabilidades
• ¿Están las pruebas de penetración y escaneo de vulnerabilidades relacionadas entre sí?
• ¿Cuál elegir: prueba de lápiz o escaneo de vulnerabilidades?
• Herramientas más populares
• Conclusión
• Lectura recomendada

Introducción

Para empezar, me gustaría que leyeras cinco frases:

• Los plátanos crecen en un árbol.
• Un ser humano normal usa solo el 10% de su cerebro.
• Hacer crujir los nudillos causa artritis en la vejez.
• Los murciélagos son ciegos.
• Las pruebas de penetración son las mismas que las del escaneo de vulnerabilidades.

¿Puedes adivinar algo en común entre todas las declaraciones anteriores? Todos son mitos. Sí, eso es correcto. De hecho, todos son mitos.

Sin embargo, en este tutorial nuestro, no nos preocupan ni los plátanos ni los murciélagos. Lo único que nos importa es comparar las pruebas de penetración con el análisis de vulnerabilidades. Para saber más sobre la comparación o para demostrar que la afirmación es un mito, primero analizaremos las pruebas de penetración y el escaneo de vulnerabilidades por separado.

Introducción a las pruebas de penetración

Una prueba de penetración también se conoce como 'prueba de la pluma'. Este tipo de prueba se realiza a un sistema para encontrar una forma de entrar en el sistema. Esto puede exponer los datos importantes que almacena el sistema al mundo exterior.

En general, el objetivo de la prueba de penetración puede ser de Tipo de caja blanca o tipo de caja negra .

Prueba de penetración de caja negra:

Normalmente, el probador no recibe ningún detalle del sistema excepto el nombre. Esto es muy similar a los hacks de la vida real en los que el pirata informático no conoce nada más que el nombre de la aplicación.

Las pruebas de caja negra replican las condiciones de la vida real y no requieren mucho tiempo. Sin embargo, debido a áreas desconocidas relacionadas con el código fuente y la infraestructura, siempre existe la posibilidad de que se pierdan partes del sistema.

Prueba de penetración de caja blanca:

En este proceso, se proporcionan al Tester todos los datos necesarios relacionados con el sistema que debe someterse a pruebas de penetración.

Los datos pueden ser arquitectura de red, configuraciones del sistema, códigos fuente, etc. Este es un proceso más largo que el de las pruebas de lápiz tipo Black Box. Este es un proceso minucioso y tiene una cobertura más profunda en comparación con el tipo de caja negra.

La prueba de la pluma siempre se realiza con el permiso / solicitud del cliente. Realizar pruebas de lápiz en un sitio sin el consentimiento del propietario es ilegal y se puede denominar piratería.

A estas alturas, sabemos qué son las pruebas de penetración y es hora de conocer la razón por la que las organizaciones optan por ellas. Se dice que es mejor prevenir que curar. Las pruebas de lápiz hacen que una arquitectura sea más fuerte y resistente a los ataques.

Introducción al análisis de vulnerabilidades

Se utiliza un escaneo de vulnerabilidades para descubrir las vulnerabilidades / debilidades en un sistema. Esta tarea se realiza ejecutando una aplicación (denominada escáner de vulnerabilidades) en la computadora de destino. Estas aplicaciones o escáneres se pueden ejecutar directamente en la computadora de destino o desde una ubicación de red.

La ubicación de la red entra en escena para organizaciones más grandes, mientras que no es factible ejecutar el escáner en las computadoras locales todo el tiempo.

Ahora, ¿Cómo sabe qué escáner puede funcionar para su aplicación? La respuesta es bastante simple. Es decir, los escáneres de vulnerabilidades apenas utilizan los detalles / parámetros del sistema mientras escanean.

Todo lo que necesitan es la IP del sistema. Solo con la IP, un escáner de vulnerabilidades puede encontrar los lugares potenciales donde se puede realizar un ataque en el sistema.

Hay situaciones en las que una empresa tiene Intranet y no todas las computadoras están expuestas al mundo de Internet. En ese caso, el escáner de vulnerabilidades debe ejecutarse desde la intranet mediante el cual se puede detectar tanto las vulnerabilidades internas como las externas.

Una vez que se completa una prueba / escaneo, el escáner ayuda a obtener un informe que muestra todas las posibles vulnerabilidades. El informe generado contiene varios datos relacionados con las vulnerabilidades.

Los datos van desde las estadísticas del servidor (basadas en el índice de vulnerabilidad), el estado de los diferentes servicios que se ejecutan en diferentes servidores, el estado de las vulnerabilidades encontradas en función de su nivel de gravedad.

Una vez que se genera un informe, hay que analizarlo para conocer la situación real. No todo el tiempo, las vulnerabilidades encontradas son tan graves. Puede haber casos en los que el escáner extraiga el nombre solo porque los datos que se esperaban no coinciden con la salida. Pero, después de todo, puede que no sea una verdadera vulnerabilidad.

Esa es la razón por la que se deben realizar más análisis en un informe de escaneo de vulnerabilidades para averiguar si la vulnerabilidad encontrada es correcta o no.

Pruebas de penetración frente a escaneo de vulnerabilidades

Ahora sabemos qué es un proceso de prueba de penetración y qué es el escaneo de vulnerabilidades.

Ahora, continuar con un enfrentamiento cabeza a cabeza entre los dos gigantes sería divertido.

Ejemplo:

Entraremos en un ejemplo de la vida real para comprender la diferencia entre los dos.

Tomemos al Sr. X como ejemplo. El Sr. X es un especialista en robos. Observaremos su plan para su próximo atraco. Planea robar un banco presente en medio de la ciudad.

El edificio del Banco está rodeado por una estación de policía, una estación de bomberos, un parque público (que permanece cerrado por la noche) y un estanque. El edificio del banco es un edificio de 20 pisos con un helipuerto en la parte superior. Antes de robar el banco, necesita encontrar los posibles puntos de entrada al edificio del Banco.

Los lados del edificio que tiene una estación de policía y una estación de bomberos son imposibles de romper. Operan 24 horas al día, 7 días a la semana y ¡quién se atrevería a robar un banco usando la guarida de Cop como punto de entrada! Eso deja al Sr. X con otras 3 opciones. Si, lo tienes bien. También tiene el techo como punto de entrada (¿recuerdas a Heath Ledger de la trilogía de Batman?).

The Rooftop parece ser una elección extraña aquí, ya que el edificio tiene solo 20 pisos y las posibilidades de que te atrapen las personas que te rodean son muy altas. Y el Banco es el único edificio de gran altura que se encuentra en el área. ¡Eso hace que la entrada del techo sea un gran NO! Con las dos opciones restantes, el Sr. X comienza a analizar el lago como punto de entrada.

El lago puede ser un buen modo de entrada, pero la visibilidad sería una preocupación. ¿Cómo reaccionaría alguien si ve a alguien nadando a medianoche, eso también hacia el edificio del Banco? La última opción es el Parque Público.

Analicemos el parque en detalle. Está cerrado al público después de las seis de la tarde. El parque tiene muchos árboles que le dan la sombra y los soportes necesarios para el modo sigiloso. El parque tiene un muro limítrofe que se comparte con las instalaciones del Banco.

Ahora, todo el análisis anterior se puede decir como escaneo de vulnerabilidades. Un escáner hace todas estas cosas. Para encontrar una posición vulnerable para entrar.

Volviendo a nuestra historia, supongamos que el Sr. X logra ingresar al banco a través del punto de entrada del parque público. ¿Qué hace a continuación? Ya sea que irrumpa en la Bóveda para obtener el efectivo o los casilleros de depósito para obtener los objetos de valor.

Esta parte es la prueba de penetración. Obtienes el acceso e intentas explotar el sistema. Llegas a conocer la profundidad a la que puedes llegar con este ataque.

Nota: No se robó ningún banco al escribir este tutorial. Y tampoco es recomendable seguir los pasos del Sr. X.

Los dejo con el cuadro de comparación a continuación para que pueda obtener más claridad sobre la diferencia entre los dos.

¿Están las pruebas de penetración y escaneo de vulnerabilidades relacionadas entre sí?

Sí, el escaneo de vulnerabilidades y las pruebas de penetración están relacionados entre sí. Las pruebas de penetración dependen del análisis de vulnerabilidades.

Para iniciar la prueba de penetración, se realiza un escaneo completo de vulnerabilidades para que el evaluador conozca las vulnerabilidades que están presentes en el sistema y luego las explote.

diferencia entre las pruebas de caja negra y las pruebas de caja blanca

Entonces, con el escaneo de vulnerabilidades, llegamos a conocer las posibles vulnerabilidades, pero estas vulnerabilidades no se han explotado hasta este momento. Son las pruebas de penetración las que confirman hasta qué punto es posible explotar la vulnerabilidad.

También se cruzan entre sí en ciertos puntos, como se muestra en la siguiente imagen:

¿Cuál elegir: prueba de lápiz o escaneo de vulnerabilidades?

Habiendo entendido la diferencia entre ambos, ahora surge la pregunta: ¿cuál elegir?

Bueno, el objetivo del análisis de vulnerabilidades es descubrir las debilidades de su sistema y solucionarlas. Considerando que, el objetivo de las pruebas de penetración es encontrar si alguien puede romper su sistema y, en caso afirmativo, cuál será la profundidad del ataque y cuántos datos significativos pueden obtener.

Juntos, el escaneo de vulnerabilidades y la prueba de lápiz pueden decirle qué está en riesgo y cómo se puede solucionar. El objetivo es mejorar la seguridad general de su sistema. Debe elegir entre los dos en función de la importancia de su negocio. Si realiza una prueba de penetración, también cubre el análisis de vulnerabilidades.

Sin embargo, la prueba de penetración es muy costosa (alrededor de $ 4,000 a $ 20,000) y también requiere mucho tiempo en comparación con el escaneo de vulnerabilidades. La razón es que brinda resultados muy precisos y completos y elimina las vulnerabilidades de falsos positivos.

Mientras tanto, el escaneo de vulnerabilidades es muy rápido y mucho más económico (casi $ 100 por IP, por año, dependiendo del proveedor) que la prueba de lápiz. Como organización, puede realizar un análisis de vulnerabilidades de forma mensual, trimestral o incluso semanal. Y opte por la prueba de penetración anualmente.

Herramientas más populares

Algunas de las herramientas de uso común para el análisis de vulnerabilidades incluyen:

• Nessus
• Nadie
• SMO
• OpenVAS, etc.

Las herramientas de uso común para Pen Test incluyen:

• Qualys
• Impacto central
• Metasploit, etc.

Los probadores de lápiz también escriben su propio código de explotación según el requisito.

Conclusión

A partir de este tutorial, nos damos cuenta de que tanto Pen Test como Vulnerability Scan son dos actividades completamente diferentes que se realizan para hacer que la aplicación sea más segura contra ataques. También se pueden usar juntos si es necesario.

La prueba de vulnerabilidad identifica las posibles lagunas y la prueba de Pen aprovecha estas lagunas para descubrir el alcance del daño / robo que puede ocurrir en la información crítica para el negocio. Se hacen para arreglar las lagunas y evitar posibles ataques y brechas de seguridad en el sistema de información.

Otras lecturas

• Introducción a las pruebas de penetración de aplicaciones web
• 37 herramientas de prueba de penetración más poderosas (herramientas de prueba de seguridad)
• Prueba de penetración: guía completa con ejemplos de casos de prueba
• Las 10 herramientas de análisis de evaluación de vulnerabilidades más útiles
• Cómo probar la seguridad de las aplicaciones web con Acunetix Web Vulnerability Scanner (WVS) - Revisión práctica

Lectura recomendada

• Mejores herramientas de prueba de software 2021 (Herramientas de automatización de pruebas de control de calidad)
• Diferencia entre pruebas de escritorio, cliente-servidor y pruebas web
• Pruebas de seguridad de red y las mejores herramientas de seguridad de red
• 19 potentes herramientas de prueba de penetración utilizadas por profesionales en 2021
• Descarga del libro electrónico Testing Primer
• Pruebas estáticas y pruebas dinámicas: diferencia entre estas dos importantes técnicas de prueba
• Pruebas de rendimiento frente a pruebas de carga frente a pruebas de estrés (diferencia)
• 101 diferencias entre los conceptos básicos de las pruebas de software