14 FEB 2018

Pruebas de penetración y Vulnerability Assessment: qué son, para qué sirven, cuáles diferencias

El Vulnerability Assessment (VA) es el proceso de individuación y clasificación de las vulnerabilidades en el sistema objectivo. En este proceso se analizan los sistemas operativos, los programas, el hardware y las redes para identificar las posibles vulnerabilidades conocidas (día cero). Estas vulnerabilidades se verifican por el diseño inadecuado del software, de la autenticación no segura o por errores de programación o configuración.

El VA suele prever 5 fases diferetes:

1.      Goals & Objectives: fija los objectivos del VA;

2.      Scope: durante la ejecución del assessment y de las prubas, el ámbito y el perímetro tienen que ser claramente definidos basándose en los recursos que se quieren testar. Existen 3 modalidades de ejecución:

  • Black Box: pruba hecha por una red externa sin algun conocimiento de las redes y de los sistemas interiores;
  • Gray Box: pruba hecha por una red externa o interior, conociendo las redes y los sistemas internos. Esta suele ser una combinación de pruebas en modalidad black box y white box;
  • White Box: ejecución de la prueba por dentro de la red conociendo su aquitectura y la de los sistemas.

3.      Information Gathering: es la fase de recogida de las informaciones. Consiste en sacar el mayor número de informaciones sobre el entorno TI, como redes, direcciones IP, versiones de los sistemas operativos y de los programas.

4.      Vulnerability Detection: en esta fase se usan instrumentos automatizados como los vulnerability scanner para detectar y catalogar las vulnerabilidades conocidas a través del escaneo de los objectivos.

5.      Information Analysis and Planning: esta fase se usa para analizar las vulnerabilidades identificadas, asociadas a las informaciones recogidas sobre el ambiente TI, para realizar un posible plano para penetrar en la red y en el sistema objectivo.

Prueba de penetración

La Prueba de penetración es más una forma de arte que una ciencia y es un proceso que podemos describir como Hacking ético. Es un conjunto de actividades cuyo objectivo es lograr el acceso no autorizado a recursos autorizados. La prueba de penetración es un hacking ético porque permite intentar a entrar en el propio sistema para ver su complejidad de realización o de ataque.

El objectivo de la prueba de penetración es lograr acceder en un sistema usando instrumentos y técnicas similares o iguales a las que usan los hackers. La prueba de penetración, por eso, intenta explotar una cualquiera vulnerabilidad conocida o de día cero (que es más dificil encontrar) para lograr el acceso no autorizado.

Como pasa con el VA, también para la prueba de penetración existen fases diferentes que corresponden a tres modalidades de ejecución de la prueba de penetración:

  • Zero-knowledge: el penetration tester no tiene ninguna información sobre el ambiente objectivo;
  • Partial knowledge: el penetration tester tiene informaciones parciales sobre el ambiente ojectivo;
    Full knowledge: el penetration tester tiene el acceso completo a las informaciones y a la arquitectura del ambiente objectivo.

¿Cuál es la diferencia entre Vulnerability Assessment y prueba de penetración y cómo elejir que usar?

Las diferencias entre VA y prueba de penetración son:

  • El VA se realiza para detectar los punto débiles automáticamente usando programas específicos, es raro que se haga manualmente;
  • El VA puede ser realizado rádido y fácilmente;
  • El VA cuesta menos que una prueba de penetración;
  • El VA raramente provoca daños permanenentes al sistema, pero puede provocar reducciones;
  • El VA puede ser hecho a menudo, incluso cada mes;
  • El VA tiene un nivel de protección inferior que la prueba de penetración porque alerta si hay posibles vulnerabilidades conocidas;
  • A menudo el VA es la actividad que precede la prueba de penetración;
  • La prueba de penetración se realiza para someter al máximo esfuerzo el sistema a través técnicas y procesos específicos para detectar posibles debilidades que se pueden explotar a través de exploit;
  • La prueba de penetración necesita un tiempo mayor de ejecución que el VA y necesita a expecialistas, también de diferentes sectores (por ejemplo web, base de datos, red, etc.);
  • La prueba de penetración cuesta más que un VA;
  • La prueba de penetración puede provocar daños permanentes al sistema que a veces no se pueden recuperar tampoco con una copia de seguridad de los datos;
  • La prueba de penetración tiene un nivel de protección mayor que el VA porque se testan realmente las posibles vulnerabilidades conocidas y no (de día cero);
  • La prueba de penetración suele ser hecha una vez al año.

La principal diferencia entre el VA y la prueba de penetración se encuentra en la finalidad porque con el VA el técnico se para antes de comprometer un sistema, mientras con la prueba de penetración se sigue sin demora hasta el objectivo predeterminado y compartido con el dueño o responsable del sistema.

La decisión si realizar un VA, una prueba de penetración o ambos se basa en un cuidadoso análisis de coste-beneficio, teniendo en cuenta el nivel de protección que se quiere alcanzar, las criticidades de posibles daños llevados al sistema (temporales o definitivos) y la real exposición a un ataque que ha sido testado empíricamente.

Elaborado por Lucia D’Adamo, en colaboración con Andrea Petriglia, supervisado por Marco Pirrone