Para mantenerse seguras, muchas empresas prueban periódicamente sus sistemas para identificar vulnerabilidades. Las pruebas de penetración son uno de los tipos más comunes de evaluación de la seguridad cibernética, pero en los últimos años un número creciente de empresas también han recurrido a programas de “recompensas por errores” para complementar sus programas de pruebas.
Las pruebas de penetración (a menudo denominadas pruebas de penetración) son una forma de evaluación bien conocida y establecida, que generalmente la lleva a cabo una empresa que se especializa en piratería ética. (Cubierto aquí con gran detalle en el extenso glosario de Redscan ). Los programas de recompensas por errores, sin embargo, son una oferta más reciente, vistos por muchos como un complemento a las pruebas de penetración, que ayudan a ampliar el alcance de las pruebas de seguridad en plataformas que ya están bien protegidas contra ataques.
Muchas organizaciones grandes ejecutan sus propios programas de recompensas por errores, incluidas Google, Facebook y Microsoft (que pagaron millones en recompensas en ). Incluso la UE ha comenzado a financiar programas .
De hecho, según Gartner, para, más del 50 por ciento de las empresas emplearán productos y servicios automatizados y CSSTP (plataforma de prueba de seguridad colaborativa), frente a menos del 5 por ciento en la actualidad. En este artículo analizamos las diferencias clave entre las pruebas de seguridad que ofrecen los proveedores de pruebas de penetración y los programas de recompensas por errores.
- la experiencia
Las pruebas de penetración las llevan a cabo piratas informáticos éticos experimentados empleados por empresas especializadas en ciberseguridad. Los piratas informáticos éticos profesionales deben haber obtenido calificaciones en seguridad cibernética, lo que garantiza un conocimiento profundo de los aspectos legales, técnicos y éticos de las pruebas. Antes de que un probador de penetración realice cualquier trabajo, es una práctica común conocer la identidad de la persona y firmar un contrato para acordar el alcance del trabajo. Por lo general, las pruebas de penetración profesionales incluyen estos pasos y servicios .
Los programas de recompensas por errores también atraen a piratas informáticos éticos profesionales; sin embargo, como cualquiera puede inscribirse en un programa, las pruebas normalmente las llevarán a cabo una combinación de profesionales y aficionados, con experiencia, conocimientos y ética muy variados. Las recompensas por errores tienden a atraer a estudiantes y a aquellos que buscan practicar sus habilidades de piratería ética. Por este motivo, se pueden informar muchas vulnerabilidades falsas, duplicadas y/o falsas.
- el alcance
Las pruebas de penetración se realizan para satisfacer las necesidades exactas de un cliente específico. De hecho, existen muchos tipos de evaluación, que van desde pruebas de redes internas y externas hasta pruebas de aplicaciones web, pruebas inalámbricas y más. También se pueden organizar pruebas para satisfacer los requisitos operativos de una empresa, por ejemplo, realizándolas fuera del horario laboral habitual.
Los programas de recompensas por errores se centran únicamente en probar sitios web y aplicaciones web de acceso público. Por este motivo, los programas de recompensas no pueden detectar vulnerabilidades dentro de una red o antes de que los sitios web y las aplicaciones entren en funcionamiento. El alcance de las pruebas también suele estar mucho menos definido y, en ocasiones, las organizaciones no reciben el tipo de retroalimentación que buscan.
- La duración
Las pruebas de penetración para aplicaciones web generalmente se llevan a cabo en un tiempo relativamente corto, tal vez de dos a tres días.
Por otro lado, los programas de grandes recompensas no se llevan a cabo en plazos específicos y, por esta razón, es mejor utilizarlos para pruebas continuas. Esto los hace ideales para grandes empresas de tecnología que lanzan constantemente nuevos productos y actualizaciones. Pero también significa que son menos útiles para las empresas que tienen ciclos de lanzamiento menos frecuentes.
- El costo
El costo de una prueba de penetración generalmente se basa en la cantidad de días necesarios para que los piratas informáticos alcancen el objetivo acordado de la prueba.
Por otro lado, la mayoría de las plataformas de recompensas por errores permiten a las organizaciones fijar el precio que están dispuestas a pagar. Si bien esto puede parecer atractivo, establecer recompensas demasiado bajas podría disuadir a los evaluadores. Por otro lado, si se descubre una gran cantidad de vulnerabilidades, los costos pueden aumentar rápidamente.
Algunos programas de recompensas por errores ofrecen recompensas de 100.000 libras esterlinas, pero estos pagos únicos siguen siendo la excepción.
- la retroalimentación
Cualquier buena prueba de penetración no sólo identificará las exposiciones, sino que también proporcionará la retroalimentación y el apoyo necesarios para abordarlas. Los programas de recompensas por errores se centran únicamente en descubrir vulnerabilidades y, por esta razón, el nivel de retroalimentación generalmente será bajo.
Si una organización gestiona su propio programa de recompensas por errores, puede tener dificultades para hacer frente a una afluencia de informes de los evaluadores.