PTaaS es el nuevo enfoque para ahorrar tiempo y dinero en las pruebas de seguridad requeridas.
Por Seemant Sehgal , director ejecutivo y fundador de BreachLock
Para la mayoría de las organizaciones, la expansión de su huella digital ha continuado durante las últimas dos décadas. Esto se amplificó aún más con la pandemia de Covid-19, ya que las organizaciones tuvieron que pasar rápidamente al trabajo remoto. Los entornos de trabajo híbridos y los procesos empresariales exclusivamente digitales han introducido nuevos riesgos de seguridad. Ahora se espera que los CISO pasen de ser tecnólogos a líderes corporativos responsables de gestionar los riesgos de ciberseguridad.
Según el Informe sobre el costo de la filtración de datos de IBM, el costo global promedio de una filtración de datos ha aumentado a la asombrosa cifra de 4,35 millones de dólares; en Estados Unidos, esa cifra se duplica hasta alcanzar la friolera de 9,44 millones de dólares. Hallazgos adicionales revelaron que el costo aumentó aún más (en 1,07 millones de dólares) en los casos en que una organización adoptó el trabajo remoto.
La razón de estos problemas se debe en parte a la forma en que las organizaciones gestionan sus superficies de ataque externas. El CISO moderno carece de visibilidad de sus superficies de ataque externas en expansión, con equipos dispares, especialmente equipos de ingeniería en la nube y AppSec, que lanzan dispositivos e instancias en la nube en la red de la empresa, sin informar al Centro de operaciones de seguridad.
El fenómeno de la “TI en la sombra” ha dejado a los CISO en la ignorancia sobre estas exposiciones críticas, ya que el SOC no puede monitorear activos desconocidos para mantener seguros el perímetro, los puntos finales y los sistemas críticos de la organización.
El panorama de las pruebas de seguridad está cambiando
Para combatir las amenazas y los riesgos de ciberseguridad que evolucionan constantemente, es importante que las organizaciones se anticipen a posibles ataques realizando pruebas de seguridad periódicas en los sistemas y remediando las vulnerabilidades expuestas. Sin embargo, las soluciones heredadas para mejorar las pruebas de seguridad, especialmente en el proceso de CI/CD, no han sido adecuadas para evitar que las vulnerabilidades conocidas pasen a producción.
La realidad es que las pruebas de seguridad actuales de los CISO no son suficientes. Al utilizar Pentesters experimentados habilitados con tecnología y herramientas avanzadas para pruebas de seguridad en el proceso de CI/CD, una organización puede acelerar el tiempo de respuesta y mejorar los resultados de seguridad, y evolucionar las pruebas de seguridad tradicionales de una vez por todas. Para aprovechar realmente los últimos avances y acelerar las pruebas de penetración de terceros es con un nuevo servicio llamado Pen Testing as a Service.
¿Qué son las pruebas de penetración como servicio (PTaaS)?
Al igual que una prueba de penetración normal, PTaaS implica simular ataques a los sistemas de una organización para descubrir la vista de su adversario. Las fases son típicas del compromiso de pentesting tradicional. En la fase de descubrimiento inicial, se revela una lista de riesgos, vulnerabilidades y debilidades críticos. Por lo general, algunos de estos son críticos para remediarlos lo antes posible.
Al igual que las pruebas de penetración tradicionales, Pen Testing as a Service proporciona ciberataques simulados de rutina a los sistemas de una organización para probar su madurez de seguridad y controles para identificar debilidades que podrían ser explotadas por un ciberdelincuente. Sin embargo, PTaaS es la evolución de próxima generación a partir de enfoques heredados al permitir a los ingenieros internos de DevOps comenzar temprano el ejercicio de pentesting.
PTaaS todavía realiza pruebas de seguridad en este momento. Más allá del alcance del informe de prueba de seguridad, PTaaS continúa ofreciendo capacidades que brindan a los equipos internos de los clientes la capacidad de continuar probando la infraestructura, cuando tradicionalmente tenían que depender de pentesters humanos y herramientas patentadas. El PTaaS actual se puede aplicar a una amplia gama de casos de uso para pruebas de seguridad, incluidas las pruebas de seguridad de CI/CD.
Beneficios de la transición a PTaaS
Existen numerosos beneficios que pueden beneficiar a la organización y al programa de seguridad cuando se busca migrar las pruebas de seguridad y el pentesting a un proveedor de PTaaS.
- Ahorra costos: reduce el costo total de propiedad (TCO) con capacidades de seguridad integradas que se pueden eliminar y/o reducir en otros lugares.
- Ahorra tiempo: acelera los resultados de seguridad con una guía de corrección integrada para cumplir con los requisitos de pentesting más rápido.
- Precisión: proporciona resultados precisos con probadores de penetración certificados que utilizan la misma metodología, estándares, herramientas y mejores prácticas de la industria.
- Cumplimiento: valida los requisitos de cumplimiento para pruebas de penetración de terceros y escaneo de vulnerabilidades con informes y artefactos certificados.
- Visibilidad: revela la perspectiva del adversario para ver las exposiciones de la superficie de ataque, las vulnerabilidades críticas y las rutas de ataque.
- Flexible: escala según sea necesario para realizar pentesting dirigido por expertos y finalizar la acumulación de pruebas de penetración sin contratar recursos adicionales.
- Ágil: permite la agilidad para los equipos de DevSecOps con integraciones de flujo de trabajo API para iniciar la clasificación de tickets de vulnerabilidades recién descubiertas.
- Continuo: admite pruebas, monitoreo, escaneo y repruebas de seguridad continuas durante el resto de la suscripción a PTaaS.
Seleccionar un proveedor de PTaaS
Al igual que con cualquier solución de seguridad nueva, es importante comprender cómo seleccionar a los verdaderos líderes de la industria entre las soluciones imitadoras.
Los principales proveedores de PTaaS han diseñado la prestación de sus servicios para acelerar la entrega de pentest. Con el proveedor de PTaaS adecuado, estas innovaciones incluirán una plataforma en la nube diseñada con herramientas de automatización e inteligencia artificial para permitir a los evaluadores de penetración humanos internos y a los clientes al mismo tiempo. Aquí es donde el proveedor de PTaaS adecuado puede aumentar la eficiencia y eficacia de los resultados de las pruebas de seguridad de rutina.
A continuación se presentan ocho preguntas que puede utilizar para seleccionar al proveedor de PTaaS y asegurarse de que está obteniendo el máximo valor de su inversión en PTaaS. Al hacer estas preguntas, puede asegurarse de asociarse con un proveedor de servicios de pruebas de penetración confiable para su empresa.
1. ¿Qué cualificaciones tiene la empresa?
Las certificaciones son una marca importante de credibilidad para los proveedores de servicios, ya que demuestran que un proveedor está comprometido a seguir las prácticas estándar de la industria. Un buen lugar para comenzar a buscar un proveedor de servicios de pruebas de penetración calificado y de buena reputación es ver si tiene la certificación CREST (Consejo de Probadores de Seguridad Éticos Registrados). Cumplir con múltiples leyes y regulaciones internacionales es fundamental para la integridad del informe final. Puede solicitar la verificación de las credenciales formales de su proveedor, como ISO/IEC 27001:2013, PCI DSS y el cumplimiento de HIPAA y GDPR.
Los líderes en la categoría Pen Testing as a Service también habrán sido reconocidos por firmas de analistas como Gartner Research, Forrester e IDC. Busque estos reconocimientos y menciones por pruebas de penetración como servicio y pruebas de seguridad DevSecOps para comprender a los pioneros y líderes que impulsan la categoría para maximizar el éxito del cliente.
2. ¿Cuál es la metodología de prueba de penetración utilizada en PTaaS?
Esta pregunta es para confirmar los marcos, metodologías y estrategias preferidos del proveedor de PTaaS. Dado que su organización tiene una infraestructura única, con personas, tecnologías, objetivos y desafíos, no existe un enfoque único que sirva para todos.
El proveedor de PTaaS adecuado asignará un experto dedicado para facilitar la participación. Este contacto explica todas las metodologías disponibles y le ayuda a determinar el plan adecuado para su organización. Al planificar una prueba de penetración para su organización, el Estándar de ejecución de pruebas de penetración (PTES) es un buen lugar para comenzar.
3. ¿Qué se incluye en el informe de prueba de penetración?
Un informe de pruebas de penetración le ayuda a comprender las vulnerabilidades de su infraestructura técnica. Un informe bien documentado puede actuar como una buena referencia para que su equipo interno, incluso después de completar la prueba, pueda planificar sus operaciones. Una forma de asegurarse de que está contratando al proveedor adecuado es solicitar que un proveedor de servicios le muestre uno de sus informes de un proyecto anterior o su informe de muestra.
Los elementos estándar de cualquier informe de prueba de penetración que cumpla con las normas incluirán:
- Resumen ejecutivo
- Descripción general de la vulnerabilidad
- Detalles de vulnerabilidad
- Puntuación de riesgo (como CVSS)
- Plan de acción para la remediación
- Conclusión
4. ¿Cómo se gestiona la ciberseguridad en la empresa?
Una prueba de penetración busca puntos débiles en las defensas de TI de su empresa. Estas defensas, si se aprovechan con éxito, podrían tener consecuencias costosas para los resultados de su negocio. Todos estos datos permanecen en poder del proveedor de servicios incluso después de realizar la prueba de penetración. Por lo tanto, tómese el tiempo para preguntar cómo mantendrán segura su información una vez finalizada la interacción y qué medidas toman para mantener un nivel elevado de seguridad para sus clientes.
5. ¿Su servicio de pruebas de penetración incluye remediación?
Hemos visto a muchas organizaciones contratar servicios de pruebas de penetración, pero a menudo solo terminan obteniendo un análisis de vulnerabilidad básico en lugar de una prueba de penetración en profundidad. Algunos proveedores de servicios de pruebas de penetración creen en relaciones a largo plazo y ofrecen servicios integrales de remediación, mientras que otros solo realizan la prueba de penetración inicial, dejando que DevSecOps realice la remediación en un silo. Como tomador de decisiones para su negocio, una opción ideal es el proveedor de PTaaS que integra la orientación de DevOps en el servicio como un medio para construir una relación a largo plazo que agilice las actividades de remediación y respalde las pruebas de seguridad continuas.
6. ¿Su servicio de pruebas de penetración es automatizado o manual?
Las herramientas automatizadas son útiles para una prueba de penetración, pero tienen sus propias limitaciones. Es posible que pasen por alto vulnerabilidades importantes y de alto riesgo que solo se pueden encontrar mediante pruebas manuales realizadas por personal calificado. En general, al menos el 80% del total de las actividades de prueba deben ser manuales, mientras que el resto se basa en herramientas.
Un proveedor calificado de PTaaS utiliza hoy la tecnología de próxima generación, como la inteligencia artificial y la automatización avanzada, para crear un complemento sólido para el evaluador de penetración humano que dirige cada ejercicio. En constante evolución, esta aplicación práctica permite a los clientes aprovechar la tecnología avanzada de los proveedores de PTaaS sin los costos excesivos de poseer cada tecnología internamente. Así es como un proveedor de PTaaS calificado puede realmente ofrecer una reducción en el TCO para los líderes de seguridad que necesitan utilizar recursos y tecnología con prudencia para obtener el mayor retorno de la inversión y maximizar los resultados de seguridad.
7. ¿Quién realizaría una prueba de penetración y cuáles son sus calificaciones?
Al seleccionar el proveedor de PTaaS, querrá un socio que cumpla con sus requisitos de cumplimiento y seguridad, ya que los evaluadores de seguridad que contrate obtendrán acceso a los sistemas y a los datos confidenciales. Es fundamental que el personal de pruebas de seguridad tenga una buena formación. Por lo tanto, querrá entrevistar a sus posibles proveedores de servicios para comprender las calificaciones, las verificaciones de antecedentes y la experiencia laboral pasada del equipo de pruebas.
Es común que las organizaciones omitan este paso y contraten a alguien que miente sobre sus credenciales o, peor aún, que ha sido condenado por robo de datos. Esta es la razón por la que muchos CTO y CIO prefieren trabajar exclusivamente con proveedores de PTaaS que cuentan con evaluadores de seguridad y penetración internos, en lugar de piratas informáticos independientes y cazadores de recompensas de errores contratados. Es extremadamente difícil garantizar al 100% las verificaciones de antecedentes del personal colaborativo, los contratistas y los cazarrecompensas de errores disponibles para contratar en el mercado de pentesting en la actualidad.
8. ¿Mis servicios permanecerán disponibles durante una prueba de penetración?
Para cualquier proveedor de servicios, no es prácticamente viable garantizar la disponibilidad de los servicios durante una prueba. Es esencial probar los sistemas para encontrar brechas de seguridad en la infraestructura técnica. Sin embargo, cuando trabaje con el proveedor de PTaaS adecuado, su contacto exclusivo se comunicará periódicamente con frecuencia sobre cualquier posible interrupción del servicio en la medida de lo posible para minimizar el tiempo de inactividad. Además, los controles del cliente, como un ‘interruptor de apagado’ en tiempo real y la atención al cliente, pueden garantizar que los riesgos se gestionen por completo y que las cargas de trabajo no se vean afectadas durante la realización de pruebas de penetración.
Acelere el Pentesting ahora con el líder comprobado en PTaaS
Más allá de las pruebas de seguridad para la seguridad del turno a la izquierda, los probadores de penetración certificados internos de BreachLock realizan pruebas de penetración de pila completa con automatización habilitada por IA para ahorrarle tiempo y dinero en comparación con el pentesting heredado. La galardonada solución de BreachLock, reconocida por los analistas, incluye una plataforma de pruebas de penetración nativa de la nube que reduce el tiempo de respuesta y los costos de las pruebas de penetración tradicionales en un 50 %. Para ver cómo funcionan las pruebas de seguridad dirigidas por humanos y habilitadas por IA de BreachLock utilizando la plataforma PTaaS y la tecnología de próxima generación para proteger su entorno, comuníquese con BreachLock hoy .