Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Control Crítico de Seguridad CIS 18. Pruebas de Penetración

Control Crítico de Seguridad CIS 18. Pruebas de Penetración

Jun 23, 2022

El Centro para la Seguridad en Internet (CIS) proporciona Critical Security Controls (CIS Controls) para apoyar el campo en evolución de la ciberseguridad. CIS Control 18 cubre las pruebas de penetración (este tema fue tratado por el Control 20 en la versión anterior).

Las pruebas de penetración son el lanzamiento intencional de ciberataques con el fin de evaluar la seguridad de una organización. Los expertos en pruebas de penetración realizan estas pruebas para vulnerar la seguridad de sus sistemas y resaltar los puntos ciegos en sus sitios web, aplicaciones o red. Al identificar estas vulnerabilidades, las pruebas de penetración ayudan a las empresas a mantenerse al tanto de la gestión de la seguridad.

Contenido relacionado seleccionado:

Aunque es una mejor práctica para la seguridad, las pruebas de penetración son costosas porque son complicadas y, por lo tanto, requieren probadores de penetración experimentados y de buena reputación, también llamados 'hackers éticos'. Las pruebas pueden introducir riesgos, incluyendo la paralización de sistemas inestables y la corrupción o eliminación de datos. El informe resultante también representa un riesgo, ya que detalla los pasos para atravesar las defensas de la organización, por lo que necesita ser cuidadosamente protegido.

Las pruebas de penetración a menudo se confunden con otra práctica integral (y a menudo requerida), los escaneos de vulnerabilidades, pero tienen diferentes métodos y propósitos. Las pruebas de vulnerabilidad (CIS Control 7) utilizan escaneos no intrusivos para identificar puntos débiles en la seguridad de un sistema en un intento de descubrir brechas de seguridad pero sin explotarlas. En contraste, las pruebas de penetración utilizan métodos intrusivos para probar cuán dañino podría ser un ciberataque para una organización. Imita un ataque real para descubrir exactamente a qué activos de TI podría acceder un atacante. Usar procesos de pruebas de vulnerabilidad y de penetración juntos puede producir una visión inclusiva de las deficiencias de seguridad.

18.1 Establecer y mantener un programa de pruebas de penetración

Un programa de pruebas de penetración exitoso ayuda a su negocio a mantenerse un paso adelante de los hackers. Las pruebas de penetración revelan brechas en el sistema de seguridad y demuestran lo fácil que es robar activos de TI. Los detalles específicos de cada programa de pruebas de penetración dependen de la naturaleza, tamaño, complejidad y madurez de la organización. Aquí hay algunas pautas.

  • Alcance — Un programa de pruebas de penetración debe incluir tanto pruebas externas como internas. Entre estas, el alcance de la prueba podría incluir algunos o todos los siguientes aspectos:
    • Red
    • Hardware
    • Aplicaciones web
    • API
    • Wi-Fi
    • Acceso físico a las instalaciones
  • Tipo — Existen tres tipos de pruebas de penetración, dependiendo de cuánta información proporcione para el pre-test:
    • Black-box: Los probadores entran sin conocimiento de los sistemas internos.
    • White-box: La organización proporciona detalles completos sobre el objetivo.
    • Caja gris: Estas evaluaciones se encuentran en un punto intermedio, ya que la organización proporciona información parcial al evaluador.
  • Limitaciones — Asegúrese de tomar nota de las limitaciones que podrían obstaculizar la efectividad de las pruebas, tales como:
    • Alcance: Debido a la falta de recursos o presupuesto, una organización puede optar por limitar el alcance de las pruebas de penetración, lo que conduce a posibles puntos ciegos en su seguridad.
    • Tiempo: Mientras que los evaluadores de penetración asignan un marco de tiempo estructurado a cada prueba, los adversarios no tienen límites de tiempo y pueden pasar semanas o meses en un ataque.
    • Método: Algunos métodos de pruebas de penetración podrían provocar que el sistema objetivo se caiga, por lo que estas técnicas están descartadas durante una prueba de penetración profesional.
    • Habilidades: Un probador de penetración podría haber estudiado solo un tipo específico de tecnología, lo que podría limitar su perspectiva.
    • Experimento: Los probadores de penetración pueden limitarse a pensar dentro de lo establecido, siguiendo simplemente la estructura y los protocolos que se les proporcionan. Los verdaderos adversarios pueden ser más creativos con sus enfoques.
  • Frecuencia — Los CIS Controls aconsejan a las organizaciones realizar pruebas de penetración externas e internas regularmente — al menos una vez al año — y después de cualquier cambio significativo en la infraestructura o el software.
  • Punto de contacto — Solo unas pocas personas seleccionadas deben saber cuándo se realiza una prueba de penetración. Para cada prueba de rutina, asigne un punto de contacto específico dentro de la organización para conectar con el equipo de prueba de penetración. Si surge algún problema mientras se realiza la prueba, esta persona puede atender lo adecuado
  • Remediación y reevaluación — Una vez completada la prueba, la organización debe determinar qué cambios en políticas y medidas técnicas son necesarios para mejorar la seguridad. Las pruebas de penetración deben repetirse una vez que se hayan tomado estas acciones.

Stages of a penetration testing program

El proceso de prueba de penetración implica siete fases. Las primeras seis tomarán alrededor de 10 días, dependiendo del alcance. El paso final, la remediación, a menudo toma más tiempo.

  1. Pre-engagement — El proceso comienza estableciendo los objetivos. La organización y los evaluadores deciden qué activos empresariales están dentro del alcance de la prueba y qué aspectos de la seguridad serán evaluados.
  2. Reconocimiento — El evaluador recopila información sobre los activos dentro del alcance de la operación de prueba de penetración. Los evaluadores pueden interactuar activamente con la red para recopilar información o seguir pasivamente el tráfico de la red y rastrear las huellas del sistema operativo e internet.
  3. Descubrimiento — La fase de descubrimiento incluye dos partes. Primero, el evaluador podría recopilar más información, como nombres de host, direcciones IP y detalles de aplicaciones y servicios. A continuación, el evaluador realizará un escaneo de vulnerabilidades para buscar fallos de seguridad en la red, aplicaciones, dispositivos y servicios. Junto con vulnerabilidades como sistemas sin parches, los evaluadores podrían descubrir errores en la seguridad de políticas, debilidades en protocolos de seguridad y problemas de cumplimiento con respecto a estándares como PCI DSS, GDPR o HIPAA. Aunque el uso de software de escaneo de vulnerabilidades es mucho más eficiente, contratar a un equipo para realizar un escaneo manual proporciona una visión más completa de las brechas de seguridad.
  4. Análisis de vulnerabilidades — A continuación, el evaluador prioriza las vulnerabilidades que se descubrieron. Aunque esta clasificación puede ser algo subjetiva, los expertos en pruebas de penetración utilizarán el Common Vulnerability Scoring System (CVSS), un sistema de clasificación cuantitativo aceptado globalmente.
  5. Explotación — Los evaluadores intentan utilizar las vulnerabilidades para acceder al entorno de TI. Utilizan las mismas técnicas que podría usar un hacker, incluyendo correos electrónicos de phishing, ingeniería social y descubrimiento de credenciales de usuarios. Una vez dentro, los evaluadores valorarán a qué activos tienen acceso. Tomarán nota del alcance del acceso, la facilidad para mantener el acceso, cuánto tiempo pasa la brecha sin ser detectada y los riesgos potenciales.
  6. Informes y recomendaciones — Los evaluadores proporcionan un informe detallado sobre las vulnerabilidades identificadas y sus riesgos asociados, junto con recomendaciones para su reparación.
  7. Remediación y nuevo escaneo — Los equipos de TI de la organización trabajan para cerrar las brechas y solucionar las vulnerabilidades. Luego, los probadores de penetración vuelven a escanear la red para evaluar la efectividad del esfuerzo de remediación.

18.2 Realizar pruebas de penetración externas periódicas

Las pruebas de penetración externas se enfocan en el acceso periférico a los sistemas de su organización. Específicamente, una prueba de penetración externa utiliza la red pública para irrumpir en el sistema. El objetivo es evaluar hasta dónde podría llegar un atacante externo. Al simular el comportamiento de un hacker, los evaluadores proporcionarán una perspectiva objetiva sobre la resiliencia y vulnerabilidades de su empresa. Las pruebas de penetración externas siguen las mismas siete fases detalladas anteriormente.

Usted y el evaluador acuerdan el alcance de la prueba de penetración a través de una discusión legal. Debido a que las pruebas de penetración externas se dirigen a los servidores visibles externamente, pueden incluir sitios web, aplicaciones, usuarios, APIs y redes enteras. Mientras que algunas pruebas pueden enfocarse en un aspecto de sus activos, la mayoría aprovechará la prueba para obtener una visión más holística de sus debilidades cibernéticas. En cumplimiento con CIS Control 18, realice pruebas de penetración externas al menos anualmente.

18.3. Remediar los hallazgos de la prueba de penetración

El último paso en las pruebas de penetración es mejorar su posición defensiva. Priorice las recomendaciones de la prueba y elija cuáles implementar para reducir vulnerabilidades y fortalecer la postura de seguridad de su empresa. Las organizaciones podrían optar por no remediar algunos puntos débiles, especialmente si tienen una puntuación baja en el CVSS y son difíciles o costosos de abordar.

18.4. Validar medidas de seguridad

Después de que los profesionales de TI internos trabajen junto al equipo de pruebas de penetración para remediar los problemas, es crucial volver a probar los sistemas para verificar que se hayan realizado los cambios adecuados. Tenga en cuenta que este paso de validación podría requerir modificar las técnicas de escaneo para identificar mejor las debilidades del sistema.

18.5. Realizar pruebas de penetración internas periódicas

La necesidad de realizar pruebas de penetración internas proviene del potencial de empleados malintencionados o descuidados, socios comerciales y clientes para causar daño. Proporciona un complemento crítico a las pruebas de penetración externas. Los probadores de penetración internos se enfocan en los sistemas de la empresa utilizando acceso interno a la red detrás del cortafuegos. Las pruebas de penetración internas te ayudan a evaluar el daño potencial y los riesgos para los activos si un usuario interno explota el sistema.

Al igual que las pruebas de penetración externas, las pruebas de penetración internas siguen los siete pasos descritos anteriormente y pueden ser de caja negra, blanca o gris. Los evaluadores utilizarán su acceso interno para intentar eludir los controles de acceso. El equipo puede probar los sistemas informáticos físicos, dispositivos móviles y cámaras de seguridad, junto con el comportamiento de los empleados y los procedimientos. Además, los evaluadores pueden intentar explotar un alcance similar al de una prueba de penetración externa, incluyendo redes inalámbricas, cortafuegos y sistemas de detección y prevención de intrusiones, con el fin de revelar vulnerabilidades más potentes.

Resumen

Las pruebas de penetración son una práctica compleja y especializada. Realizar pruebas de penetración periódicas es una parte fundamental de las mejores prácticas de seguridad de datos. Las pruebas externas e internas combinadas pueden revelar debilidades críticas en los sistemas de TI, demostrar de manera clara cuán vulnerables son los datos y otros activos ante posibles brechas, y guiar un sólido esfuerzo de remediación para fortalecer la ciberseguridad.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Dirk Schrader

Vicepresidente de Investigación de Seguridad

Dirk Schrader es un Resident CISO (EMEA) y VP de Security Research en Netwrix. Con 25 años de experiencia en seguridad informática y certificaciones como CISSP (ISC²) y CISM (ISACA), trabaja para promover la ciberresiliencia como un enfoque moderno para enfrentar las amenazas cibernéticas. Dirk ha trabajado en proyectos de ciberseguridad en todo el mundo, comenzando en roles técnicos y de soporte al inicio de su carrera y luego pasando a posiciones de ventas, marketing y gestión de productos tanto en grandes corporaciones multinacionales como en pequeñas startups. Ha publicado numerosos artículos sobre la necesidad de abordar la gestión de cambios y vulnerabilidades para lograr la ciberresiliencia.

Aprende más sobre este tema

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Cómo agregar y eliminar grupos de AD y objetos en grupos con PowerShell

Atributos de Active Directory: Último inicio de sesión

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad