Probar los controles de seguridad es la única forma de saber si realmente están defendiendo a su organización. Con muchos marcos de prueba y herramientas diferentes para elegir, tiene muchas opciones.

Pero, ¿qué quieres saber específicamente? ¿Y cómo son relevantes los hallazgos para el panorama de amenazas que enfrenta en este momento?

«Decida lo que quiere saber y luego elija la mejor herramienta para el trabajo».

Los equipos de seguridad suelen utilizar varias herramientas de prueba diferentes para evaluar la infraestructura. Según SANS, el 69,9 % de los equipos de seguridad usan herramientas de prueba proporcionadas por proveedores, el 60,2 % usan herramientas de prueba de penetración y el 59,7 % usan herramientas y scripts propios.

Si bien las herramientas proporcionadas por el proveedor prueban una solución de seguridad específica, ya sea un firewall de aplicaciones web (WAF), una solución EDR u otra cosa, la prueba de penetración se usa con frecuencia para verificar que los controles cumplan con los requisitos de cumplimiento, como las normas PCI DSS, y por red equipos como parte de evaluaciones y ejercicios de prueba más amplios.

Las pruebas de penetración automatizadas ayudan a responder a la pregunta «¿puede entrar un atacante?» Pueden ayudar a identificar vías vulnerables o de alto riesgo en un entorno, pero por lo general no cubren toda la cadena de muerte. Pueden emular múltiples técnicas de actores de amenazas e incluso diferentes cargas útiles, pero normalmente no replican ni automatizan por completo las tácticas, técnicas y procedimientos (TTP) completos de un actor de amenazas real.

Las pruebas de penetración automatizadas se basan en evaluadores de penetración humanos calificados con diferentes niveles de experiencia, lo que dificulta la obtención de datos consistentes a lo largo del tiempo. La gran variedad de herramientas y enfoques de pruebas de penetración puede complicar las pruebas. Por ejemplo, diferentes vectores de ataque requieren diferentes herramientas de prueba. Estas herramientas también tienden a ser débiles en el reconocimiento de vulnerabilidades en la lógica empresarial, lo que puede sesgar los resultados.

Para las organizaciones, las pruebas de penetración son costosas y requieren una planificación previa significativa, lo que a menudo limita su uso a pruebas anuales o semestrales. E incluso con la automatización, las pruebas de penetración requieren tiempo para determinar, realizar y analizar, lo que ralentiza la capacidad de la organización para responder con precisión a las amenazas inmediatas.

La encuesta SANS encontró que la mayoría de los encuestados prueban sus controles trimestralmente en el mejor de los casos. Sin embargo, el panorama de amenazas del mundo real evoluciona a diario, lo que deja mucho tiempo para que las amenazas aprovechen las brechas o debilidades entre las evaluaciones programadas. Si desea ver la efectividad de los controles de seguridad, ahora mismo, tendrá preguntas adicionales que las pruebas de penetración no pueden responder fácilmente:

• ¿Sus controles funcionan como se supone que deben funcionar y como espera?
• ¿Los controles interdependientes generan y entregan correctamente los datos correctos? Por ejemplo, ¿su puerta de enlace web, firewall y herramientas basadas en el comportamiento alertan correctamente al SIEM cuando detectan actividad sospechosa?
• ¿Se han desviado las configuraciones con el tiempo o se han configurado incorrectamente? Por ejemplo, ¿los controles detectan activamente las amenazas o se dejaron en modo de monitoreo?
• Si implementó nuevas tecnologías o configuraciones, ¿cómo afectaron su postura de seguridad?
• ¿Son los controles capaces de defenderse contra las amenazas y variantes más recientes?
• ¿Su seguridad defiende contra las últimas técnicas furtivas, como los ataques sin archivos living off the land (LOTL) por parte de atacantes sofisticados?
• ¿Tiene visibilidad de los resultados de seguridad que requieren tanto procesos humanos como tecnología?
• ¿Es su equipo azul capaz de identificar y responder de manera efectiva a las alertas?

Las herramientas automatizadas de simulación de ataque y violación (BAS) le permiten responder a estas preguntas. BAS complementa las pruebas puntuales para desafiar, medir y optimizar continuamente la eficacia de los controles de seguridad. BAS está automatizado, lo que le permite realizar pruebas según sea necesario, y las mejores soluciones evalúan los controles en función de las últimas cepas de malware y TTP de actores de amenazas, sin tener que reunir equipos de expertos en seguridad. Las organizaciones están utilizando BAS para:

• Simule ataques sin poner en peligro los entornos de producción
• Simule ataques en toda la cadena de destrucción contra todas las amenazas, incluidos los TTP de atacantes más recientes.
• Realice pruebas continuas con la flexibilidad de apuntar a vectores, infraestructura y equipos internos específicos para conocer las amenazas más recientes.
• Automatice las simulaciones para lograr repetibilidad y consistencia
• Realice pruebas en cualquier intervalo de tiempo: por hora, por día, por semana o ad hoc con resultados en minutos
• Identifique brechas y evalúe los controles contra el marco MITRE ATT & CK
• Corrija la postura de seguridad y la exposición de la empresa utilizando conocimientos prácticos

Cuando los adversarios cibernéticos continúan mejorando sus juegos, usted y su equipo ejecutivo necesitan asegurarse de que los controles a lo largo de la cadena de destrucción realmente brinden la protección que necesitan, todos los días, cada hora o cada momento. Para un número cada vez mayor de organizaciones, BAS proporciona el control de seguridad continuo y los datos de evaluación de riesgos cibernéticos necesarios para lograr ese objetivo.

Para obtener más información, visite Cymulate y regístrese para una prueba gratuita.