Pruebas de seguridad y pruebas de penetracin

En las ltimas etapas del ciclo de vida del desarrollo de software, todo el sistema est disponible parapruebasde seguridad. Esto se llama prueba de estrs o penetracin. Este proceso tiene como objetivo identificar las vulnerabilidades de los sistemas y proporciona una prueba tangible de la vulnerabilidad. Las pruebas del sistema se pueden utilizar para detectar vulnerabilidades antes de que se publique una aplicacin de software o aplicacin web. A continuacin se presentan algunos mtodos de prueba del sistema. Siga leyendo para obtener ms informacin. (Nota: las pruebas de estrs y penetracin tambin se pueden realizar a nivel del sistema).
Automatizacin

La automatizacin de las pruebas de seguridad es un aspecto esencial del desarrollo de software y la entrega continua. Con un nivel creciente de integracin entre el desarrollo y la operacin de un sistema, las pruebas automatizadas son crticas para identificar y corregir fallas de seguridad. El ciclo de vida para el desarrollo de software es mucho ms corto que en el pasado, lo que hace que sea ms difcil realizar pruebas de seguridad adecuadas de manera oportuna. Para abordar este problema, se necesita automatizacin continua, desde la identificacin de los objetivos hasta la evaluacin de las pruebas.

La identificacin de debilidades y configuraciones errneas se puede hacer fcilmente con pruebas automatizadas. Utilizando un enfoque TDD, como Gauntlt, se puede integrar una especificacin de seguridad en una aplicacin antes de que comience el desarrollo real. Esta es una excelente manera de garantizar que se detecten y resuelvan vulnerabilidades antes de que la aplicacin salga al mercado. La automatizacin tambin proporciona una ventaja de tiempo considerable sobre los exmenes manuales. Como tal, es esencial que las organizaciones promuevan las mejores prcticas en las pruebas de seguridad y capaciten a sus equipos de desarrollo de software en la implementacin de pruebas automatizadas.
Prueba basada en protocolo

Las pruebas de seguridad basadas en el protocolo son un mtodo que utiliza un protocolo de comunicacin de programas como base de la prueba. Este mtodo es til al probar aplicaciones basadas en la web o cdigo basado en Internet. Este tipo de prueba es muy importante porque el protocolo utilizado por las aplicaciones web proporciona la forma ms fcil para que los atacantes remotos accedan a ellos. Las herramientas de caja negra BSIS y el portal BSI proporcionan ejemplos de pruebas de seguridad basadas en protocolo.

Entre los beneficios de este mtodo est la capacidad de identificar el acceso no autorizado a los recursos privilegiados. Tambin puede identificar datos cifrados o archivos de copia de seguridad en caso de fallas del sistema. A diferencia de los mtodos tradicionales, las pruebas de seguridad basadas en el protocolo aseguran que la informacin se encripte en trnsito y se presenta segn los privilegios de los usuarios. Tambin rastrea las solicitudes de acceso denegadas con una direccin IP y una marca de tiempo. Las pruebas de seguridad basadas en protocolo ayudan a identificar fallas de seguridad en aplicaciones basadas en la web.
Ingeniera social

Una forma de aumentar la efectividad de sus pruebas de seguridad es mediante el uso de tcnicas de ingeniera social. La ingeniera social es un tipo de evaluacin de seguridad que utiliza tcnicas y tcticas para encontrar defectos en las defensas de seguridad de una organizacin. Usando informacin disponible pblicamente, los piratas informticos pueden usar estas tcnicas para obtener acceso no autorizado a los sistemas de compaa. Este tipo de pruebas de seguridad requiere un objetivo bien definido y reglas de compromiso. Adems, es esencial contratar una empresa de prueba de seguridad de buena reputacin con experiencia en este tipo depruebas .

Para empezar, los ingenieros sociales pretenden ser lo real para engaar a su objetivo para que proporcionen informacin o asistencia confidencial. Por ejemplo, pueden llamar a los nmeros aleatorios dentro de una organizacin, hacindose pasar por una persona de soporte tcnico que quiere ayudar a una persona con un problema tecnolgico legtimo. Tambin pueden pedirle al objetivo que escriba comandos que iniciarn malware en su computadora. Adems de esto, pueden intentar fingir una relacin en lnea para obtener informacin confidencial de la persona.
Prueba de penetracin de la caja gris

Las pruebas de penetracin de Gray-Box es una tcnica que combina el anlisis de caja en blanco y negro para probar la seguridad de la infraestructura y el software de TI. Este artculo explicar los conceptos bsicos de las pruebas de cajas grises, cmo se usa y cmo difiere de las pruebas tradicionales de penetracin de cajas negras. Para obtener informacin adicional sobre las pruebas de penetracin de Gray-Box, consulte el sitio web de Sciencesofts. Aqu hay tres beneficios principales de las pruebas de grises.

Un Pentester de Gray-Box es un probador con acceso a un sistema, como un usuario o permisos elevados. Un Pentester de Gray-Box generalmente tiene una comprensin profunda de las internas de las redes, incluida la documentacin de diseo y una cuenta dentro de la red. Adems, este tipo de prueba est altamente integrado en el proceso de ciclo de vida del desarrollo de software. Cuando se realiza correctamente, las pruebas de cajas grises pueden ser altamente efectivas.
Costo

Las pruebas de seguridad pueden ayudar a detectar fallas en un sistema de informacin y garantizar que contine funcionando segn lo previsto. Es importante tener en cuenta que un sistema que pasa las pruebas de seguridad no significa que est libre de vulnerabilidades o que cumpla con los requisitos de seguridad. Sin embargo, los resultados de una prueba de seguridad proporcionarn informacin valiosa sobre las vulnerabilidades en un sistema y ayudarn a determinar el mejor curso de accin. Aqu hay algunas formas en que las pruebas de seguridad pueden ayudar a reducir los costos:

Los costos de una prueba de penetracin varan mucho. La complejidad de una prueba de penetracin ser mayor para una pequea aplicacin web que para una red interna grande. La tasa tambin depender del tipo de prueba de penetracin realizada y el nmero de servidores de red y aplicaciones. Cuanto mayor sea la complejidad de la prueba, mayores sern los costos. El alcance de una prueba de penetracin tambin determinar la duracin de la prueba. Una prueba de penetracin bsica es menos costosa que las pruebas ms detalladas, como una red ms compleja o una aplicacin mvil.