La gestión de la superficie de ataque es, sin lugar a dudas, un gran reto en la actualidad. Y, cada vez más, existe una brecha entre los nuevos activos, a menudo no gestionados, y los que se incluyen en los inventarios para las pruebas de penetración (pentesting). De hecho, según datos de ESG, el 69% de las organizaciones ha sufrido un ataque que comenzó con un activo desconocido o no gestionado. Según estos datos, solo el 9% de las organizaciones monitoriza el 100% de su superficie de ataque, mientras que otros señalan que casi el 60% de las grandes organizaciones monitoriza menos del 10% de sus activos.
La automatización ha permitido entrar en una nueva era con la progresiva implantación de una nueva generación de sistemas de pentesting. Pero, al mismo tiempo, las ciberamenazas evolucionan de manera vertiginosa, aprovechando también los avances tecnológicos. Los modelos tradicionales ya no sirven. Como alternativa, en la actualidad la tendencia más destacada es el pentesting como servicio (PTaaS).
¿Qué es PTaaS y cómo difiere del pentesting tradicional?
Las pruebas de penetración existen desde hace décadas. Típicamente han sido procesos basados en proyectos puntuales, complejos, no más que una o dos veces al año, que sólo en contados casos se ejecutan periódicamente y que suelen producir informes estáticos para poco más que satisfacer a los reguladores.
Afortunadamente, las organizaciones están pasando página y buscan soluciones más efectivas y completas, así como un proveedor que pueda atender a sus requerimientos. Y, en este sentido, el pentesting como servicio permite realizar al instante pruebas de penetración flexibles y escalables, en cualquier momento. De hecho, Gartner estima que para 2026, las organizaciones que utilizan PTaaS realizarán su pentesting 10 veces más frecuentemente y remediarán 2 veces más rápido que las que utilizan pentesting manual.
Básicamente, PTaaS mejora el pentesting tradicional ofreciéndolo como servicio basado en suscripción o bajo demanda. Esto significa que las organizaciones pueden acceder a estos servicios sin tener de mantener equipos internos, e incluso hacer pruebas diariamente.
El modelo PTaaS añade elementos clave como los siguientes:
- Monitorización en vivo. En el pasado, los resultados sólo se entregaban una vez concluido el período de prueba. El modelo SaaS soluciona este problema al permitir a las organizaciones ejecutar pruebas automatizadas y ver datos bajo demanda.
- Integración con los procesos de DevOps. PTaaS se integra con en el ciclo de vida de desarrollo (SDLC), con la opción de probar aplicaciones desde DevSecOps de forma temprana y seguir haciéndolo a fin de resolver los problemas a medida que ocurren.
- Triaje de vulnerabilidades. El proceso ideal incluye dos pasos: primero, los testers verificarán y clasificarán todos los datos y enviarán al cliente informes completos y procesables. Asimismo, ofrecerán orientación sobre cómo abordarlo de manera efectiva.
- Verificación de parches. Con el modelo PTaaS, el cliente puede solicitar sencillamente, en modo online, la verificación de cada proceso para potenciar la efectividad de los esfuerzos de remediación.
- Informes procesables. PTaaS optimiza el control de funciones y configuraciones desde una consola centralizada con sencillos dashboards. Los informes generados incluyen un resumen ejecutivo, una visión técnica detallada y recomendaciones de mitigación.
Qué pedirle a tu proveedor de PTaaS
- Pentesting en días, no en semanas o meses. Las pruebas de seguridad con PTaaS se pueden iniciar en días. De hecho, las plataformas más modernas permiten iniciar una prueba con solo un clic y crear evaluaciones online para obtener detalles sobre alcance, autenticación, programación, vulnerabilidades y reglas de participación.
- Pentesting continuo, pruebas internas o externas, pruebas puntuales bajo demanda, asset discovery, informes sobre vulnerabilidades en tiempo real… PTaaS debe ofrecer la versatilidad necesaria para ejecutar cualquier prueba, al instante, bien en modo autoservicio o bien con el apoyo del equipo de testers, con un total control sobre las pruebas, incluyendo la opción de detener o pausar una prueba.
- Precisión. Las pruebas PTaaS se integran con el ciclo de vida de desarrollo de software, lo que aporta una precisión mucho Especialmente idóneo, por ejemplo, si se ha ampliado la organización, o si se va a lanzar un nuevo servicio y es preciso realizar una prueba de seguridad en unos días y no en unos meses.
- Factor humano. La experiencia humana ofrece la flexibilidad y creatividad necesarias para detectar vulnerabilidades y amenazas sofisticadas que la automatización suele pasar por alto. Las plataformas más sofisticadas aprovechan una mayor diversidad de testers, modelos de basados en incentivos, etc. Algunos, incluso, permiten a la empresa conectar directamente con los ingenieros de
Lo más reciente: discovery continuo de superficie de ataque
Cada vez más, las organizaciones están invirtiendo en soluciones de Gestión de Superficie de Ataque Externa (EASM) para descubrir activos desconocidos. Pero la tendencia más reciente para por mejorar estas plataformas con capacidades de discovery de superficie de ataque (ASD), que hacen que los datos de discovery sean procesables, de forma que el sistema proporciona información sobre activos no probados y los añade automáticamente a la lista de activos de la organización para su posterior identificación e investigación.
Todo se realiza a través de un modelo de permisos personalizados con controles de acceso a grupos de activos basados en roles. Además de clasificar activos, estos sistemas de discovery continuo incluyen otras opciones como clasificación de vulnerabilidades, segundas pruebas o análisis de causa raíz.
En definitiva, los equipos de seguridad siguen luchando por comprender su superficie de ataque en base a los datos con los que cuentan para mejorar su postura de seguridad. Las prestaciones de pentesting como servicio ofrecen agilidad, flexibilidad, precisión y un modelo de consumo totalmente as a Service.
La entrada Pentesting como servicio: democratizando las pruebas de penetración de seguridad es original de MuySeguridad. Seguridad informática.