El crecimiento de las pruebas de penetración en Europa supera al de Estados Unidos

Una prueba de penetración es un ataque de seguridad simulado, esencialmente un ejercicio de guerra que una empresa realiza contra su propio sistema para verificar la existencia de vulnerabilidades explotables. Con un enfoque en la seguridad de los firewalls de aplicaciones web, la prueba de penetración se centra en los servidores, las interfaces de programación de aplicaciones y cualquier punto de entrada vulnerable.

Un informe realizado por la firma de seguridad Pentera sobre la implementación de pruebas de penetración en los Estados Unidos y Europa reveló que el 92% de las organizaciones están aumentando sus presupuestos totales de seguridad informática. El 86% está aumentando específicamente el presupuesto destinado a las pruebas de penetración.

Sin embargo, los presupuestos de las pruebas de penetración y de seguridad informática están creciendo a un ritmo más importante en Europa que en los Estados Unidos. Según el informe, el 42% de los encuestados en Europa informaron un aumento en su presupuesto para pruebas de penetración de más del 10%, en comparación con el 17% de los encuestados en los Estados Unidos. Según algunas estimaciones, se espera que el mercado de las pruebas de penetración crezca un 24,3% hasta 2026, liderado por los principales actores del sector como IBM, Rapid7, FireEye, Veracode y Broadcom.

Pentera, que automatiza la validación de seguridad para las empresas, encuestó a 300 ejecutivos de seguridad que ocupan cargos de vicepresidente o nivel C. Los encuestados fueron reclutados a través de un panel de investigación global B2B y se les invitó por correo electrónico a completar la encuesta en diciembre de 2022.

La nube y los servicios de infraestructura son el enfoque principal de las pruebas de penetración

El estudio de Pentera reveló que, en promedio, las empresas tienen 44 soluciones de seguridad implementadas, lo que indica una estrategia de defensa en profundidad, donde se superponen múltiples soluciones de seguridad para proteger mejor los activos críticos. A pesar de las grandes inversiones en estas estrategias de "defensa en profundidad", el 88% de las organizaciones encuestadas por Pentera han sufrido recientemente ciberataques.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

La encuesta ofreció un desglose de las capas de infraestructura más probadas:

• Infraestructura y servicios en la nube (44%).
• Activos expuestos al exterior (41%).
• Red central (40%).
• Aplicaciones (36%).
• Directorio activo y evaluación de contraseñas (21%).

Las principales motivaciones de los encuestados para realizar pruebas de penetración son:

• Control y validación de seguridad (41%).
• Evaluación del daño potencial de un ataque (41%).
• Seguro cibernético (36%).
• Cumplimiento normativo (22%).

"Concluimos que los CISO deben poner un mayor énfasis en la validación de todo el conjunto de seguridad para garantizar que puedan reducir eficazmente su exposición", dijo Aviv Cohen, director de marketing de Pentera.

La mayoría de los CISOs comparten los resultados de las pruebas de penetración con IT de inmediato

Según Pentera, el 47% de los directores de seguridad de la información encuestados afirmaron compartir de inmediato los resultados con su equipo de seguridad informática. Si bien puede parecer un número bajo dada las posibles implicaciones para la integridad operativa, Chen Tene, vicepresidente de operaciones de clientes de Pentera, dijo que es una mejora significativa en comparación con el pasado, cuando las pruebas de penetración eran solo una formalidad para cumplir los requisitos de cumplimiento.

"Antes, las personas obtenían resultados basados en el cumplimiento y los guardaban en una caja para la certificación", dijo Tene. "Ahora, ha habido una mejora considerable, en parte porque más personas se centran en el seguro cibernético, algo que entienden".

Una empresa, Coalition, una empresa de ciberseguridad y seguros, no requiere ejercicios de pruebas de penetración para suscribir una póliza de seguro, según Tommy Johnson, ingeniero de seguridad de la compañía.

Cómo proteger tu computadora de los virus: métodos y consejos

"Si bien puede demostrar que una organización tiene un programa de seguridad maduro y que está pensando en la seguridad de manera integral, no lo consideramos un factor determinante. Para nosotros, es una señal positiva. Lo incentivamos", dijo Johnson.

Otras personas y grupos a los que los directores de seguridad de la información entregan de inmediato los resultados de las pruebas de penetración incluyen:

• Junta directiva (43% de los CISOs acuden a ellos primero).
• Colegas de la alta dirección (38%).
• Clientes (30%).
• Reguladores (20%).
• Arcas de documentos (9%).
• Ninguna parte (3%).

Barreras y resistencia a la piratería ética

¿Podría la prueba de penetración interrumpir las operaciones? Los CISOs se preocupan por eso. De hecho, el 45% de aquellos que ya realizan pruebas de penetración, ya sea manual o automatizada, afirmaron que el riesgo para las aplicaciones comerciales o la disponibilidad de la red les impide aumentar la frecuencia de las pruebas. Además, el 56% de los encuestados que ni siquiera realizan pruebas de penetración expresaron ese sentimiento. La disponibilidad, o más bien la falta de disponibilidad, de profesionales con experiencia en pruebas de penetración fue la segunda razón más importante para no realizar las pruebas.

Tene admitió que la preocupación por la interrupción es legítima.

"Muchas organizaciones sufren interrupciones debido a las pruebas de penetración", dijo Tene. "Cuando un experto en pruebas de penetración ingresa en una organización y realiza pruebas intrusivas, siempre existe el potencial de crear diferentes niveles de denegación de servicio, por ejemplo. Sin embargo, cuando hay una persona frente a un administrador, existe un margen de error".

Tene dijo que las pruebas de penetración automatizadas, el núcleo del negocio de Pentera, ofrecen beneficios en términos de velocidad y eficiencia, lo que facilita mantener una frecuencia regular de pruebas para diversas acciones, desde hackear contraseñas y movimientos laterales en una red hasta diferentes tipos de explotación y explotación cruzada.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Afirmó que, aunque "tener una persona es genial", contratar equipos de piratas éticos para realizar pruebas de penetración de forma regular no está al alcance del presupuesto de muchas empresas. Según el estudio, el 33% de los encuestados en los Estados Unidos citaron esto como una razón por la que no realizan evaluaciones de pruebas de penetración manuales más frecuentes.

"Una persona puede realizar dos o tres acciones al mismo tiempo, pero una máquina puede realizar 10 o 15 acciones simultáneamente", dijo Tene.

Prueba de penetración vs prueba de equipo rojo: similitudes y diferencias

Puede ser tentador confundir las pruebas de penetración con las pruebas de equipo rojo, pero aunque hay cierta superposición, también hay diferencias clave, según Johnson.

"Por lo general, la prueba de penetración se realiza para buscar configuraciones incorrectas o vulnerabilidades técnicas en los activos de red dentro del alcance y confirmarlos mediante la explotación real", explicó Johnson. "El equipo rojo es más específico.

"Por lo general, implica un equipo que explota debilidades técnicas y físicas para lograr un objetivo que causaría daño a una organización si un actor amenazante hiciera lo mismo".

Por ejemplo, la alta dirección puede dirigir al equipo rojo a intentar ingresar a un centro de datos y colocar un dispositivo USB malicioso en un servidor específico de la empresa. Este ejercicio puede involucrar ingeniería social, clonación de tarjetas de identificación, explotación técnica y otras tácticas que generalmente están más allá del alcance de una prueba de penetración estándar.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

"Las pruebas de equipo rojo y las pruebas de penetración tienen cierta superposición, pero para mí, la diferencia clave es el objetivo: una prueba de penetración generalmente está diseñada para enumerar y explotar debilidades técnicas, mientras que un ejercicio de equipo rojo explota debilidades físicas y técnicas para lograr algún objetivo predefinido. Sin embargo, ambos están diseñados para resaltar fallas de seguridad que probablemente deben remediarse de inmediato.

¿Qué impulsará las pruebas de penetración en 2023?

Gartner predijo en octubre de 2022 que el gasto en productos y servicios de gestión de riesgos y seguridad de la información crecería un 11,3% para superar los $ 188,3 mil millones este año.

Pentera informó que el 67% de los CISO reportaron tener equipos internos de equipo rojo, pero que el 96% de los ejecutivos de seguridad afirmaron que para fines de 2023 ya tendrán o planean tener un equipo interno de equipo rojo para esta tarea crítica.

Tene dijo que en un futuro cercano, la seguridad de la infraestructura en la nube mejorará significativamente.

"Las empresas dependen de la nube, pero los niveles de seguridad son desconocidos y hay muy pocos profesionales de seguridad que sepan cómo examinarla", dijo Tene.

Tene también predijo que persistirán problemas relacionados con la exposición de credenciales en superficies de amenaza caracterizadas por el acceso remoto al espacio de trabajo, ya sea a través de VPN, buzones de correo, teléfonos o redes domésticas.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

"Este es el punto de partida para casi todos los ataques", dijo Tene. "Sin embargo, creo que la comprensión conceptual de la seguridad en torno a las credenciales mejorará considerablemente y habrá una conciencia mucho mayor en torno al control de la identidad en las operaciones diarias".

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El crecimiento de las pruebas de penetración en Europa supera al de Estados Unidos , tenemos lo ultimo en tecnología 2023.