Pruebas de seguridad

Las pruebas de seguridad son un proceso destinado a detectar fallas en los mecanismos de seguridad de un sistema de información y, como tal, ayudar a permitirle proteger los datos y mantener la funcionalidad según lo previsto. ^[1] Debido a las limitaciones lógicas de las pruebas de seguridad, aprobar el proceso de pruebas de seguridad no es una indicación de que no existan fallas o de que el sistema satisfaga adecuadamente los requisitos de seguridad.

Los requisitos de seguridad típicos pueden incluir elementos específicos de confidencialidad , integridad , autenticación , disponibilidad, autorización y no repudio . ^[2] Los requisitos de seguridad reales probados dependen de los requisitos de seguridad implementados por el sistema. Las pruebas de seguridad como término tienen varios significados diferentes y se pueden realizar de varias maneras diferentes. Como tal, una taxonomía de seguridad nos ayuda a comprender estos diferentes enfoques y significados al proporcionar un nivel base desde el cual trabajar.

Confidencialidad

Una medida de seguridad que proteja contra la divulgación de información a partes distintas del destinatario previsto no es de ninguna manera la única manera de garantizar la seguridad.

Integridad

La integridad de la información se refiere a proteger la información para que no sea modificada por partes no autorizadas.

Una medida destinada a permitir al receptor determinar que la información proporcionada por un sistema es correcta.
Los esquemas de integridad a menudo utilizan algunas de las mismas tecnologías subyacentes que los esquemas de confidencialidad, pero normalmente implican agregar información a una comunicación para formar la base de una verificación algorítmica, en lugar de codificar toda la comunicación.
Para comprobar si la información correcta se transfiere de una aplicación a otra.

Autenticación

Esto podría implicar confirmar la identidad de una persona, rastrear el origen de un artefacto, garantizar que un producto es lo que su embalaje y etiqueta dicen ser, o asegurar que un programa informático es confiable.

Autorización

El proceso de determinar si a un solicitante se le permite recibir un servicio o realizar una operación.
El control de acceso es un ejemplo de autorización.

Disponibilidad

Garantizar que los servicios de información y comunicaciones estarán listos para su uso cuando se espera.
La información debe mantenerse disponible para las personas autorizadas cuando la necesiten.

No repudio

En el ámbito de la seguridad digital, el no repudio significa garantizar que un mensaje transferido ha sido enviado y recibido por las partes que afirman haberlo enviado y recibido. El no repudio es una forma de garantizar que el remitente de un mensaje no pueda negar posteriormente haberlo enviado y que el destinatario no pueda negar haberlo recibido.
Un identificador de remitente suele ser un encabezado que se transmite junto con el mensaje y que reconoce la fuente del mensaje.

Taxonomía

Términos comunes utilizados para la prestación de pruebas de seguridad:

Descubrimiento : el objetivo de esta etapa es identificar los sistemas dentro del alcance y los servicios que se utilizan. No se pretende descubrir vulnerabilidades, pero la detección de versiones puede resaltar versiones obsoletas de software o firmware y, por lo tanto, indicar vulnerabilidades potenciales.
Análisis de vulnerabilidades : después de la etapa de detección, se buscan problemas de seguridad conocidos mediante herramientas automatizadas para hacer coincidir las condiciones con las vulnerabilidades conocidas. La herramienta establece automáticamente el nivel de riesgo informado sin que el proveedor de la prueba tenga que realizar ninguna verificación o interpretación manual. Esto se puede complementar con un análisis basado en credenciales que busca eliminar algunos falsos positivos comunes mediante el uso de las credenciales proporcionadas para autenticarse con un servicio (como cuentas locales de Windows).
Evaluación de vulnerabilidades : utiliza el descubrimiento y el análisis de vulnerabilidades para identificar vulnerabilidades de seguridad y ubica los hallazgos en el contexto del entorno en prueba. Un ejemplo sería eliminar los falsos positivos comunes del informe y decidir los niveles de riesgo que se deben aplicar a cada hallazgo del informe para mejorar la comprensión y el contexto empresarial.
Evaluación de seguridad : se basa en la evaluación de vulnerabilidades al agregar una verificación manual para confirmar la exposición, pero no incluye la explotación de vulnerabilidades para obtener más acceso. La verificación puede adoptar la forma de acceso autorizado a un sistema para confirmar la configuración del sistema e implica examinar registros, respuestas del sistema, mensajes de error, códigos, etc. Una evaluación de seguridad busca obtener una cobertura amplia de los sistemas bajo prueba, pero no la profundidad de la exposición a la que podría conducir una vulnerabilidad específica.
Prueba de penetración : la prueba de penetración simula un ataque por parte de un tercero malintencionado. Se basa en las etapas anteriores e implica la explotación de las vulnerabilidades encontradas para obtener más acceso. El uso de este enfoque dará como resultado una comprensión de la capacidad de un atacante para obtener acceso a información confidencial, afectar la integridad de los datos o la disponibilidad de un servicio y el impacto respectivo. Cada prueba se aborda utilizando una metodología consistente y completa de una manera que permite al evaluador utilizar sus habilidades de resolución de problemas, el resultado de una variedad de herramientas y su propio conocimiento de redes y sistemas para encontrar vulnerabilidades que podrían o no ser identificadas por herramientas automatizadas. Este enfoque analiza la profundidad del ataque en comparación con el enfoque de evaluación de seguridad que analiza la cobertura más amplia.
Auditoría de seguridad : impulsada por una función de auditoría y riesgo para analizar un problema específico de control o cumplimiento. Este tipo de trabajo, que se caracteriza por un alcance limitado, podría hacer uso de cualquiera de los enfoques mencionados anteriormente ( evaluación de vulnerabilidad , evaluación de seguridad, prueba de penetración).
Revisión de seguridad : verificación de que se han aplicado estándares de seguridad internos o de la industria a los componentes o productos del sistema. Esto se realiza generalmente mediante un análisis de brechas y utiliza revisiones de compilación y código o mediante la revisión de documentos de diseño y diagramas de arquitectura. Esta actividad no utiliza ninguno de los enfoques anteriores (evaluación de vulnerabilidad, evaluación de seguridad, prueba de penetración, auditoría de seguridad)

Herramientas

Análisis de seguridad de contenedores e infraestructura ^[3]^[4]
SAST - Pruebas estáticas de seguridad de aplicaciones
DAST - Pruebas de seguridad de aplicaciones dinámicas
IAST - Pruebas de seguridad de aplicaciones interactivas ^[5]
DLP - Prevención de pérdida de datos
IDS, IPS - Sistema de detección de intrusiones, sistema de prevención de intrusiones
Escaneo OSS: escaneo de software de código abierto (ver Seguridad de software de código abierto )
RASP - Autoprotección de aplicaciones en tiempo de ejecución
SCA - Análisis de composición de software ^[6]
WAF - Firewall de aplicaciones web

Véase también

Glosario de seguridad de la información nacional

Referencias

^ M Martellini, & Malizia, A. (2017). Desafíos cibernéticos, químicos, biológicos, radiológicos, nucleares y explosivos: amenazas y contraataques. Springer.
^ "Introducción a la seguridad de la información" US-CERT https://www.us-cert.gov/security-publications/introduction-information-security
^ "Estándar de verificación de seguridad de contenedores". GitHub . 20 de julio de 2022.
^ "Seguridad de infraestructura como código - Serie de hojas de referencia de OWASP".
^ "Directriz DevSecOps de OWASP - v-0.2 | Fundación OWASP".
^ "Análisis de componentes | Fundación OWASP".