Pen Testing as a Service (PTaaS) es un servicio en la nube que proporciona a los profesionales de tecnología de la información (TI) los recursos que necesitan para realizar y actuar sobre pruebas de penetración continuas y puntuales. El objetivo de PTaaS es ayudar a las organizaciones a crear programas de gestión de vulnerabilidades exitosos que puedan encontrar, priorizar y remediar las amenazas de seguridad de forma rápida y eficiente.
En seguridad de TI, es una práctica común que las empresas contraten probadores de sombrero blanco de buena reputación para que entren y busquen de manera proactiva vectores de ataque que puedan ser explotados. Invitar a una entidad externa a intentar violar una red, un servidor o una aplicación puede parecer contradictorio, pero también es una de las mejores formas de identificar y remediar problemas de seguridad difíciles de detectar.
Términos a saber: prueba de penetración; servicio de almacenamiento en la nube; gestión de vulnerabilidades; sombrero blanco; vector de ataque
Cómo funciona PTaaS
En los viejos tiempos, antes de la computación en la nube, los resultados de las pruebas de penetración se entregaban después de la conclusión del período de prueba. Si bien la información fue útil, la naturaleza histórica de los datos a menudo dificultaba que los equipos de seguridad internos priorizaran y corrigieran los resultados de las pruebas.
Las pruebas de lápiz automatizadas realizadas a través de un modelo de entrega de software como servicio (SaaS) pueden solucionar este problema al permitir que los clientes vean sus datos en tiempo real en un panel ejecutivo que muestra todos los datos relevantes antes, durante y después de que se realiza la prueba. Al igual que los servicios tradicionales de pruebas de penetración, los proveedores de PTaaS también brindan a sus clientes recursos para analizar vulnerabilidades y verificar la efectividad de una corrección. Por lo general, los proveedores de PTaaS brindan a sus clientes una base de conocimientos para ayudar a los equipos de seguridad internos con las remediaciones y, como valor agregado, algunos proveedores brindan asistencia opcional de los probadores reales que descubrieron una vulnerabilidad.
PTaaS es ideal para organizaciones de cualquier tamaño. La mayoría de las plataformas son muy flexibles y pueden adaptarse a todo, desde un programa de pruebas completo hasta funciones de informes personalizadas para clientes cuyos requisitos normativos plantean una gran carga de cumplimiento.
La prueba de lápiz como servicio no debe confundirse con la prueba de lápiz en la nube. PTaaS es una plataforma de entrega, mientras que las pruebas de lápiz en la nube buscan identificar brechas de seguridad en una infraestructura de nube específica.
Términos que debe conocer: computación en la nube; software como servicio; tiempo real; tablero ejecutivo; analizar gramaticalmente; base de conocimientos; Cumplimiento normativo; carga de cumplimiento
Beneficios de las pruebas de penetración como servicio
Uno de los mayores beneficios de PTaaS es el control que le brinda al cliente. Las empresas con menos experiencia en la industria de la seguridad obtienen un socio y una plataforma que les proporciona todo lo que necesitan para desarrollar un programa exitoso de gestión de amenazas y vulnerabilidades.
Además de presentar el progreso y el estado de todos los compromisos abiertos, las plataformas en la nube de PTaaS facilitan a los clientes la solicitud y el alcance de nuevos compromisos. Otros beneficios incluyen:
Opciones de compra flexibles: Los servicios de prueba de penetración automatizados, manuales e híbridos se pueden presupuestar y adquirir a través de una suscripción mensual, trimestral o anual o según sea necesario.
Acceso continuo a datos en tiempo real: A medida que una vulnerabilidad o exploit existente evoluciona con el tiempo, los datos relacionados con ella se actualizan.
Opciones de informes flexibles: Muchas plataformas de PTaaS pueden agregar y correlacionar hallazgos de múltiples fuentes y proporcionar conjuntos de resultados que satisfagan las necesidades de múltiples partes interesadas.
Automatización: Los flujos de trabajo automatizados hacen que el escaneo de vulnerabilidades para redes externas y aplicaciones web no autenticadas sea más fácil de realizar
Términos a conocer: alcance del proyecto; exploit de seguridad; agregar; Interesado; escaneo de vulnerabilidades de red
Desafíos de usar PTaaS
Cuando la orquestación de vulnerabilidades está automatizada, los clientes pueden administrar el presupuesto y los recursos internos de manera más eficiente, lo que a su vez, les permite ejecutar más pruebas. Sin embargo, algunas empresas no están en condiciones de gestionar ciclos de pruebas adicionales.
Los programas de seguridad más nuevos y con fondos insuficientes a veces tienen dificultades para remediar las vulnerabilidades descubiertas durante las pruebas de penetración anuales, y mucho menos las pruebas semanales, mensuales o trimestrales. Debido a que los presupuestos de seguridad son finitos en muchas organizaciones, puede ser difícil justificar los costos adicionales de pruebas adicionales y esfuerzos de corrección.
Qué buscar en un proveedor de PTaaS
Hay algunos elementos centrales que los clientes potenciales deben tener en cuenta al evaluar los servicios de pruebas de penetración automatizados, manuales o híbridos, incluida la reputación y el historial del proveedor.
Además de proporcionar una biblioteca sólida para instrucciones de corrección, otras características notables del producto incluyen:
- La capacidad de agregar y correlacionar datos de múltiples fuentes.
- La capacidad de que varios evaluadores trabajen simultáneamente en el mismo proyecto y combinen los hallazgos en un solo espacio de trabajo para generar informes.
- La capacidad de normalizar la confianza y la gravedad en los escáneres para mejorar los resultados y reducir los falsos positivos.
- La capacidad de generar informes en múltiples formatos de archivo.
- La capacidad de personalizar plantillas de informes para tipos específicos de pruebas.
- La capacidad de rastrear tendencias a lo largo del tiempo y monitorear el tiempo de finalización de la corrección.
- La capacidad de integrar los informes con los sistemas de gestión, riesgo y cumplimiento (GRC) y emisión de tickets de la empresa.
Términos que debe conocer: gestión de la reputación; Biblioteca; formato de archivo; plantilla
El panorama de proveedores de PTaaS
Los proveedores notables en el espacio de PTaaS incluyen actualmente:
NetSPI: según su sitio web, NetSPI es una de las principales empresas de pruebas de penetración y proveedor de soluciones de ciberseguridad en la que confían 7 de los 10 principales bancos de EE. UU.
Cobalt.io: según su perfil de LinkedIn, Cobalt.io es una plataforma de Pentest como servicio y un motor de gestión de vulnerabilidades bajo demanda.
Breachlock: según su sitio web, la plataforma en la nube de BreachLock permite a los clientes ejecutar escaneos automatizados y solicitar pruebas manuales y nuevas pruebas con un solo clic.
Synack: de acuerdo con su sitio web, Synack realiza un crowdsourcing de su plataforma de pruebas de seguridad.
Praetorian: según su sitio web, Praetorian ayuda a sus clientes a encontrar, arreglar, detener y resolver problemas de ciberseguridad en una empresa o cartera de productos.