Herramientas vs talento humano

En una galaxia no tan lejana, existía una organización preocupada por la seguridad informática. Después de una evaluación ardua la organización decidió comprar una herramienta de varios miles de dólares para realizar pruebas de seguridad intrusivas a sus sistemas críticos. Al término de varias iteraciones de pruebas y remediación de vulnerabilidades, la herramienta no pudo detectar más huecos de seguridad. Al llegar a este punto uno de los miembros de la organización no se sentía completamente seguro de los resultados obtenidos. Después de algunas reuniones logró convencer a la organización de contratar los servicios de un grupo de hacker éticos para realizar un estudio. A lo largo de dos semanas este grupo detectó algunas vulnerabilidades que permitían comprometer los servidores más críticos de la organización.

En la actualidad en el mercado existen muchas excelentes herramientas de escaneo de vulnerabilidades y pruebas de penetración. Estas herramientas ayudan a minimizar exponencialmente el tiempo del descubrimiento de vulnerabilidades; esto debido a que tienen vectores bien definidos de descubrimiento y explotación, por lo cual ayudan a tener un acercamiento muy rápido a las siguientes fases de un análisis:

Descubrimiento de objetivos.
Identificación de objetivos.
Identificación de servicios y versiones.
Descubrimiento de vulnerabilidades.
Explotación de vulnerabilidades de manera automatizada (Basada en vectores de ataque estáticos de la herramienta).
Creación de recomendaciones técnicas.

Por otro lado existe el talento o factor humano. El cual mediante experiencia, raciocinio, asimilación y comprensión de conocimiento, puede llevar a este tipo de proyectos a más altos niveles de Análisis de Seguridad y no simplemente en descubrimiento y explotación. El talento humano nos permite realizar fases como son:

Descubrimiento de vulnerabilidades no lineales.
Análisis de vulnerabilidades descubiertas.
Creación de vectores de ataque dinámicos.
Explotación de vulnerabilidades de manera dinámica.
Elaboración de planes tácticos de remediación.
Elaboración de recomendaciones técnicas, de procesos y gente.

Cuando se logra crear una sinergia entre herramientas y talento humano, se crea un equipo altamente eficaz en los análisis de seguridad, mezclar velocidad de descubrimiento, con vectores de ataque dinámicos permite llegar a planes tácticos de remediación, vistos desde los modelos de tecnología, procesos y gente, lo cual considero como un verdadero análisis de seguridad.

[email protected]

Lecturas adicionales:

Pen testing techniques
Tools vs. talent

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Herramientas vs talento humano

Deja tu comentario