El informe de la prueba de penetración parece limpio. Ese puede ser el problema.
Si ejecuta pruebas de penetración automatizadas durante un período de tiempo suficientemente largo, los nuevos descubrimientos comenzarán a agotarse. En la tercera o cuarta ejecución, ocurren menos problemas. Los informes parecen estables. En el liderazgo, «estabilidad» se lee como «seguridad». Generalmente no. El trabajo llegará tarde. No hay riesgo.
El seminario web Hacker News con Picus Security busca cerrar esta brecha.
Autumn Stambaugh y Can Yüceel se unen al presentador James Azar para mostrarle qué examina la herramienta, dónde detenerse y cómo cerrar todo lo que la herramienta deja abierto. Regístrese para el seminario web.
Empecemos por la cuestión central. Un informe plano podría significar que se han solucionado defectos obvios. También puede significar que la herramienta ha alcanzado el límite de lo que puede ver. Las pruebas de penetración automatizadas a menudo se tratan como una validación de seguridad completa. que no es.
Picus estructura la validación en seis facetas y coloca pruebas de penetración automatizadas en una de ellas: el vector de ataque, o si un atacante puede moverse a través del entorno. Por lo tanto, los cinco restantes aún no han sido probados, incluidas las reglas de descubrimiento, la configuración de la nube, los controles de identidad y las barreras de seguridad de la IA. El ajuste puede hacer que los análisis sean más claros, pero no puede convertir las pruebas de la ruta de ataque en detección o validación en la nube.
Esta es la parte que la mayoría de los equipos pasan por alto. Si una herramienta explota la tecnología, no hay forma de saber si se activó una regla SIEM o si un EDR generó una alerta. Esto podría demostrar que es posible el volcado de credenciales o el movimiento lateral.
Esto todavía no nos dice si el EDR lo bloqueó, el SIEM lo registró o si el SOC tenía suficiente señal para actuar. Demuestre que el camino existe. No se sabe si atraparon al atacante que lo usó.
Ese es el riesgo. Confunden un camino alcanzable con un camino protegido. Reserva tu asiento para la sesión.
BAS y las pruebas de penetración automatizadas responden a diferentes preguntas
Las simulaciones de infracciones y ataques preguntan si los controles reaccionan ante comportamientos conocidos (bloquear, detectar, registrar o fallar). Las pruebas de penetración automatizadas preguntan hasta dónde puede llegar un atacante a través de una ruta explotable. Cambiar uno por otro elimina la brecha del informe, no el medio ambiente.
La cuestión práctica es la priorización. Incluso si la herramienta prueba la existencia de un camino, si el control ya lo ha bloqueado o detectado, su descubrimiento puede no ser tan urgente como algo que opera silenciosamente. Sin la validación de los controles, los equipos clasifican los riesgos faltando la mitad de la evidencia. Este es el tema central de la sesión. Convierte una pila de hallazgos en una cola clasificada en función de si el control realmente capturó el comportamiento.
Si las pruebas de penetración automatizadas se tratan como un programa de validación completo, esta es la primera brecha a verificar. Regístrese para el seminario web.
Source link
