Pentesting: zer den eta zergatik den funtsezkoa zibersegurtasunean

Azken urteotan, erakundeek beren segurtasun-neurriak indartu dituzte firewall-ekin, lanpostua babesteko sistemekin, monitorizazioarekin eta barne-politikekin. Hala ere, segurtasun-kontrolak izateak ez du beti bermatzen kontrol horiek espero den bezala funtzionatuko dutenik benetako eraso baten aurrean.

Testuinguru horretan, pentestinga, edo sartze-proba, ohiko praktika bihurtu da sistemen eta azpiegituren benetako esposizio-maila ebaluatzeko, eragile gaizto batek egin litzakeen antzeko eraso kontrolatuak simulatuz.

Zer da pentesting bat?

Pentesting bat segurtasun-proba kontrolatu bat da, eta sistemak, sareak edo zerbitzuak arriskuan jartzeko ustia daitezkeen ahulezia teknikoak identifikatzea du helburu.

Beste analisi teoriko batzuetan ez bezala, pentestinga benetako erasoen simulazioan oinarritzen da, betiere irismen jakin batekin eta erakundearen berariazko baimenarekin. Emaitza ez da hutsegiteen zerrenda bat soilik, benetan ustiatu daitezkeen arriskuen ikuspegi praktiko bat ere bada.

Zer motatako penetrazio-probak daude?

Sartze-probak bi irizpide nagusiren arabera sailka daitezke: probak zer sarbide-puntutatik egiten diren eta inguruneari buruz zer informazio-maila dagoen.

Sarbide-puntuaren arabera
		KANPOKO PENTESTING-A Internetetik eskura daitezkeen sistemen eta zerbitzuen azalpena ebaluatzen du.
		BARNEKO PENTESTING-A Sare korporatibotik sartzeko agertokiak simulatzen ditu, hala nola barne-erabiltzaile bat edo gailu konprometitu bat.
Eskuragarri dagoen informazio-mailaren arabera
		KUTXA BELTZA Ekipoa inguruneari buruzko aurretiazko informaziorik gabe abiatzen da.
		KUTXA GRISA Informazio partziala dago, hala nola kredentzial mugatuak edo oinarrizko dokumentazioa.
		KUTXA ZURIA Sistemari eta haren arkitekturari buruzko informazio osoa dago.

Zer ematen du pentesting batek?

Pentesting batek aukera ematen du egiaztatzeko, baldintza kontrolatuetan, zer ahultasun ustia daitezkeen eta zer eragin izango luketen. Akats teknikoak identifikatzeaz gain, ikuspegi argia ematen du arriskuak lehenesteko eta erabaki informatuak hartzeko lehenengo zuzenketari eta zergatiari buruz.

Zer hartu behar da kontuan pentesting bat egitean?

Edozein proba teknikotan bezala, pentestingak une jakin bateko segurtasun-egoeraren ikuspegi zehatza eskaintzen du. Definitutako irismenera egokitzen da, eta ez du etengabeko monitorizazioa eta segurtasunaren kudeaketa globala ordezten; beraz, estrategia zabalago baten barruko osagarritzat hartu behar da.

Pentestinga segurtasun esparru finkatuetan

ISO/IEC 27001 edo Segurtasun Eskema Nazionala (ENS) bezalako erreferentzia-esparruetan, pentestinga ez da berez nahitaezko baldintza, baina bai arriskuak identifikatzen, aztertzen eta tratatzen laguntzeko ohiko jardunbide bat. Proba horiei esker, ezarritako neurri teknikoek modu eraginkorrean funtzionatzen dutela eta hondar-arriskuak espero den segurtasun-mailarekin koherenteak direla egiazta daiteke.

Pentesting-a funtsezko tresna da sistemen eta azpiegituren benetako esposizio-maila ezagutzeko eta segurtasuna ikuspegi praktiko batetik indartzeko.

Modu egokian erabilita, ebidentzia objektiboak ematen ditu, erakunde baten segurtasuna hobetzen laguntzen dutenak, zibersegurtasuneko estrategia zabalago baten barruan.