Diferencia entre pruebas de penetración y evaluación de vulnerabilidades
1. Te preguntaste….
Quiero asegurarme que en mi servidores no existen
vulnerabilidades entonces… voy hacer un escaneo de
vulnerabilidades o un penetration test?? Cual es la diferencia?
Respuesta:
Pruebas de Penetración vs Evaluación de la Vulnerabilidad/ Vulnerability
Assessment
Parece haber un cierto grado de confusión en la industria de seguridad acerca de la
diferencia entre la las Pruebas de Penetración y Evaluación de la Vulnerabilidad, que
se clasifican a menudo como la misma cosa cuando en realidad no lo son.
Sé que (Penetration Testing suena mucho más emocionante, pero la mayoría de la
gente realmente quiere una evaluación de la vulnerabilidad no pentest , muchos
proyectos se etiquetan como pentest cuando en realidad son 100% Evaluación de la
Vulnerabilidad.
Una prueba de penetración se compone principalmente de una evaluación de la
vulnerabilidad, sino que va un paso más ..
2. Te preguntaste….
Respuesta: (cont)
Una prueba de penetración es un método para evaluar la seguridad de un sistema
informático o red mediante la simulación de un ataque de un hacker malicioso. El
proceso implica un análisis activo del sistema de posibles deficiencias, fallas técnicas
o vulnerabilidades. Este análisis se realiza desde la posición de un atacante potencial,
y puede implicar la explotación activa de vulnerabilidades de seguridad. Cualquier
problema de seguridad que se encuentran se presentará al propietario de la red junto
con una evaluación de su impacto y, a menudo con una propuesta de mitigación o una
solución técnica.
Una evaluación de vulnerabilidad es lo que suelen hacer la
mayoría de empresas, como los sistemas que se están
probando son sistemas activos de producción y no se puede
permitirse el lujo de ser interrumpido por exploits activos
que puedan bloquear el sistema.