¿Quieres contratar los servicios de pentesting (pruebas de
seguridad) y no sabes por dónde empezar? No eres el único. Al menos en México
(y creo que es una realidad en otros países) para contratar estos servicios te
basas en “renombre” o “prestigio” de una empresa, o porque la googleaste y su
página se ve “profesional” o bien porque el primo del amigo te la recomendó:
“Esos dudes están re-picudos!”.
No te sientas mal. Seleccionar a una buena empresa de
pentesting es un arte (así como el mismo pentest). No hay un catálogo; un
comparativo completo de un tercero que haya hecho un análisis y te haga una
recomendación medianamente objetiva.
¿Cómo seleccionas a una empresa de pentest para que te venga
a hacer una prueba de seguridad? ¿La que te cobre más? ¿Una gran consultora con
presencia internacional? ¿La que tenga una bonita página web? ¿La que tenga a
su personal certificado CEH? ¿La que tenga consultores de traje y corbata o
bien de jeans y con playera del BlackHat? ¿La que diga que tiene una “amplia
experiencia en este tipo de servicios”?
A continuación me di a la tarea de enlistar algunos
parámetros que te pueden ser de utilidad al momento de contratar estos
servicios. Varios de ellos pueden aplicar también para buscar servicios de
consultoría de seguridad (risk assessment,
threat modeling, etc.).
a. Prueba en Vivo: un examen, pa’ pronto. Arma un ambiente de pruebas,
crea algunos pequeños retos de hacking (o unos de miedo) y que vengan a
demostrar sus habilidades “en sitio”. Quédate y ve cómo se desenvuelven, la
manera en que resuelven los retos, las herramientas usadas y qué platican entre
ellos. Antes de la prueba platícales sólo las generalidades de lo que se va a
evaluar.
Tal vez te dé pena pedir este examen sobre todo si la empresa
tiene candidatos con N credenciales o dicen tener una amplia experiencia, pero
si eres el cliente creo que tienes del derecho de llevarlo a cabo porque es una
forma de evaluar sus competencias.
La prueba en vivo te permitirá tener el “feeling” de los pentesters y no sólo de los vendedores que vinieron a ofrecerte el servicio en
PowerPoint. Yo en las pruebas me he llevado un par de sorpresas con “grandes
consultoras”.
Y claro, se espera que pasen la prueba.
b. Empresa Dedicada a
Pentesting: ¿es una empresa “milusos” o está
dedicada 100% (o mayormente) al pentest? Yo prefiero una empresa lo más
dedicada al pentest que sea posible (y no “integradores” o vendedores de
productos que claro que lo harán si les pagas).
c. Libros Publicados
por los Pentesters: oiga señor, y qué tan involucrado
está usted en seguridad informática y pentest? Si el personal de la empresa ha
publicado un libro de algún tema de seguridad, pues ya de entrada habla bien de
ellos y de la empresa, no?
d. Años de Experiencia: pídele que te diga cuántos años
lleva dedicado a esto del pentest. No te puedo decir cuántos años son
suficientes, eso lo decidirás tú. Para mí serían adecuados un mínimo de 3 años.
e. Blogs, Artículos,
Papers: hablaría bien de los pentesters si
escriben seguido en su blog de seguridad, o mejor aún si han publicado
artículos tipo paper. Digamos que
esta sería otra manera de demostrar su interés
e involucramiento en temas de hackeo ético y demás temas de la SegInfo.
f. Participación en
Conferencias: si me
dices que tus pentesters han dado dos que tres pláticas en BlackHat o DefCon ya
de entrada me tienes comiendo de tu mano. Es correcto decir que no son las únicas conferencias de seguridad y
hackeo; hay varias más a nivel mundial y también nacionales. Revisa en cuáles
han dado sus charlas y evalúalo.
g. Certificaciones
Relevantes de Seguridad: ok, una certificación no lo es todo y conozco muy buenos pentesters que
NO tienen NINGUNA certificación de seguridad o de hackeo. Sin embargo y por
otro lado, si son buenos pentesters no tendrán problema en pasar exitosamente
una que otra certificación, cierto? Además si pasa exitosamente la “Prueba en
Vivo” ya mencionada, esto de las certificaciones puede resultar secundario.
Como nota personal, si me enseñan una CEH lo pondría como un
logro realmente menor; tomé el curso y pasé el examen por lo que puedo decir
que eso de la opción múltiple y el hecho de evaluar habilidades de hackeo no se
llevan muy bien…sin mencionar lo desactualizado de varios de los temas (versión
6) entre otros “peros” del curso y su temario.
Ahora bien, ciérrame la boca y oblígame a hacerte una reverencia
si me muestras tu OSCE (Offensive Security Certified Expert) o tu OSEE (Offensive Security Exploitation
Expert) o alguna otra certificación de nivel (como varias del SANS).
h. Reporte Muestra: pide tanto el técnico como el
ejecutivo de un pentest realizado. En el técnico te darás cuenta de qué tipo de
debilidades reportan, screenshots y herramientas usadas; así como las
evidencias presentadas.
En el ejecutivo te darás cuenta de su capacidad de reportar
tecnicismos a la alta dirección y te percatarás de su criterio para priorizar
acciones de solución. Asimismo, el reporte y presentaciones muestra te podrán
ayudar a tener una idea de qué tipo de documentación te estarán entregando a
ti.
Es probable que te den estos documentos “editados” sin el
nombre del cliente o las direcciones IP por ejemplo; y esto es normal y hasta
deseable (no querrás que en el futuro den el reporte de TU empresa a cada
fulano que lo pida). Tal vez te digan que tienen acuerdos de confidencialidad
con sus clientes y que no pueden entregar nada…ok, al menos lo intentaste.
i. Objetivos: diles el objetivo del pentest a ver
si se sienten cómodos con las metas a cumplir y que te platiquen un poco de
cómo lo harían o cuál sería su enfoque; y hazles preguntas (ya pre-hechas) para
que durante la junta evalúes sus respuestas. Obvio tienes que saber un poco de
SegInfo y hacking, si no todas las respuestas de las diferentes empresas te
parecerán igual.
j. Ingeniería social: algunos pentesters hacen ingeniería
social. Tal vez tú no desees incluir este tipo de enfoque y lo debes de especificar.
Pero si requieres de ingeniería social sugiero que te asegures de que no sólo
pueden explotar debilidades de TI sino que van a poder aplicar esta técnica con
los empleados y te será de utilidad preguntar qué y cómo lo han hecho en
anteriores ocasiones junto con los resultados obtenidos.
k. Especialización: tal vez desees pentesting del web,
de tus smartphones, de los tablets, red inalámbrica, red interna o servidores
Linux. La compañía de pentest debe de tener en su portafolio a personal
capacitado para lograr los objetivos del pentest. Tal vez los pentesters se
enfocan en aplicaciones web y tienen poca idea/experiencia de cómo penetrar una
BlackBerry.
l. Referencias de Clientes
Pasados: sería buena
idea poder llamarles a algunos clientes que hayan recibido los servicios de
esta empresa y preguntarles sobre su experiencia con ellos.
m. Investigación Relacionada
con Vulnerabilidades:
han descubierto alguna vulnerabilidad de software? Eso para mí da un plus punkt. Sería otra forma de
demostrar sus habilidades e involucramiento en el pentest y mundo del hacking.
n. Sin Registros
Criminales: una
buena idea sería revisar que el personal que hará el pentest no tenga
antecedentes penales; o al menos como dicen en los contratos “bajo protesta de
decir verdad”.
Digo, si lo vas a dejar entrar hasta la cocina y que te pegue,
pues al menos tener una certeza razonable respecto a que está limpio desde el
punto de vista legal. Claro, no es ninguna garantía, pero es una palomita más
en tu checklist…o un tache que para mí significaría que se quedó sin contrato.
ñ. Tercerización: el personal del pentest es de la empresa o van a
“tercerizar” (outsourcing)? Sería ideal que fueran de la propia empresa y que
no subcontraten estos servicios (yo así lo buscaría). De otra forma estaríamos
tratando con “integradores” que recolectan por ahí a quienes realmente harán el
trabajo. En fin, tal vez tú tengas otra opinión.
o. Servicios similares
en el sector de tu empresa: si laboras en una central nuclear pues qué mejor que los pentesters
hayan hecho trabajos en otras centrales. Este punto lo pongo todavía más con la
bandera de “opcional”; si nunca antes hicieron un pentest en una empresa de
comercio electrónico no se traduce automáticamente en incapacidad para llevarlo
a cabo. Es simplemente otra “palomita” que puede inclinar la balanza ante un
empate, por ejemplo.
Conclusión
Te presenté una serie de puntos que puedes buscar en una
empresa de pentest; difícilmente todas las empresas cumplirían todos los criterios
mencionados. Tu labor será seleccionar aquéllos que te parezcan razonables y
ver qué empresa cumple con la mayoría de ellos.
Al final tú tienes la
mejor decisión para tu empresa y no existe un checklist válido para todo mundo
y en el que todos estemos de acuerdo. Estas son sólo unas ideas.
Inclusive las puedes examinar si eres pentester y ver qué
podría llegar a pedir un cliente (como yo).
Les dejo otros
tips interesantes
sobre este tema.
Palabras clave: pentest pentesting evaluar empresas compañías
habilidades competencias seleccionar