¿Cuál es la diferencia entre la evaluación de vulnerabilidad y las pruebas de penetración?

Gran pregunta

Respuesta corta: teóricamente, ambos son diferentes. Prácticamente ambos deben usarse de manera efectiva para hacer que un producto / aplicación sea más seguro.

Un poco más largo:

Definamos claramente

La evaluación de vulnerabilidad es un análisis integral,

el producto / aplicación si los subsistemas no están expuestos a vulnerabilidades o no?
¿Qué tan segura es la arquitectura? ¿Con qué seguridad se transmite la información de un subsistema a otro? y todas las demás preguntas relacionadas con la seguridad contra la implementación.

Básicamente un enfoque preventivo y proactivo.

Penetration Testing está probando la vulnerabilidad del Producto / Aplicación / sus subsistemas al romperlo. Un ejemplo sencillo podría ser ingresar a la base de datos y leer los detalles de una tabla. Las bases de datos no están destinadas a ser expuestas y es por eso que se llama back-end. En otras palabras, ¡piratear ética o no éticamente un producto / sitio / aplicación para obtener acceso a ‘ algo que realmente no está permitido ‘!

Tanto la evaluación de vulnerabilidad como las pruebas de penetración se realizan generalmente con herramientas / marcos y muchos scripts y técnicas de piratería.

La evaluación de vulnerabilidad, debido a su naturaleza proactiva y preventiva, demostrará que está construyendo el sistema correcto

y las Pruebas de penetración, por otro lado, demostrarán que algo está mal en el sistema y necesita ser reparado.

¡Espero que esto ayude!

Pruebas de penetraciónPruebas de SoftwareSeguridad informática

¿Alguna vez ha sido acosado en público con alguien que claramente ha hackeado su computadora u obtenido información privada sobre usted?

¿Qué tan seguro es Indian Cyber Network?

Cómo desarrollar 'Mejora de la seguridad FTP mediante contraseña dinámica y esteganografía

¿Por qué las autoridades no pueden rastrear o bloquear la dirección de Bitcoin de los ransomwares?

¿Qué es Big Data y cómo puede ser útil?

¿Debo obtener un antivirus en Ubuntu?

La Evaluación de Vulnerabilidad (VA) generalmente descubre vulnerabilidades presentes en un sistema, pero no diferencia entre vulnerabilidades explotables y vulnerabilidades no explotables. Se pueden usar herramientas como Nessus, SAINT, OpenCVAS, Nikto, etc. para VA.

Las pruebas de penetración (PT) encuentran fallas explotables y miden la gravedad de cada una. Da prueba de vulnerabilidades explotables y también confirma si la vulnerabilidad es explotable o no. Se pueden usar herramientas como Core Impact, Metaspoilt, Qualys, etc. para PT

Mire el video a continuación para obtener una explicación más detallada:

Vakisan

Estas son las diferencias clave entre la evaluación de vulnerabilidad y las pruebas de penetración:

Amplitud vs. Profundidad

La evaluación de vulnerabilidad se centra en descubrir la mayor cantidad posible de debilidades de seguridad (enfoque de amplitud sobre profundidad). Las pruebas de penetración , a su vez, son preferibles, cuando el cliente afirma que las defensas de seguridad de la red son fuertes, pero quiere verificar si son a prueba de piratería (enfoque de profundidad sobre amplitud).

El grado de automatización

La evaluación de vulnerabilidad suele ser automatizada, y las pruebas de penetración son una combinación de técnicas automáticas y manuales.

La elección de los profesionales.

Las pruebas automatizadas, que se utilizan ampliamente en la evaluación de vulnerabilidades, no requieren tanta habilidad, por lo que los miembros del departamento de seguridad pueden realizarlas. Las pruebas de penetración a su vez requieren un nivel considerablemente más alto de experiencia (ya que es intensivo manualmente) y siempre deben subcontratarse a un proveedor de servicios de pruebas de penetración.

Con qué frecuencia realizar el servicio

Evaluación de vulnerabilidad : una vez al mes. Además de una prueba adicional después de los cambios en la red).

Pruebas de penetración: al menos una vez al año.

Para obtener más información, puede consultar esta fuente:

Evaluación de vulnerabilidad vs. prueba de penetración. Sepa quien es quien

Khrystsina Kireyeva

La prueba de penetración, o pentesting (que no debe confundirse con la prueba de bolígrafos o plumas estilográficas), implica simular ataques reales para evaluar el riesgo asociado con posibles infracciones de seguridad. En un pentest (a diferencia de una evaluación de vulnerabilidad), los probadores no solo descubren vulnerabilidades que podrían ser utilizadas por los atacantes, sino que también explotan vulnerabilidades, donde sea posible, para evaluar qué podrían ganar los atacantes después de una explotación exitosa.

Hay seis fases de pruebas de penetración (la evaluación de vulnerabilidad es una de ellas). Aquí echa un vistazo:

El pentesting comienza con la fase previa al compromiso, que implica hablar con el cliente sobre sus objetivos para el pentest, mapear el alcance (la extensión y los parámetros de la prueba), y así sucesivamente. Cuando el pentester y el cliente acuerdan el alcance, el formato del informe y otros temas, comienza la prueba real. En la fase de recopilación de información, el pentester busca información disponible públicamente sobre el cliente e identifica posibles formas de conectarse a sus sistemas. En la fase de modelado de amenazas, el probador usa esta información para determinar el valor de cada hallazgo y el impacto para el cliente si el hallazgo permitió que un atacante entrara en un sistema. Esta evaluación permite al pentester desarrollar un plan de acción y métodos de ataque. Antes de que el pentester pueda comenzar a atacar los sistemas, él o ella realiza un análisis de vulnerabilidad. En esta fase, el pentester intenta descubrir vulnerabilidades en los sistemas que pueden aprovecharse en la fase de explotación. Una explotación exitosa podría conducir a una fase posterior a la explotación, donde se aprovecha el resultado de la explotación para encontrar información adicional, datos confidenciales, acceso a otros sistemas, etc. Finalmente, en la fase de presentación de informes, el pentester resume los hallazgos tanto para los ejecutivos como para los profesionales técnicos.

¡Espero que esto ayude!

Khrystsina Kireyeva

La prueba de penetración difiere de una evaluación de vulnerabilidad en que en realidad explota las vulnerabilidades (debilidad en la computadora, el software o la red) para determinar qué información está realmente expuesta.

Encontrar vulnerabilidades a través de procesos automatizados utilizando herramientas como nessus, IBM appscan y generar informes es una evaluación de vulnerabilidad, y explotar esas vulnerabilidades es una prueba de penetración.

Vakisan

More Interesting

Si un país tan atrasado como Corea del Norte puede entrar fácilmente y minar los sistemas de TI de Sony, ¿qué posibilidades tenemos los demás?

¿Cómo es 2FA vulnerable a los piratas informáticos?

¿Cuáles podrían ser las consecuencias de hacer clic en enlaces en Omegle? ¿Me pueden hackear o me pueden quitar información?

¿Quiénes son los 10 mejores abogados cibernéticos reconocidos en todo el mundo?

Hay un troyano en mi computadora y no tengo un antivirus instalado. ¿Hay alguna forma de evitar que mis datos se eliminen?

¿Cuál es el mejor antivirus para PC?

¿La mayoría de los hackers de la red son atrapados o permanecen sin descubrir?

¿Cómo es la carrera profesional de la seguridad de la información?

¿Debería una persona ir por seguridad cibernética si está menos interesado en la codificación?

He creado un perfil de usuario de Chrome en una computadora que ya no es confiable para sincronizar mis datos. ¿Cómo puedo eliminar de forma remota a este usuario para evitar que los datos se vuelvan a sincronizar en ese dispositivo? ¿Cómo puedo eliminar los datos sincronizados anteriores?