Pruebas de penetración: remediación
Los esfuerzos de las pruebas de penetración, por minuciosos que sean, no siempre pueden garantizar un descubrimiento exhaustivo de cada instancia en la que la efectividad de un control de seguridad es insuficiente. Es posible que la identificación de una vulnerabilidad o riesgo de secuencias de comandos entre sitios en un área de una aplicación no exponga definitivamente todas las instancias de esta vulnerabilidad presentes en la aplicación. Este capítulo ilustra el concepto y la utilidad de la remediación.
¿Qué es la remediación?
La corrección es un acto de ofrecer una mejora para reemplazar un error y corregirlo. A menudo, la presencia de vulnerabilidad en un área puede indicar debilidad en el proceso o las prácticas de desarrollo que podrían haber replicado o permitido una vulnerabilidad similar en otras ubicaciones. Por lo tanto, al corregir, es importante que el evaluador investigue cuidadosamente la entidad o las aplicaciones probadas teniendo en cuenta los controles de seguridad ineficaces.
Por estas razones, la empresa respectiva debe tomar medidas para remediar cualquier vulnerabilidad explotable dentro de un período de tiempo razonable después de la prueba de penetración original. De hecho, tan pronto como la empresa haya completado estos pasos, el probador de lápiz debe realizar una nueva prueba para validar los controles recién implementados que son capaces de mitigar el riesgo original.
Los esfuerzos de remediación que se extienden por un período más largo después de la prueba de penetración inicial posiblemente requieran realizar un nuevo compromiso de prueba para garantizar resultados precisos en el entorno más actual. Esta determinación debe hacerse después de un análisis de riesgo de cuánto cambio ha ocurrido desde que se completó la prueba original.
Además, en condiciones específicas, el problema de seguridad señalado puede ilustrar un defecto básico en el entorno o aplicación respectivos. Por lo tanto, el alcance de una nueva prueba debe considerar si los cambios causados por la remediación identificados en la prueba se clasifican como significativos. Todos los cambios deben volver a probarse; sin embargo, la evaluación de riesgos de los cambios determinará si es necesaria o no una nueva prueba del sistema completo.