Ethical Hacking
/ Vulnerability Assessment / PenTesting
Muchas veces, en mesas de trabajo afines a seguridad de la información se escuchan los términos test de intrusión, penetration test, ethical hacking, vulnerability assessment y, muchas veces, también se cree estar hablando de todos los anteriores como uno mismo, cuando en realidad existen diferencias que van mucho mas allá del idioma y la fonética.
No existe un único tipo de análisis de seguridad. Es decir, más allá de que tengan similares características y etapas en común, generalmente varían en su alcance y profundidad.
Vulnerability
Assessment
Análisis y pruebas relacionadas con la identificación de puertos abiertos, servicios disponibles y vulnerabilidades conocidas en los sistemas de información objetivos, las mismas incluyen, a su vez, verificaciones manuales y automáticas de falsos positivos, esto permite identificación de los puntos débiles de la red y análisis profesional individualizado.
Es un tipo de análisis que busca identificar e informar fallas en los dispositivos y en los procesos tecnológicos. Lo mas importante a destacar es que este tipo de análisis no incluye, bajo ningún punto, las etapas relacionadas con la explotación de las vulnerabilidades identificadas, sino que solo trabaja sobre la correcta identificación de las mismas.
Se caracteriza por tener un objetivo definido que finaliza cuando el mismo es alcanzado o el tiempo pautado para el desarrollo del análisis se agota.
Es un tipo de análisis de seguridad que posee, en sus etapas iniciales, las mismas características que tiene un vulnerability assessment, pero con la diferencia de que no solo trata de identificar e informar las debilidades, sino que también intenta explotarlas a fin de verificar fehacientemente los niveles de intrusión a los que se expone el sistema de información analizado
Penetration
Test
Ethical
Hacking
Aquí, esencialmente “todo es un objetivo”, el propósito es analizar íntegramente la seguridad de los sistemas de información utilizando –incluso- técnicas de ingeniería social con el fin de descubrir cuáles son las debilidades que podrían llegar a afectar a una organización, mediante las explotaciones de vulnerabilidades del factor humano, o bien, mediante la realización de pruebas para la verificación de los controles de acceso físico.