Siempre que explico el tema del análisis de vulnerabilidades lo comparo con una casa que acabas de comprar y para asegurarla físicamente le pides a un especialista en seguridad física que vaya y la revise para ver que posibles problemas de seguridad pueda tener.
Si no le prestas tus llaves, es especialista va y revisa lo que pueda ver desde la parte externa de tu casa, como está la puesta principal, las cerraduras, las ventanas, revisará si tienes rejas o si es posible romper una ventana para ingresar. A esto le llamo análisis de vulnerabilidades sin credenciales, sirve para ver el punto de vista de un atacante externo.
Ahora si le das las llaves de la casa al especialista para que ingrese y revise toda la casa, podrás detectar problemas externos e internos como fuga de gas, llaves goteando, pisos en mal estados, puertas del jardín interno en mal estado entre otras cosas. A esto le llamo análisis de vulnerabilidades con credenciales, como puedes ver, son mucho más completas que las anteriores.
Si las pruebas de seguridad son realizadas por personal interno, mantén auditoría del uso que se les da a estas las credenciales, ya que deberán tener los máximos privilegios posibles. Evita usar credenciales administrativas de TI para pruebas de seguridad, usa un usuario diferente que puedas identificar fácilmente en un análisis forense.
Ahora, si las pruebas son contratadas, solo autoriza el acceso a los equipos que se les va a hacer pruebas de seguridad y cámbialas de inmediato cuando finalicen las pruebas. Recuerda tener firmado un acuerdo de confidencialidad que protejan los intereses de tu organización.
Como siempre, realiza análisis de vulnerabilidades lo más frecuente posible, (recomendado mensual).
Algunas empresas prefieren no hacer análisis de vulnerabilidades de forma frecuente o a todos los equipos porque les van a aparecer muchas vulnerabilidades críticas o altas, la pregunta es: ¿Qué prefieres, saber cuáles son tus vulnerabilidades y poderla remediar lo más pronto posible o no saber los problemas que tienes y por donde te pueden atacar?
Recuerda realizar análisis de vulnerabilidades de forma frecuente, con credenciales y al mayor número de equipos conectados a tu red incluyendo la nube.