Procedimientos para las pruebas de seguridad de Azure

  • Artículo
  • Tiempo de lectura: 4 minutos

Se recomienda simular un ataque de una sola vez para detectar vulnerabilidades. Las pruebas de penetración son una metodología popular para validar la defensa de seguridad de un sistema. Los profesionales que las realizan son expertos en seguridad que no forman parte de los equipos de TI ni de aplicaciones de la organización. Por lo tanto, examinan el sistema de la forma en la que los actores malintencionados se dirigen a una superficie expuesta a ataques. El objetivo es encontrar brechas de seguridad mediante la recopilación de información, el análisis de vulnerabilidades y la generación de informes.

Las pruebas de penetración proporcionan una validación de las defensas de seguridad en un momento concreto. Los equipos rojos pueden ayudar a proporcionar visibilidad y garantía continuas de que las defensas funcionan según lo diseñado mediante la potencial realización de pruebas en distintos niveles de las cargas de trabajo. Los programas de los equipos rojo se pueden usar para simular amenazas puntuales o persistentes contra una organización para validar las defensas que se han establecido para proteger los recursos de la organización.

Microsoft recomienda realizar pruebas de penetración y ejercicios de los equipos rojos para validar las defensas de seguridad de la carga de trabajo.

En Estándar de ejecución de pruebas de penetración (PTE) se proporcionan directrices sobre escenarios comunes y las actividades necesarias para establecer una línea de base.

Azure usa una infraestructura compartida para hospedar sus recursos y también recursos que pertenecen a otros clientes. En un ejercicio de pruebas de penetración, los profesionales que las llevan a cabo pueden necesitar acceder a datos confidenciales de toda la organización. Siga las reglas de interacción para asegurarse de que el acceso y la intención no se usan de forma inadecuada. Para obtener instrucciones sobre cómo planear y ejecutar ataques simulados, consulte Reglas de interacción de las pruebas de penetración.

Saber más

Simulación de ataques

La forma en la que los usuarios interactúan con un sistema es fundamental para planear la defensa. Los riesgos son incluso mayores para las cuentas de impacto crítico, porque tienen permisos elevados y pueden provocar más daño.

¿Realiza ataques simulados en los usuarios de esta carga de trabajo?

Simule un actor de amenaza persistente dirigido a su entorno mediante un equipo rojo. Estas son algunas ventajas:

  • Comprobaciones periódicas. La carga de trabajo se comprobará mediante un ataque realista para asegurarse de que la defensa esté actualizada y en vigor.
  • Propósitos educativos. En función del aprendizaje, actualice el conocimiento y el nivel de aptitudes. Esto ayudará a los usuarios a comprender los distintos medios que un atacante puede usar para poner en peligro las cuentas.

Puede encontrar una opción popular para simular escenarios de ataque realistas en el Simulador de ataques para Office 365.

¿Se detecta y se elimina o se ofusca automáticamente la información personal?

Tenga cuidado al usar información confidencial de la aplicación. No almacene información personal, como información de contacto, información de pago, etc., en los registros de aplicaciones. Aplique medidas de protección, como la ofuscación. Las herramientas de aprendizaje automático pueden ayudarle con esta medida. Para más información, consulte Aptitud cognitiva para la detección de información de identificación personal.

El modelado de amenazas es un proceso estructurado para identificar los posibles vectores de ataque. En función de los resultados, priorice los esfuerzos de mitigación del riesgo. Para más información, consulte Análisis de amenazas para las aplicaciones.

Para más información sobre los ataques actuales, consulte Informe de defensa digital de Microsoft (SIR).

Equipo rojo de Microsoft Cloud

Vuelva al artículo principal: Supervisión

Pruebe regularmente el diseño y la implementación de la seguridad como parte de las operaciones de la organización. Esa integración asegurará que las garantías de seguridad sean eficaces y se mantengan según los estándares de seguridad establecidos por la organización.

Una carga de trabajo bien diseñada debe ser resistente a los ataques. Se debe recuperar rápidamente de la interrupción y, además, proporcionar garantías de seguridad de confidencialidad, integridad y disponibilidad. Invierta en ataques simulados como parte de las pruebas, lo que puede indicar brechas. En función de los resultados, puede reforzar la defensa y limitar el movimiento lateral de un atacante real dentro del entorno.

Las pruebas simuladas también pueden proporcionar datos para planear la mitigación de riesgos. Las aplicaciones que ya están en producción deben usar datos de ataques del mundo real. Las aplicaciones nuevas o actualizadas con nuevas características se deben basar en modelos estructurados para detectar los riesgos en una etapa temprana; por ejemplo, el modelado de amenazas.

Puntos clave

  • Defina casos de prueba que sean realistas y basados en ataques del mundo real.
  • Identifique y catalogue los métodos con el costo más bajo para evitar y detectar ataques.
  • Use pruebas de penetración como ataque de una sola vez para validar las defensas de seguridad.
  • Simule ataques mediante equipos rojos para ataques persistentes a largo plazo.
  • Mida y reduzca la superficie de ataque potencial a la que los atacantes se dirigen en busca de vulnerabilidades en los recursos del entorno.
  • Asegúrese de hacer un seguimiento adecuado para formar a los usuarios acerca de los distintos medios que puede usar un atacante.

Pruebas de penetración (pentesting)

¿Realiza pruebas de penetración en la carga de trabajo?