¿Cuáles son los diferentes tipos de metodología de prueba de penetración?

Existen esencialmente dos tipos principales de metodología de prueba de penetración, el estándar interno y de la industria, aunque dentro de estos hay un número casi ilimitado de variaciones. Una metodología interna es una desarrollada por una empresa, típicamente la que realiza la prueba, para su uso por sus empleados. Las metodologías estándar de la industria, por otro lado, son las desarrolladas por las principales organizaciones de seguridad para su uso por otras compañías en un intento de hacer una metodología estándar que sea universalmente reconocida y aprobada. Ambos tipos de metodología de prueba de penetración pueden ser efectivas, y la mejor para cualquier prueba de penetración particular generalmente depende mucho de la persona que realiza la prueba.

Una metodología de prueba de penetración es una serie de reglas o pautas utilizadas para realizar pruebas de penetración en un sistema u red informática. Este tipo de prueba generalmente se realiza para determinar qué posibles debilidades puede haber en un sistema que los hackers pueden utilizar para lanzar un ataque contra TSistema de sombrero. Una vez que se completa este análisis inicial, el probador generalmente lanza un ataque simulado contra el sistema para determinar cuán vulnerables son esas debilidades. A menudo se usa una metodología de prueba de penetración para determinar cómo se debe realizar esta secuencia de evaluación y prueba, y para proporcionar a los evaluadores pautas para documentar el procedimiento.

Uno de los tipos más comunes de metodología de prueba de penetración es una metodología interna. Este es un documento creado por una empresa para su uso por parte de sus empleados, ya que realizan pruebas de penetración en un sistema. Una compañía puede preparar una metodología de prueba de penetración interna que ha contratado a alguien para realizar pruebas en su sistema, o por una compañía que contrata sus servicios a otras empresas para probarlos. Algunos probadores pueden preferir este tipo de metodología, ya que lo siguiendo asegura que cualquier queja al clientepuede tener sobre las pruebas se puede discutir utilizando la metodología proporcionada por el cliente para el probador.

Una metodología de prueba de penetración estándar de la industria, por otro lado, es un documento creado por una compañía de seguridad informática para su uso de otros evaluadores. Este tipo de metodología generalmente está destinado a los evaluadores no empleados por la compañía que la creó. Uno de los beneficios de este tipo de metodología es que los probadores pueden señalar más fácilmente a un solo método unificado por el cual pueden aprender y demostrar su competencia. Sin embargo, los defectos con una metodología de prueba de penetración estándar de la industria son que a las empresas no les gustan todos los métodos establecidos en él, y puede ser difícil determinar qué método actúa realmente como un estándar de la industria.