Prueba de penetración - Guía rápida
¿Qué son las pruebas de penetración?
Las pruebas de penetración son un tipo de prueba de seguridad que se utiliza para probar la inseguridad de una aplicación. Se lleva a cabo para encontrar el riesgo de seguridad que podría estar presente en el sistema.
Si un sistema no está protegido, cualquier atacante puede interrumpir o tomar acceso autorizado a ese sistema. El riesgo de seguridad es normalmente un error accidental que ocurre durante el desarrollo e implementación del software. Por ejemplo, errores de configuración, errores de diseño y errores de software, etc.
¿Por qué se requieren pruebas de penetración?
Las pruebas de penetración normalmente evalúan la capacidad de un sistema para proteger sus redes, aplicaciones, puntos finales y usuarios de amenazas externas o internas. También intenta proteger los controles de seguridad y garantiza solo el acceso autorizado.
Las pruebas de penetración son esenciales porque:
Identifica un entorno de simulación, es decir, cómo un intruso puede atacar el sistema a través de white hat attack.
Ayuda a encontrar áreas débiles donde un intruso puede atacar para obtener acceso a las funciones y datos de la computadora.
Soporta evitar black hat attack y protege los datos originales.
Estima la magnitud del ataque a empresas potenciales.
Proporciona evidencia para sugerir por qué es importante aumentar las inversiones en el aspecto de seguridad de la tecnología.
¿Cuándo realizar las pruebas de penetración?
Las pruebas de penetración son una característica esencial que debe realizarse con regularidad para asegurar el funcionamiento de un sistema. Además de esto, debe realizarse siempre que:
- El sistema de seguridad descubre nuevas amenazas por parte de los atacantes.
- Agrega una nueva infraestructura de red.
- Actualiza su sistema o instala software nuevo.
- Reubica su oficina.
- Configura un nuevo programa / política para el usuario final.
¿En qué se benefician las pruebas de penetración?
Las pruebas de penetración ofrecen los siguientes beneficios:
Enhancement of the Management System- Proporciona información detallada sobre las amenazas a la seguridad. Además de esto, también categoriza el grado de vulnerabilidades y te sugiere, cuál es más vulnerable y cuál es menos. Por lo tanto, puede administrar su sistema de seguridad de manera fácil y precisa asignando los recursos de seguridad en consecuencia.
Avoid Fines- Las pruebas de penetración mantienen actualizadas las principales actividades de su organización y cumplen con el sistema de auditoría. Entonces, las pruebas de penetración lo protegen de dar multas.
Protection from Financial Damage- Una simple violación del sistema de seguridad puede causar millones de dólares en daños. Las pruebas de penetración pueden proteger a su organización de tales daños.
Customer Protection- La violación de los datos de un solo cliente puede causar un gran daño financiero, así como un daño a la reputación. Protege a las organizaciones que tratan con los clientes y mantienen intactos sus datos.
La prueba de penetración es una combinación de técnicas que considera varios problemas de los sistemas y prueba, analiza y brinda soluciones. Se basa en un procedimiento estructurado que realiza pruebas de penetración paso a paso.
Este capítulo describe varios pasos o fases del método de prueba de penetración.
Pasos del método de prueba de penetración
Los siguientes son los siete pasos de la prueba de penetración:
Planificación y preparación
La planificación y la preparación comienzan con la definición de las metas y los objetivos de las pruebas de penetración.
El cliente y el tester definen conjuntamente las metas para que ambas partes tengan los mismos objetivos y entendimiento. Los objetivos comunes de las pruebas de penetración son:
- Identificar la vulnerabilidad y mejorar la seguridad de los sistemas técnicos.
- Haga que la seguridad de TI sea confirmada por un tercero externo.
- Incrementar la seguridad de la infraestructura organizacional / personal.
Reconocimiento
El reconocimiento incluye un análisis de la información preliminar. Muchas veces, un evaluador no tiene mucha información más que la información preliminar, es decir, una dirección IP o un bloque de dirección IP. El probador comienza analizando la información disponible y, si es necesario, solicita al cliente más información, como descripciones del sistema, planes de red, etc. Este paso es la prueba de penetración pasiva, una especie de. El único objetivo es obtener una información completa y detallada de los sistemas.
Descubrimiento
En este paso, un probador de penetración probablemente utilizará las herramientas automatizadas para escanear los activos de destino en busca de vulnerabilidades. Estas herramientas normalmente tienen sus propias bases de datos que brindan los detalles de las últimas vulnerabilidades. Sin embargo, el probador descubre
Network Discovery - Como el descubrimiento de sistemas, servidores y otros dispositivos adicionales.
Host Discovery - Determina los puertos abiertos en estos dispositivos.
Service Interrogation - Interroga a los puertos para descubrir los servicios reales que se ejecutan en ellos.
Análisis de información y riesgos
En este paso, el probador analiza y evalúa la información recopilada antes de los pasos de prueba para penetrar dinámicamente en el sistema. Debido al mayor número de sistemas y tamaño de la infraestructura, lleva mucho tiempo. Mientras analiza, el probador considera los siguientes elementos:
Los objetivos definidos de la prueba de penetración.
Los riesgos potenciales para el sistema.
El tiempo estimado necesario para evaluar las posibles fallas de seguridad para la posterior prueba de penetración activa.
Sin embargo, de la lista de sistemas identificados, el evaluador puede optar por probar solo aquellos que contienen vulnerabilidades potenciales.
Intentos de intrusión activos
Este es el paso más importante que debe realizarse con el debido cuidado. Este paso implica la medida en que las vulnerabilidades potenciales que se identificaron en el paso de descubrimiento poseen los riesgos reales. Este paso debe realizarse cuando se necesita una verificación de vulnerabilidades potenciales. Para aquellos sistemas que tienen requisitos de integridad muy altos, la vulnerabilidad y el riesgo potenciales deben considerarse cuidadosamente antes de realizar procedimientos críticos de limpieza.
Análisis final
Este paso considera principalmente todos los pasos realizados (discutidos anteriormente) hasta ese momento y una evaluación de las vulnerabilidades presentes en forma de riesgos potenciales. Además, el evaluador recomienda eliminar las vulnerabilidades y los riesgos. Sobre todo, el evaluador debe asegurar la transparencia de las pruebas y las vulnerabilidades que reveló.
Preparación de informes
La preparación del informe debe comenzar con procedimientos de prueba generales, seguidos de un análisis de vulnerabilidades y riesgos. Los riesgos altos y las vulnerabilidades críticas deben tener prioridades y luego seguir el orden inferior.
Sin embargo, al documentar el informe final, se deben considerar los siguientes puntos:
- Resumen general de las pruebas de penetración.
- Detalles de cada paso y la información recopilada durante la prueba de penetración.
- Detalles de todas las vulnerabilidades y riesgos descubiertos.
- Detalles de limpieza y fijación de los sistemas.
- Sugerencias para la seguridad futura.
Generalmente, muchas personas usan indistintamente estos dos términos, es decir, prueba de penetración y evaluación de vulnerabilidad, ya sea por malentendidos o por publicidad exagerada. Pero ambos términos son diferentes entre sí en cuanto a sus objetivos y otros medios. Sin embargo, antes de describir las diferencias, primero comprendamos ambos términos uno por uno.
Pruebas de penetración
Las pruebas de penetración replican las acciones de un atacante cibernético externo o interno cuyo objetivo es romper la seguridad de la información y piratear los datos valiosos o interrumpir el funcionamiento normal de la organización. Entonces, con la ayuda de herramientas y técnicas avanzadas, un probador de penetración (también conocido comoethical hacker) hace un esfuerzo por controlar los sistemas críticos y adquirir acceso a datos sensibles.
Evaluación de vulnerabilidad
Por otro lado, una evaluación de vulnerabilidades es la técnica de identificar (descubrimiento) y medir vulnerabilidades de seguridad (escaneo) en un entorno dado. Es una evaluación integral de la posición de seguridad de la información (análisis de resultados). Además, identifica las debilidades potenciales y proporciona las medidas de mitigación adecuadas (remediación) para eliminar esas debilidades o reducirlas por debajo del nivel de riesgo.
El siguiente diagrama resume la evaluación de vulnerabilidades:
La siguiente tabla ilustra las diferencias fundamentales entre las pruebas de penetración y las evaluaciones de vulnerabilidad:
| Pruebas de penetración | Evaluaciones de vulnerabilidad |
|---|---|
| Determina el alcance de un ataque. | Crea un directorio de activos y recursos en un sistema determinado. |
| Prueba la recopilación de datos sensibles. | Descubre las amenazas potenciales a cada recurso. |
| Recopila información específica y / o inspecciona el sistema. | Asigna valor e importancia cuantificables a los recursos disponibles. |
| Limpia el sistema y da el informe final. | Intenta mitigar o eliminar las vulnerabilidades potenciales de recursos valiosos. |
| Es revisión y análisis no intrusivo, de documentación y medioambiental. | Análisis integral y mediante revisión del sistema objetivo y su entorno. |
| Es ideal para entornos físicos y arquitectura de red. | Es ideal para entornos de laboratorio. |
| Está destinado a sistemas críticos en tiempo real. | Está destinado a sistemas no críticos. |
¿Qué opción es ideal para practicar?
Ambos métodos tienen diferentes funciones y enfoques, por lo que depende de la posición de seguridad del sistema respectivo. Sin embargo, debido a la diferencia básica entre las pruebas de penetración y la evaluación de vulnerabilidades, la segunda técnica es más beneficiosa que la primera.
La evaluación de vulnerabilidades identifica las debilidades y brinda una solución para solucionarlas. Por otro lado, las pruebas de penetración solo responden a la pregunta de que "¿alguien puede violar la seguridad del sistema y, de ser así, qué daño puede hacer?"
Además, una evaluación de vulnerabilidades intenta mejorar el sistema de seguridad y desarrolla un programa de seguridad integrado más maduro. Por otro lado, una prueba de penetración solo brinda una imagen de la efectividad de su programa de seguridad.
Como hemos visto aquí, la evaluación de vulnerabilidades es más beneficiosa y ofrece mejores resultados en comparación con las pruebas de penetración. Pero los expertos sugieren que, como parte del sistema de gestión de la seguridad, ambas técnicas deben realizarse de forma rutinaria para garantizar un entorno seguro perfecto.
El tipo de prueba de penetración normalmente depende del alcance y los deseos y requisitos de la organización. Este capítulo analiza los diferentes tipos de pruebas de penetración. También se conoce comoPen Testing.
Tipos de pruebas de penetración
Los siguientes son los tipos importantes de pruebas de penetración:
- Prueba de penetración de caja negra
- Prueba de penetración de caja blanca
- Prueba de penetración de caja gris
Para una mejor comprensión, analicemos cada uno de ellos en detalle:
Prueba de penetración de caja negra
En las pruebas de penetración de caja negra, el probador no tiene idea de los sistemas que va a probar. Está interesado en recopilar información sobre la red o el sistema de destino. Por ejemplo, en esta prueba, un evaluador solo sabe cuál debería ser el resultado esperado y no sabe cómo llega el resultado. No examina ningún código de programación.
Ventajas de las pruebas de penetración de caja negra
Tiene las siguientes ventajas:
El evaluador no tiene por qué ser necesariamente un experto, ya que no exige un conocimiento específico del idioma.
El probador verifica las contradicciones en el sistema real y las especificaciones
La prueba generalmente se realiza con la perspectiva de un usuario, no del diseñador
Desventajas de las pruebas de penetración de caja negra
Sus desventajas son:
En particular, este tipo de casos de prueba son difíciles de diseñar.
Posiblemente, no valga la pena, en caso de que el diseñador ya haya realizado un caso de prueba.
No conduce todo.
Prueba de penetración de caja blanca
Esta es una prueba completa, ya que el probador ha recibido una amplia gama de información sobre los sistemas y / o la red, como el esquema, el código fuente, los detalles del sistema operativo, la dirección IP, etc. Normalmente se considera como una simulación de un ataque de un fuente interna. También se conoce como prueba estructural, de caja de vidrio, caja transparente y caja abierta.
Las pruebas de penetración de caja blanca examinan la cobertura del código y realizan pruebas de flujo de datos, pruebas de ruta, pruebas de bucle, etc.
Ventajas de las pruebas de penetración de caja blanca
Tiene las siguientes ventajas:
Garantiza que se hayan ejercido todas las rutas independientes de un módulo.
Asegura que todas las decisiones lógicas se hayan verificado junto con su valor verdadero y falso.
Descubre los errores tipográficos y comprueba la sintaxis.
Encuentra los errores de diseño que pueden haber ocurrido debido a la diferencia entre el flujo lógico del programa y la ejecución real.
Prueba de penetración de caja gris
En este tipo de prueba, un probador generalmente proporciona información parcial o limitada sobre los detalles internos del programa de un sistema. Puede considerarse como un ataque de un pirata informático externo que había obtenido acceso ilegítimo a los documentos de la infraestructura de red de una organización.
Ventajas de las pruebas de penetración de caja gris
Tiene las siguientes ventajas:
Como el probador no requiere el acceso al código fuente, no es intrusivo e imparcial.
Como existe una clara diferencia entre un desarrollador y un tester, existe el menor riesgo de conflicto personal
No es necesario que proporcione información interna sobre las funciones del programa y otras operaciones.
Áreas de prueba de penetración
Las pruebas de penetración se realizan normalmente en las siguientes tres áreas:
Network Penetration Testing- En esta prueba, la estructura física de un sistema debe probarse para identificar la vulnerabilidad y el riesgo que garantiza la seguridad en una red. En el entorno de red, un evaluador identifica fallas de seguridad en el diseño, implementación u operación de la red de la empresa / organización respectiva. Los dispositivos que son probados por un probador pueden ser computadoras, módems o incluso dispositivos de acceso remoto, etc.
Application Penetration Testing- En esta prueba, se debe probar la estructura lógica del sistema. Es una simulación de ataque diseñada para exponer la eficiencia de los controles de seguridad de una aplicación al identificar la vulnerabilidad y el riesgo. El cortafuegos y otros sistemas de supervisión se utilizan para proteger el sistema de seguridad, pero en ocasiones, es necesario realizar pruebas específicas, especialmente cuando se permite que el tráfico atraviese el cortafuegos.
The response or workflow of the system- Esta es la tercera área que debe probarse. La ingeniería social recopila información sobre la interacción humana para obtener información sobre una organización y sus computadoras. Es beneficioso probar la capacidad de la organización respectiva para evitar el acceso no autorizado a sus sistemas de información. Asimismo, esta prueba está diseñada exclusivamente para el flujo de trabajo de la organización / empresa.
Tanto las pruebas de penetración manuales como las automatizadas se realizan con el mismo propósito. La única diferencia entre ellos es la forma en que se llevan a cabo. Como sugiere el nombre, las pruebas de penetración manuales las realizan seres humanos (expertos en este campo) y las pruebas de penetración automatizadas las realiza la propia máquina.
Este capítulo le ayudará a conocer el concepto, las diferencias y la aplicabilidad de ambos términos.
¿Qué es la prueba de penetración manual?
La prueba de penetración manual es la prueba que realizan los seres humanos. En este tipo de prueba, un ingeniero experto prueba la vulnerabilidad y el riesgo de una máquina.
Generalmente, los ingenieros de pruebas realizan los siguientes métodos:
Data Collection- La recopilación de datos juega un papel clave para las pruebas. Se pueden recopilar datos manualmente o utilizar servicios de herramientas (como la técnica de análisis del código fuente de una página web, etc.) disponibles gratuitamente en línea. Estas herramientas ayudan a recopilar información como nombres de tablas, versiones de bases de datos, bases de datos, software, hardware o incluso sobre diferentes complementos de terceros, etc.
Vulnerability Assessment - Una vez que se recopilan los datos, ayuda a los evaluadores a identificar la debilidad de la seguridad y tomar las medidas preventivas correspondientes.
Actual Exploit - Este es un método típico que utiliza un tester experto para lanzar un ataque a un sistema objetivo y, de la misma forma, reduce el riesgo de ataque.
Report Preparation- Una vez realizada la penetración, el tester prepara un informe final que describe todo sobre el sistema. Finalmente, el informe se analiza para tomar medidas correctivas para proteger el sistema de destino.
Tipos de pruebas de penetración manual
Las pruebas de penetración manual se clasifican normalmente de dos formas siguientes:
Focused Manual Penetration Testing- Es un método muy enfocado que prueba vulnerabilidades y riesgos específicos. Las pruebas de penetración automatizadas no pueden realizar estas pruebas; solo lo realizan expertos humanos que examinan las vulnerabilidades específicas de las aplicaciones dentro de los dominios dados.
Comprehensive Manual Penetration Testing- Es a través de la prueba de sistemas completos conectados entre sí para identificar todo tipo de riesgo y vulnerabilidad. Sin embargo, la función de esta prueba es más situacional, como investigar si múltiples fallas de menor riesgo pueden generar un escenario de ataque más vulnerable, etc.
¿Qué son las pruebas de penetración automatizadas?
Las pruebas de penetración automatizadas son mucho más rápidas, eficientes, fáciles y confiables que prueban la vulnerabilidad y el riesgo de una máquina automáticamente. Esta tecnología no requiere ningún ingeniero experto, sino que puede ser ejecutada por cualquier persona que tenga menos conocimientos en este campo.
Las herramientas para las pruebas de penetración automatizadas son Nessus, Metasploit, OpenVAs, backtract (serie 5), etc. Estas son herramientas muy eficientes que cambiaron la eficiencia y el significado de las pruebas de penetración.
Sin embargo, la siguiente tabla ilustra la diferencia fundamental entre las pruebas de penetración manuales y automatizadas:
| Prueba de penetración manual | Pruebas de penetración automatizadas |
|---|---|
| Requiere un ingeniero experto para realizar la prueba. | Está automatizado, por lo que incluso un alumno puede ejecutar la prueba. |
| Requiere diferentes herramientas para la prueba. | Tiene herramientas integradas que no requiere nada del exterior. |
| En este tipo de prueba, los resultados pueden variar de una prueba a otra. | Tiene resultado fijo. |
| Esta prueba requiere que el probador recuerde haber limpiado la memoria. | No es asi. |
| Es exhaustivo y lleva mucho tiempo. | Es más eficiente y rápido. |
| Tiene ventajas adicionales, es decir, si un experto hace una prueba de penetración, entonces puede analizar mejor, puede pensar lo que puede pensar un hacker y dónde puede atacar. Por lo tanto, puede poner seguridad en consecuencia. | No puede analizar la situación. |
| Según el requisito, un experto puede realizar varias pruebas. | No puede. |
| Para condiciones críticas, es más confiable. | No lo es. |
Las pruebas de penetración, normalmente consisten en recopilación de información, análisis de vulnerabilidad y riesgo, exploits de vulnerabilidad y preparación del informe final.
También es esencial aprender las características de varias herramientas que están disponibles con las pruebas de penetración. Este capítulo proporciona información y conocimientos sobre estas funciones.
¿Qué son las herramientas de prueba de penetración?
La siguiente tabla recopila algunas de las herramientas de penetración más importantes e ilustra sus características:
| Nombre de la herramienta | Propósito | Portabilidad | Costo esperado |
|---|---|---|---|
| Hping | Escaneo de puertos Toma de huellas dactilares OC remota |
Linux, NetBSD, FreeBSD, OpenBSD, |
Gratis |
| Nmap | Escaneo de red Escaneo de puertos Detección de SO |
Linux, Windows, FreeBSD, OS X, HP-UX, NetBSD, Sun, OpenBSD, Solaris, IRIX, Mac, etc. | Gratis |
| SuperScan | Ejecuta consultas que incluyen ping, whois, búsquedas de nombres de host, etc. Detecta puertos UDP / TCP abiertos y determina qué servicios se están ejecutando en esos puertos. |
Windows 2000 / XP / Vista / 7 | Gratis |
| p0f | O huellas dactilares Detección de firewall |
Linux, FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris, Windows y AIX | Gratis |
| Xprobe | Huella digital activa remota del SO Escaneo de puertos Huella digital TCP |
Linux | Gratis |
| Httprint | Detección SSL de huellas dactilares del servidor web Detectar dispositivos habilitados para la web (por ejemplo, puntos de acceso inalámbricos, conmutadores, módems, enrutadores) |
Linux, Mac OS X, FreeBSD, Win32 (línea de comandos y GUI | Gratis |
| Nessus | Detecta vulnerabilidades que permiten al pirata informático remoto controlar / acceder a datos confidenciales | Mac OS X, Linux, FreeBSD, Apple, Oracle Solaris, Windows | Gratis a edición limitada |
| GFI LANguard | Detecta vulnerabilidades de red | Windows Server 2003/2008, Windows 7 Ultimate / Vista, Windows 2000 Professional, Business / XP, Sever 2000/2003/2008 | Solo versión de prueba gratuita |
| Escáner de problemas | Detecta vulnerabilidades de red | Windows 2000 Professional con SP4, Windows Server 2003 Standard con SO1, Windows XP Professional con SP1a | Solo versión de prueba gratuita |
| Escáner de seguridad en la sombra | Detecte vulnerabilidades de red, audite servidores proxy y LDAP | Windows, pero escanee servidores integrados en cualquier plataforma | Solo versión de prueba gratuita |
| Marco de Metasploit | Desarrollar y ejecutar código de explotación contra un objetivo remoto Prueba la vulnerabilidad de los sistemas informáticos |
Todas las versiones de Unix y Windows | Gratis |
| Bruto | Descifrador de contraseñas Telnet, ftp y http | Windows 9x / NT / 2000 | Gratis |
Los sistemas informáticos y las redes asociadas normalmente constan de una gran cantidad de dispositivos y la mayoría de ellos desempeñan un papel importante en la realización de trabajos y negocios totales del sistema respectivo. Un pequeño defecto en cualquier momento y en cualquier parte de estos dispositivos puede causar un gran daño a su negocio. Por lo tanto, todos ellos son vulnerables al riesgo y deben protegerse adecuadamente.
¿Qué son las pruebas de penetración de infraestructura?
Las pruebas de penetración de la infraestructura incluyen todos los sistemas informáticos internos, los dispositivos externos asociados, las redes de Internet, la nube y las pruebas de virtualización.
Ya sea que esté oculto en su red empresarial interna o de la vista pública, siempre existe la posibilidad de que un atacante pueda aprovechar lo que puede dañar su infraestructura. Por lo tanto, es mejor estar seguro de antemano que arrepentirse más tarde.
Tipos de pruebas de penetración de infraestructura
Los siguientes son los tipos importantes de pruebas de penetración de infraestructura:
- Pruebas de penetración de infraestructura externa
- Pruebas de penetración de infraestructura interna
- Pruebas de penetración de virtualización y nube
- Pruebas de penetración de seguridad inalámbrica
Prueba de infraestructura externa
La prueba de penetración, dirigida a la infraestructura externa, descubre qué podría hacer un pirata informático con sus redes, a las que se puede acceder fácilmente a través de Internet.
En esta prueba, un evaluador normalmente replica el mismo tipo de ataques que los piratas informáticos pueden usar al encontrar y mapear las fallas de seguridad en su infraestructura externa.
Existen varios beneficios de aprovechar las pruebas de penetración de infraestructura externa, ya que:
Identifica las fallas dentro de la configuración del firewall que podrían ser mal utilizadas
Descubre cómo un atacante puede filtrar información de su sistema
Sugiere cómo se pueden solucionar estos problemas
Prepara un informe completo que destaca el riesgo de seguridad de las redes fronterizas y sugiere soluciones.
Garantiza la eficiencia y la productividad generales de su negocio
Pruebas de penetración de infraestructura interna
Debido a algunas fallas menores de seguridad interna, los piratas informáticos están cometiendo fraudes ilegalmente en grandes organizaciones. Entonces, con las pruebas de penetración de la infraestructura interna, un evaluador puede identificar la posibilidad de una seguridad y de qué empleado se ha producido este problema.
Las pruebas de penetración de infraestructura interna se benefician ya que:
Identifica cómo un atacante interno podría aprovechar incluso una falla de seguridad menor.
Identifica el riesgo comercial potencial y el daño que un atacante interno puede infligir.
Mejora los sistemas de seguridad de la infraestructura interna.
Prepara un informe completo que detalla las exposiciones de seguridad de las redes internas junto con el plan de acción detallado sobre cómo tratarlas.
Pruebas de penetración de virtualización y nube
Al comprar un servidor público o un espacio de onda, aumenta significativamente los riesgos de violación de datos. Además, identificar al atacante en el entorno de la nube es difícil. Un atacante también puede comprar el alojamiento de una instalación en la nube para obtener acceso a sus nuevos datos en la nube.
De hecho, la mayor parte del alojamiento en la nube se implementa en una infraestructura virtual, lo que genera un riesgo de virtualización al que un atacante puede acceder fácilmente.
Beneficios de las pruebas de penetración de la nube y la virtualización ya que:
Descubre los riesgos reales dentro del entorno virtual y sugiere los métodos y costos para corregir las amenazas y fallas.
Proporciona pautas y un plan de acción sobre cómo resolver los problemas.
Mejora el sistema de protección general.
Prepara un informe completo del sistema de seguridad de la computación en la nube y la virtualización, describe la falla de seguridad, las causas y las posibles soluciones.
Pruebas de penetración de seguridad inalámbrica
La tecnología inalámbrica de su computadora portátil y otros dispositivos proporciona un acceso fácil y flexible a varias redes. La tecnología de fácil acceso es vulnerable a riesgos únicos; ya que la seguridad física no se puede utilizar para limitar el acceso a la red. Un atacante puede piratear desde una ubicación remota. Por lo tanto, las pruebas de penetración de seguridad inalámbrica son necesarias para su empresa / organización.
Las siguientes son las razones para tener tecnología inalámbrica:
Para encontrar el riesgo potencial causado por sus dispositivos inalámbricos.
Proporcionar pautas y un plan de acción sobre cómo protegerse de las amenazas externas.
Mejorar el sistema de seguridad general.
Para preparar un informe completo del sistema de seguridad de la red inalámbrica, para describir la falla de seguridad, las causas y las posibles soluciones.
Está el tema de proteger los datos más críticos de la organización; por lo tanto, el papel de un probador de penetración es muy crítico, un error menor puede poner en riesgo a ambas partes (el probador y su cliente).
Por lo tanto, este capítulo analiza varios aspectos de un probador de penetración, incluida su calificación, experiencia y responsabilidades.
Cualificación de probadores de penetración
Esta prueba sólo puede realizarla un probador de penetración calificado; por lo tanto, la calificación de un probador de penetración es muy importante.
Tanto un experto interno calificado como un experto externo calificado pueden realizar la prueba de penetración hasta que sean independientes desde el punto de vista organizativo. Significa que el probador de penetración debe ser organizativamente independiente de la gestión de los sistemas de destino. Por ejemplo, si una empresa de terceros está involucrada en la instalación, el mantenimiento o el soporte de los sistemas de destino, esa parte no puede realizar pruebas de penetración.
Aquí hay algunas pautas que lo ayudarán al llamar a un probador de penetración.
Certificación
Una persona certificada puede realizar pruebas de penetración. La certificación que posee el probador es la indicación de sus habilidades y la competencia del probador de penetración capaz.
Los siguientes son ejemplos importantes de certificación de pruebas de penetración:
Hacker ético certificado (CEH).
Profesional certificado en seguridad ofensiva (OSCP).
Certificaciones de pruebas de penetración CREST.
Certificación IT Health Check Service de Communication Electronic Security Group (CESG).
Certificaciones de Certificación de Aseguramiento de la Información Global (GIAC), por ejemplo, Probador de Penetración Certificado GIAC (GPEN), Probador de Penetración de Aplicaciones Web GIAC (GWAPT), Probador de Penetración Avanzada (GXPN) e Investigador de Explotaciones GIAC.
Experiencia pasada
Las siguientes preguntas lo ayudarán a contratar un probador de penetración efectivo:
¿Cuántos años de experiencia tiene el probador de penetración?
¿Es un probador de penetración independiente o trabaja para una organización?
¿Con cuántas empresas trabajó como tester de penetración?
¿Ha realizado pruebas de penetración para alguna organización que tenga un tamaño y alcance similar a la suya?
¿Qué tipo de experiencia tiene el probador de penetración? Por ejemplo, realizar pruebas de penetración de la capa de red, etc.
También puede solicitar la referencia de otros clientes para los que trabajó.
Al contratar a un probador de penetración, es importante evaluar la experiencia de prueba del año pasado de la organización para la que él (probador) ha trabajado, ya que está relacionada con las tecnologías implementadas específicamente por él dentro del entorno objetivo.
Además de lo anterior, para situaciones complejas y requisitos típicos del cliente, se recomienda evaluar la capacidad de un probador para manejar un entorno similar en su proyecto anterior.
Papel de un probador de penetración
Un probador de penetración tiene las siguientes funciones:
Identificar la asignación ineficiente de herramientas y tecnología.
Pruebas en los sistemas de seguridad internos.
Identifique las exposiciones para proteger los datos más críticos.
Descubra un conocimiento invaluable sobre vulnerabilidades y riesgos en toda la infraestructura.
Informar y priorizar recomendaciones de corrección para garantizar que el equipo de seguridad esté utilizando su tiempo de la manera más eficaz, al tiempo que protege las mayores brechas de seguridad.
No es necesario que un probador de penetración experimentado pueda escribir un buen informe, ya que escribir un informe de las pruebas de penetración es un arte que debe aprenderse por separado.
¿Qué es la redacción de informes?
En las pruebas de penetración, la redacción de informes es una tarea integral que incluye metodología, procedimientos, explicación adecuada del contenido y diseño del informe, ejemplo detallado de informe de prueba y la experiencia personal del evaluador. Una vez que se prepara el informe, se comparte entre el personal directivo superior y el equipo técnico de las organizaciones objetivo. Si surge alguna necesidad de este tipo en el futuro, se utiliza este informe como referencia.
Etapas de redacción de informes
Debido al trabajo de redacción integral involucrado, la redacción de informes de penetración se clasifica en las siguientes etapas:
- Planificación de informes
- Recolección de información
- Redacción del primer borrador
- Revisión y finalización
Planificación de informes
La planificación de informes comienza con los objetivos, que ayudan a los lectores a comprender los puntos principales de las pruebas de penetración. Esta parte describe por qué se realizan las pruebas, cuáles son los beneficios de las pruebas de penetración, etc. En segundo lugar, la planificación del informe también incluye el tiempo necesario para las pruebas.
Los elementos principales de la redacción de informes son:
Objectives - Describe el propósito general y los beneficios de las pruebas de penetración.
Time- La inclusión de tiempo es muy importante, ya que da el estado exacto del sistema. Supongamos que, si algo malo sucede más tarde, este informe salvará al evaluador, ya que el informe ilustrará los riesgos y vulnerabilidades en el alcance de las pruebas de penetración durante el período de tiempo específico.
Target Audience - El informe de prueba de lápiz también debe incluir la audiencia objetivo, como el gerente de seguridad de la información, el gerente de tecnología de la información, el director de seguridad de la información y el equipo técnico.
Report Classification- Dado que es altamente confidencial y contiene direcciones IP de servidor, información de aplicaciones, vulnerabilidades, amenazas, debe clasificarse adecuadamente. Sin embargo, esta clasificación debe realizarse sobre la base de la organización objetivo que tiene una política de clasificación de información.
Report Distribution- El número de copias y la distribución del informe deben mencionarse en el alcance del trabajo. También es necesario mencionar que las copias impresas se pueden controlar imprimiendo un número limitado de copias adjuntas con su número y el nombre del destinatario.
Recolección de información
Debido a los procesos complicados y prolongados, el probador de la pluma debe mencionar cada paso para asegurarse de que recopiló toda la información en todas las etapas de la prueba. Junto con los métodos, también debe mencionar los sistemas y herramientas, los resultados del escaneo, las evaluaciones de vulnerabilidad, los detalles de sus hallazgos, etc.
Redacción del primer borrador
Una vez, el probador está listo con todas las herramientas e información, ahora necesita comenzar el primer borrador. Principalmente, necesita escribir el primer borrador en los detalles, mencionando todo, es decir, todas las actividades, procesos y experiencias.
Revisión y finalización
Una vez redactado el informe, primero debe ser revisado por el redactor mismo y luego por sus superiores o colegas que puedan haberlo ayudado. Mientras revisa, se espera que el revisor verifique cada detalle del informe y encuentre cualquier falla que deba corregirse.
Contenido del informe de pruebas de penetración
A continuación se muestra el contenido típico de un informe de prueba de penetración:
Resumen Ejecutivo
Metodología
Hallazgos detallados
Referencias
|
El rápido crecimiento de Internet ha cambiado la forma de vida de todos. Actualmente, la mayoría de las obras públicas y privadas dependen de Internet. Todos los planes de trabajo secretos del gobierno y las operaciones se basan en Internet. Todas estas cosas hicieron la vida muy simple y fácilmente accesible.
Pero con la buena noticia, también hay una cara oscura de este desarrollo, es decir, el hacker criminal. No hay ninguna limitación geopolítica de estos piratas informáticos criminales, pueden piratear cualquier sistema desde cualquier parte del mundo. Pueden dañar gravemente los datos confidenciales y el historial crediticio.
Por lo tanto, para protegerse de los piratas informáticos criminales, evolucionó el concepto de pirata informático ético. Este capítulo analiza el concepto y el papel de un hacker ético.
¿Quiénes son los Ethical Hackers?
Los piratas informáticos éticos son los expertos en informática que están autorizados legalmente a piratear un sistema informático con el objetivo de proteger de los piratas informáticos criminales. Un pirata informático ético identifica las vulnerabilidades y los riesgos de un sistema y sugiere cómo eliminarlos.
¿Quiénes son los hackers criminales?
Los piratas informáticos son aquellos expertos en programación informática que piratean otros sistemas con la intención de robar datos, robar dinero, difamar el crédito de otros, destruir datos de otros, chantajear a alguien, etc.
¿Qué pueden hacer los hackers criminales?
Una vez que un sistema es pirateado, un hacker criminal puede hacer cualquier cosa con ese sistema. Las siguientes dos imágenes CC Palmer, que se publican en pdf.textfiles.com, ilustran un ejemplo simple de una página pirateada:
Aquí hay una captura de pantalla de una página web tomada antes de que fuera pirateada:
Y aquí está la captura de pantalla de la misma página web después de que fue pirateada:
¿Cuáles son los conjuntos de habilidades de los hackers éticos?
Los piratas informáticos éticos expertos tienen los siguientes conjuntos de habilidades para piratear el sistema éticamente
Deben ser dignos de confianza.
Cualesquiera que sean los riesgos y vulnerabilidades que descubran mientras prueban el sistema, deben mantenerlos confidenciales.
Los clientes proporcionan información confidencial sobre la infraestructura de su sistema, como la dirección IP, la contraseña, etc. Los piratas informáticos éticos deben mantener la confidencialidad de esta información.
Los piratas informáticos éticos deben tener un conocimiento sólido de programación de computadoras, redes y hardware.
Deben tener buenas habilidades analíticas para analizar la situación y especular el riesgo de antemano.
Deben tener la habilidad de administrar junto con la paciencia, ya que la prueba de penetración puede llevar un día, una semana o incluso más.
¿Qué hacen los Ethical Hackers?
Los piratas informáticos éticos, mientras realizan pruebas de penetración, básicamente tratan de encontrar las respuestas a las siguientes preguntas:
- ¿Cuáles son los puntos débiles que puede atacar un hacker criminal?
- ¿Qué puede ver un pirata informático en los sistemas de destino?
- ¿Qué puede hacer un hacker criminal con esa información confidencial?
Además, se requiere que un pirata informático ético aborde adecuadamente las vulnerabilidades y los riesgos, que descubrió que existen en el (los) sistema (s) objetivo. Necesita explicar y sugerir los procedimientos de evitación. Finalmente, prepare un informe final de todas sus actividades éticas que hizo y observó mientras realizaba las pruebas de penetración.
Tipos de piratas informáticos
Los piratas informáticos normalmente se dividen en tres categorías.
Hackers de sombrero negro
Un "pirata informático de sombrero negro" es un individuo que tiene un extenso software de computadora y hardware y su propósito es violar o eludir la seguridad de Internet de otra persona. Los hackers de sombrero negro también son populares como crackers o hackers del lado oscuro.
Hackers de sombrero blanco
El término "pirata informático de sombrero blanco" se refiere a un pirata informático ético que es un experto en seguridad informática, especializado en pruebas de penetración y en otras metodologías de prueba asociadas. Su función principal es garantizar la seguridad del sistema de información de una organización.
Hacker de sombrero gris
El término "pirata informático de sombrero gris" se refiere a un pirata informático que rompe el sistema de seguridad informática cuyos estándares éticos se encuentran en algún lugar entre puramente ético y únicamente malicioso.
Las pruebas de penetración están muy relacionadas con la piratería ética, por lo que estos dos términos a menudo se usan indistintamente. Sin embargo, existe una delgada línea de diferencia entre estos dos términos. Este capítulo proporciona información sobre algunos conceptos básicos y las diferencias fundamentales entre las pruebas de penetración y la piratería ética.
Pruebas de penetración
La prueba de penetración es un término específico y se enfoca solo en descubrir las vulnerabilidades, los riesgos y el entorno objetivo con el propósito de asegurar y tomar el control del sistema. O en otras palabras, las pruebas de penetración apuntan a los sistemas de defensa de la organización respectiva que consisten en todos los sistemas informáticos y su infraestructura.
Hackeo ético
Por otro lado, piratería ética es un término extenso que cubre todas las técnicas de piratería y otras técnicas de ataque informático asociadas. Entonces, además de descubrir las fallas y vulnerabilidades de seguridad, y garantizar la seguridad del sistema de destino, está más allá de piratear el sistema, pero con un permiso para salvaguardar la seguridad para un propósito futuro. Por lo tanto, podemos decir que es un término general y las pruebas de penetración son una de las características del pirateo ético.
Las siguientes son las principales diferencias entre las pruebas de penetración y la piratería ética, que se enumeran en la siguiente tabla:
| Pruebas de penetración | Hackeo ético |
|---|---|
| Un término limitado se centra en las pruebas de penetración solo para proteger el sistema de seguridad. | Una prueba integral de término y penetración es una de sus características. |
| Básicamente, un evaluador necesita tener un conocimiento integral de todo lo que se requiere para tener el conocimiento solo del área específica para la que realiza pruebas de penetración. | Un hacker ético esencialmente necesita tener un conocimiento integral de programación de software y hardware. |
| Un evaluador no necesariamente requiere ser un buen redactor de informes. | Un hacker ético esencialmente necesita ser un experto en redacción de informes. |
| Cualquier probador con algunas entradas de pruebas de penetración puede realizar pruebas de penetración. | Requiere ser un profesional experto en la materia, que cuente con la certificación obligatoria de hacking ético para ser efectivo. |
| El papeleo en menos en comparación con la piratería ética. | Se requiere un trabajo de papel detallado, incluido un acuerdo legal, etc. |
| Para realizar este tipo de pruebas, se requiere menos tiempo. | La piratería ética implica mucho tiempo y esfuerzo en comparación con las pruebas de penetración. |
| Normalmente, la accesibilidad de sistemas informáticos completos y su infraestructura no lo requiere. Se requiere accesibilidad solo para la parte para la cual el probador realiza la prueba de lápiz. | As per the situation, it normally requires a whole range of accessibility all computer systems and its infrastructure. |
Since penetration techniques are used to protect from threats, the potential attackers are also swiftly becoming more and more sophisticated and inventing new weak points in the current applications. Hence, a particular sort of single penetration testing is not sufficient to protect your security of the tested systems.
As per the report, in some cases, a new security loophole is discovered and successful attack took place immediately after the penetration testing. However, it does not mean that the penetration testing is useless. It only means that, this is true that with thorough penetration testing, there is no guarantee that a successful attack will not take place, but definitely, the test will substantially reduce the possibility of a successful attack.
Because of the swift pace of developments in the field of information and technology, the success story of penetration testing is comparatively short-lived. As more protection to the systems is required, more often than you need to perform penetration testing in order to diminish the possibility of a successful attack to the level that is appreciated by the company.
Following are the major limitations of Penetration Testing −
Limitation of Time − As all of us know, penetration testing is not at all time bound exercise; nevertheless, experts of penetration testing have allotted a fixed amount of time for each test. On the other hand, attackers have no time constrains, they plan it in a week, month, or even years.
Limitation of Scope − Many of the organizations do not test everything, because of their own limitations, including resource constraints, security constraints, budget constraints, etc. Likewise, a tester has limited scope and he has to leave many parts of the systems that might be much more vulnerable and can be a perfect niche for the attacker.
Limitation on Access − More often testers have restricted access to the target environment. For example, if a company has carried out the penetration test against its DMZ systems from all across its internet networks, but what if the attackers attack through the normal internet gateway.
Limitation of Methods − There are chances that the target system can crash during a penetration test, so some of the particular attack methods would likely be turned off the table for a professional penetration tester. For example, producing a denial of service flood to divert a system or network administrator from another attack method, usually an ideal tactic for a really bad guy, but it is likely to fall outside of the rules of engagement for most of the professional penetration testers.
Limitation of Skill-sets of a Penetration Tester − Usually, professional penetration testers are limited as they have limited skills irrespective of their expertise and past experience. Most of them are focused on a particular technology and having rare knowledge of other fields.
Limitation of Known Exploits − Many of the testers are aware with only those exploits, which are public. In fact, their imaginative power is not as developed as attackers. Attackers normally think much beyond a tester’s thinking and discover the flaw to attack.
Limitation to Experiment − Most of the testers are time bound and follow the instructions already given to them by their organization or seniors. They do not try something new. They do not think beyond the given instructions. On the other hand, attackers are free to think, to experiment, and to create some new path to attack.
Además, las pruebas de penetración no pueden reemplazar las pruebas de seguridad de TI de rutina, ni pueden sustituir una política de seguridad general, sino que las pruebas de penetración complementan los procedimientos de revisión establecidos y descubren nuevas amenazas.
Los esfuerzos de las pruebas de penetración, por minuciosos que sean, no siempre pueden garantizar un descubrimiento exhaustivo de todos los casos en los que la eficacia de un control de seguridad es insuficiente. Es posible que la identificación de una vulnerabilidad o riesgo de secuencias de comandos entre sitios en un área de una aplicación no exponga definitivamente todas las instancias de esta vulnerabilidad presentes en la aplicación. Este capítulo ilustra el concepto y la utilidad de la remediación.
¿Qué es la remediación?
La corrección es un acto de ofrecer una mejora para reemplazar un error y corregirlo. A menudo, la presencia de vulnerabilidad en un área puede indicar debilidad en el proceso o las prácticas de desarrollo que podrían haber replicado o permitido una vulnerabilidad similar en otras ubicaciones. Por lo tanto, al corregir, es importante que el evaluador investigue cuidadosamente la entidad o aplicaciones probadas teniendo en cuenta los controles de seguridad ineficaces.
Por estas razones, la compañía respectiva debe tomar medidas para remediar cualquier vulnerabilidad explotable dentro de un período de tiempo razonable después de la prueba de penetración original. De hecho, tan pronto como la empresa haya completado estos pasos, el probador de lápiz debe realizar una nueva prueba para validar los controles recientemente implementados que son capaces de mitigar el riesgo original.
Los esfuerzos de remediación que se extienden por un período más largo después de la prueba de penetración inicial posiblemente requieran realizar un nuevo compromiso de prueba para garantizar resultados precisos en el entorno más actual. Esta determinación debe hacerse después de un análisis de riesgo de cuánto cambio ha ocurrido desde que se completó la prueba original.
Además, en condiciones específicas, el problema de seguridad señalado puede ilustrar un defecto básico en el entorno o aplicación respectivos. Por lo tanto, el alcance de una nueva prueba debe considerar si los cambios causados por la remediación identificados en la prueba se clasifican como significativos. Todos los cambios deben volver a probarse; sin embargo, la evaluación de riesgos de los cambios determinará si es necesaria o no una nueva prueba del sistema completo.
Antes de permitir que alguien pruebe datos confidenciales, las empresas normalmente toman medidas con respecto a la disponibilidad, confidencialidad e integridad de los datos. Para que este acuerdo esté vigente, el cumplimiento legal es una actividad necesaria para una organización.
Las regulaciones legales más importantes que deben observarse al establecer y mantener sistemas de seguridad y autorización se presentan a continuación en contexto para su uso en la implementación de pruebas de penetración.
¿Cuáles son los problemas legales?
A continuación se presentan algunos de los problemas que pueden surgir entre un evaluador y su cliente:
El probador es desconocido para su cliente, por lo que, por qué motivo, se le debe otorgar acceso a datos confidenciales
¿Quién tomará la garantía de seguridad de los datos perdidos?
El cliente puede culpar por la pérdida de datos o la confidencialidad al tester
Las pruebas de penetración pueden afectar el rendimiento del sistema y pueden generar problemas de confidencialidad e integridad; por lo tanto, esto es muy importante, incluso en una prueba de penetración interna, que es realizada por personal interno para obtener permiso por escrito. Debe haber un acuerdo por escrito entre un evaluador y la empresa / organización / individuo para aclarar todos los puntos relacionados con la seguridad de los datos, divulgación, etc. antes de comenzar la prueba.
UN statement of intentdebe ser redactado y debidamente firmado por ambas partes antes de cualquier trabajo de prueba. Debe quedar claramente delineado el alcance del trabajo y eso, usted puede y no puede estar haciendo mientras realiza las pruebas de vulnerabilidad.
Para el evaluador, es importante saber quién es el propietario del negocio o los sistemas en los que se solicita trabajar, y la infraestructura entre los sistemas de prueba y sus objetivos que pueden verse potencialmente afectados por las pruebas de penetración. La idea es asegurarse;
the tester tiene el permiso por escrito, con parámetros claramente definidos.
the company tiene los detalles de su pen tester y la garantía de que no filtrará ningún dato confidencial.
Un acuerdo legal es beneficioso para ambas partes. Recuerde, las regulaciones cambian de un país a otro, así que manténgase al tanto de las leyes de su país respectivo. Firme un acuerdo solo después de considerar las leyes respectivas.