Posted by q3it on viernes, junio 18, 2021 in Ciberseguridad
Las pruebas de intrusión son en su esencia ataques a los sistemas. Un hacker intenta estudiar un sistema o una red para identificar y explotar sus debilidades, su fin es saltarse los mecanismos de seguridad del sistema, obtener acceso y realizar alguna acción, normalmente resultante en daños económicos y personales. El objetivo de un analista realizando un test de intrusión (también llamado pen-tester) es exactamente lo mismo, exceptuando un importantísimo punto: el analista detiene su actividad en el momento en el que detecta que sus acciones pueden tener un efecto adverso sobre los datos o sistemas bajo análisis.
Es debido a este hecho, las evaluaciones de vulnerabilidades son realizadas por profesionales de la seguridad, que a la vez han tomado la denominación de Hackers Éticos. Para realizar un eficiente análisis de vulnerabilidades se debería partir de la base ¿Qué grado de conocimiento se tiene del entorno a analizar? este conocimiento puede ser total, parcial o inexistente. Dependiendo de estos tres grados de información disponible, se identifican tres tipos de Test de Intrusión:
- Caja Blanca (White Box): En las pruebas de caja blanca los profesionales a cargo de realizar el análisis conocen con exactitud los diferentes detalles internos de los sistemas y aplicaciones bajo análisis. Este tipo de pruebas suelen estar asociados a proyectos internos en los que el equipo dispone de abundante documentación acerca del entorno de la prueba.
- Caja Gris (Grey Box): Estas pruebas caen en el terreno entre las pruebas de caja blanca y caja negra. En esta categoría el equipo de análisis dispone de cierta información de alto nivel que le permite dibujar una imagen general del entorno. Esta información suele provenir de fuentes públicas e información no clasificada. Este tipo de pruebas se suelen realizar para determinar el grado de exposición resultante de información fácilmente obtenible por cualquier persona.
- Caja Negra (Black Box): Las pruebas de caja negra se realizan sin ningún tipo de conocimiento previo. En este tipo de pruebas, los profesionales deben hacer todo lo posible para comprometer la seguridad del entorno sin conocer las entrañas de los sistemas, redes y aplicaciones. Estas pruebas intentan simular un ataque externo.
También se deberían tener claros varios aspectos:
- Alcance de los activos dentro del escenario: Esto indicará la autorización que se tiene sobre determinados activos y nos permitirá desarrollar acciones en un esquema predefinido.
- Ámbito de actuación: Esto delimitará las secciones, departamentos o sucursales dentro o fuera de la empresa y ayudará a centrar la búsqueda de vulnerabilidades en una parte o en el total de la organización.
- Si la organización es conocedora de todos los detalles: Este punto es esencial porque en él se apoyará el análisis para actuar sobre el objetivo. Para este proyecto se va a tener la colaboración parcial de la organización dando como principal recurso el acceso a su Intranet, y con ello tomar como referencia el test de Caja Gris.
- Si los vectores se aplican de forma parcial o total: Un vector de ataque se refiere literalmente a un agujero o falla en la defensa establecida. Lo que se debería tener claro es si podemos explotar las debilidades del sistema de forma que comprometamos toda la organización o solo detectar, reportar e inmediatamente parchear.
- El tiempo lo tenemos acotado por días, semanas o meses: Para el proceso de Análisis se va a disponer de un rango de dieciséis días, al finalizar este tiempo se evaluarán los fallos y se procederá a su reparación.
Metodología
Disponer de una metodología bien definida, dota a los expertos de un marco perfectamente regulado y acotado que permite establecer los límites del análisis tanto a nivel técnico como legal. A lo largo de los años y con el avance y madurez de la disciplina del análisis de intrusión o pen-testing, diferentes organismos han creado metodologías e incluso estándares para dar respuesta a esa necesidad.
PTES (Penetration Testing Execution Standard): Fué desarrollado por un equipo de profesionales de seguridad de la información con el objetivo de abordar la necesidad de un estándar completo y actualizado en las pruebas de penetración. Además de guiar a los profesionales de seguridad, también intentan dar información a las empresas de que es lo que deben esperar de una prueba de penetración.
Las siguientes son las secciones principales definidas por el estándar como la base para la ejecución de la prueba de penetración:
1. Interacciones previas al compromiso.
2. Recogida de la información.
3. Modelado de amenazas.
4. Análisis de vulnerabilidad.
5. Explotación.
6. Post-Explotación.
7. Informe.
Fase I: Compromiso previo
Esta fase comprende las actividades a realizar antes de acometer la prueba de intrusión. El paso más importante durante esta fase es conseguir la autorización formal y expresa de la alta dirección para la realización de la prueba. Para ello, es necesario establecer previamente el grado de profundidad y extensión de la prueba.
Fase II: Recopilación de la información
La primera actividad por realizar durante la prueba del test es la recopilación de toda la información posible acerca de los elementos y procesos incluidos en la organización. Esta fase nos ayudará a conocer el estado actual de los elementos que vamos a probar y facilita mucho la realización de los siguientes pasos.
Fase III: Análisis de vulnerabilidades
Durante esta fase empezamos a aplicar técnicas de escaneo automático y manual para descubrir el mayor número de vulnerabilidades existentes en el ámbito del alcance de la prueba.
Fase IV: Explotación
Tras identificar las debilidades existentes en los sistemas y los procesos, queda encargarse de llevar a cabo las pruebas que establecen los modelos de amenazas y diseñar los modelos de ataque. En estos escenarios se identifican los sistemas y la información afectada y se evalúa la probabilidad de que ese escenario llegue a materializarse.
Fase V: Post-explotación
Una vez se ha conseguido acceso al objetivo, se debe entender el entorno y a quien esté detrás. Ahora estando dentro del sistema se necesita conseguir toda la información posible sobre el software que se utiliza, los parches aplicados, protecciones (Antivirus, Firewall, IDS), si estamos en una máquina virtual, procesos y servicios activos, tiempo de actividad/inactividad, segmentos de red, etc.
Fase VI: Informe de Resultados
Realizadas todas las pruebas y explotadas todas las vulnerabilidades descubiertas en el sistema informático, se debe documentar todos los descubrimientos conseguidos durante la prueba. Este reporte además debe contener todas las eventualidades, incidentes y situaciones excepcionales que pueden haber surgido durante la prueba.
