Posted by q3it on miércoles, junio 23, 2021 in Ciberseguridad
Disponer de una metodología bien definida, dota a los expertos de un marco perfectamente regulado y acotado que permite establecer los límites del análisis tanto a nivel técnico como legal. A lo largo de los años y con el avance y madurez de la disciplina del análisis de intrusión o pen-testing, diferentes organismos han creado metodologías e incluso estándares para dar respuesta a esa necesidad. En este apartado se citarán dos de las metodologías más utilizadas para este cometido.
PTES (Penetration Testing Execution Standard): Fué desarrollado por un equipo de profesionales de seguridad de la información con el objetivo de abordar la necesidad de un estándar completo y actualizado en las pruebas de penetración. Además de guiar a los profesionales de seguridad, también intentan dar información a las empresas de que es lo que deben esperar de una prueba de penetración.
El PTES está hecho de dos partes principales que se complementan entre sí. Las pautas de pentest describen las principales secciones y pasos de una prueba de penetración, mientras que las pautas técnicas discuten las herramientas y técnicas específicas que se utilizarán en cada paso.
Los detalles de la metodología se pueden encontrar en http://www.pentest-standard.org/index.php/Main_Page.
Las siguientes son las secciones principales definidas por el estándar como la base para la ejecución de la prueba de penetración:
- Interacciones previas al compromiso.
- Recogida de la información.
- Modelado de amenazas.
- Análisis de vulnerabilidad.
- Explotación.
- Post-Explotación.
- Informes.
OWASP (Open Web Application Security Proyect): Es una fundación sin ánimo de lucro dedicada a ofrecer un punto de referencia para todos los aspectos que afectan a la seguridad de aplicaciones web. En particular, OWASP crea y distribuye diferentes documentos de políticas y guías relacionados con la seguridad. Entre estos documentos se encuentra OWASP testing guide que se encuentra disponible en el siguiente enlace: http://www.owasp.org/index.php/OWASP_Testing_Project.
Esta guía establece un marco de referencia que ayuda a desarrolladores y expertos en seguridad a llevar a cabo extensivas pruebas de seguridad sobre aplicaciones web y detectar posibles fallos.
Metodologías en pruebas de intrusión
En el apartado anterior se presentan dos guías diferentes de como estructurar un test de intrusión. En este punto se intenta unificar los planteamientos de éstas y aportar conocimientos técnicos para aplicarlos en un proyecto. Con esto se pretende dar un esquema de forma clara de las fases que se utilizan, de como están compuestas y de las acciones que se ejecutan en cada una de ellas.
- Fase I: Compromiso previo
Esta fase comprende las actividades a realizar antes de acometer la prueba de intrusión. El paso más importante durante esta fase es conseguir la autorización formal y expresa de la alta dirección para la realización de la prueba. Para ello, es necesario establecer previamente el grado de profundidad y extensión de la prueba.
- Fase II: Recopilación de la información
La primera actividad por realizar durante una prueba de intrusión es la recopilación de toda la información posible acerca de los elementos y procesos incluidos en el alcance. Esta fase nos ayudará a conocer el estado actual de los elementos que vamos a probar y facilita mucho la realización de los siguientes pasos.
- Fase III: Análisis de vulnerabilidades
Durante esta fase empezamos a aplicar técnicas de escaneo automático y manual para descubrir el mayor número de vulnerabilidades existentes en el ámbito del alcance de la prueba.
- Fase IV: Explotación
Tras identificar las debilidades existentes en los sistemas y los procesos, queda encargarse de llevar a cabo las pruebas que establecen los modelos de amenazas y diseñar los modelos de ataque. En estos escenarios se identifican los sistemas y la información afectada y se evalúa la probabilidad de que ese escenario llegue a materializarse.
- Fase V: Post-explotación
Una vez se ha conseguido acceso al objetivo, se debe entender el entorno y a quien esté detrás. Ahora estando dentro del sistema se necesita conseguir toda la información posible sobre el software que se utiliza, los parches aplicados, protecciones (Antivirus, Firewall, IDS), si estamos en una máquina virtual, procesos y servicios activos, tiempo de actividad/inactividad, segmentos de red, etc.
- Fase VI: Informe de Resultados
Realizadas todas las pruebas y explotadas todas las vulnerabilidades descubiertas en el sistema informático, se debe documentar todos los descubrimientos conseguidos durante la prueba. Este reporte además debe contener todas las eventualidades, incidentes y situaciones excepcionales que pueden haber surgido durante la prueba.
