Test de intrusión

INTRODUCCION

En la actualidad, las organizaciones encaran el doble riesgo de ataques externos a sus activos digitales y el abuso interno de los privilegios de acceso.  A pesar de que muchas de sus conexiones a Internet están protegidas por firewalls, IDS/IPS, muchas también no tienen sistemas adecuados de seguridad.  Debido a esto, los hackers, y los códigos que éstos programan siguen causando devastación a redes de computadoras, y las consecuentes pérdidas económicas, de imagen y credibilidad de sus víctimas.

Una Prueba de Penetración es una prueba independiente usada para simular posibles acciones de usuarios no autorizados, internos y externos, que se infiltran en los sistemas de cómputo y en los datos confidenciales que ellos almacenan (SP 800-115). Con estas acciones se busca identificar vulnerabilidades que existen en una red o en un sistema, utilizando la disciplina de la seguridad de redes llamada Ethical Hacking, la cual se sustenta en el hecho de que la mejor forma que tienen las empresas para estar protegidas contra hackers es conocer cómo operan y cuáles herramientas usan.

La metodología para realizar el test de intrusión comprende:

  • Conocimiento de los servicios y componentes a explotar.
  • Las direcciones IP.
  • Definir las herramientas a utilizar.
  • Realizar las pruebas.
  • Presentar informe de resultados.
  • Plan de remediación.

 

METODOLOGIA RECOMENDADA

El alcance de la prueba de penetración externa, intenta conocer hasta dónde un hacker externo podría penetrar los sistemas.  La prueba se debe enfocar en identificar las vulnerabilidades que un hacker competente podría explotar para ganar acceso privilegiado a los sistemas.

El servicio  utiliza una metodología propietaria basada en las mejores prácticas de la industria de seguridad de la información, entre otras, la Information Systems Security and Assessment Framework (ISSAF), Open Web Application Security Project (OWASP) y  (Open Source Security Testing Methodology Manual) OSSTMM v3.0.  La prueba  se desarrolla a través de las siguientes fases:

  • Planear prueba.  Durante esta fase se define el alcance de la prueba, los términos contractuales, acuerdo de confidencialidad, los permisos del cliente, los horarios y el término de la prueba son definidos, los cuales son parte de las Reglas de Compromiso (Rules of Engagement).
  • Reconocimiento.En especial utilizada no sólo para conocer el objetivo, sino también para identificar cuáles podrían ser potenciales vulnerabilidades. Utilizaremos en esta ocasión tanto el reconocimiento pasivo como el activo.
  • Scanning.Se realizan los rastreos, inventario de direccionamiento y servicios y analizamos los factores que envuelvan a estos elementos en posibles oportunidades de intrusión.
  • Enumeración.Durante esta etapa se busca descubrir la mayor cantidad de activos de la institución mediante exploraciones directas a las redes, de forma externa.  Mediante este inventario de los activos se puede determinar el tamaño de la red y las posibles rutas de intrusión a la misma, además de cuentas de correo, nombres de usuarios y grupos de usuarios entre otras cosas.
  • Análisis de Vulnerabilidades.Se utilizan herramientas tanto open source como comerciales con Bases de Datos actualizadas de vulnerabilidades para evaluar los sistemas y sus posibles debilidades.
  • Penetración y Escalamiento de Privilegios, (System Hacking). En esta fase cruzamos el perímetro y mantenemos conexión, para realizar diversas actividades que demuestren el compromiso de los sistemas. La prueba de penetración en sí, según la OSSTMM v.3.0 se refiere generalmente a la meta del proyecto que incluye ganar acceso a privilegios bajo un escenario controlado y acordado.

Una de las preocupaciones más importantes de los profesionales de la seguridad de la información es el aumento en la cantidad de vulnerabilidades encontradas en los sistemas tecnológicos, las cuales son el blanco predilecto de herramientas de software cada vez más poderosas en su capacidad de ocasionar daños a los sistemas de información y la  infraestructura que los soporta.

Lo anterior nos lleva a pensar que se necesita contar con una estrategia más coherente y efectiva para mitigar esta inquietante y crítica amenaza, de tal manera, que hemos recopilado una serie de actividades y recomendaciones que le ayudarán a ciertas empresas a realizar un análisis a nivel técnico de las vulnerabilidades de software,  asociadas a sus activos de tecnológicos.

Leave a comment