- Conocimiento de los servicios y componentes a explotar.
- Las direcciones IP.
- Definir las herramientas a utilizar.
- Realizar las pruebas.
- Presentar informe de resultados.
- Plan de remediación.
METODOLOGIA RECOMENDADA
El alcance de la prueba de penetración externa, intenta conocer hasta dónde un hacker externo podría penetrar los sistemas. La prueba se debe enfocar en identificar las vulnerabilidades que un hacker competente podría explotar para ganar acceso privilegiado a los sistemas.
El servicio utiliza una metodología propietaria basada en las mejores prácticas de la industria de seguridad de la información, entre otras, la Information Systems Security and Assessment Framework (ISSAF), Open Web Application Security Project (OWASP) y (Open Source Security Testing Methodology Manual) OSSTMM v3.0. La prueba se desarrolla a través de las siguientes fases:
- Planear prueba. Durante esta fase se define el alcance de la prueba, los términos contractuales, acuerdo de confidencialidad, los permisos del cliente, los horarios y el término de la prueba son definidos, los cuales son parte de las Reglas de Compromiso (Rules of Engagement).
- Reconocimiento.En especial utilizada no sólo para conocer el objetivo, sino también para identificar cuáles podrían ser potenciales vulnerabilidades. Utilizaremos en esta ocasión tanto el reconocimiento pasivo como el activo.
- Scanning.Se realizan los rastreos, inventario de direccionamiento y servicios y analizamos los factores que envuelvan a estos elementos en posibles oportunidades de intrusión.
- Enumeración.Durante esta etapa se busca descubrir la mayor cantidad de activos de la institución mediante exploraciones directas a las redes, de forma externa. Mediante este inventario de los activos se puede determinar el tamaño de la red y las posibles rutas de intrusión a la misma, además de cuentas de correo, nombres de usuarios y grupos de usuarios entre otras cosas.
- Análisis de Vulnerabilidades.Se utilizan herramientas tanto open source como comerciales con Bases de Datos actualizadas de vulnerabilidades para evaluar los sistemas y sus posibles debilidades.
- Penetración y Escalamiento de Privilegios, (System Hacking). En esta fase cruzamos el perímetro y mantenemos conexión, para realizar diversas actividades que demuestren el compromiso de los sistemas. La prueba de penetración en sí, según la OSSTMM v.3.0 se refiere generalmente a la meta del proyecto que incluye ganar acceso a privilegios bajo un escenario controlado y acordado.
Una de las preocupaciones más importantes de los profesionales de la seguridad de la información es el aumento en la cantidad de vulnerabilidades encontradas en los sistemas tecnológicos, las cuales son el blanco predilecto de herramientas de software cada vez más poderosas en su capacidad de ocasionar daños a los sistemas de información y la infraestructura que los soporta.
Lo anterior nos lleva a pensar que se necesita contar con una estrategia más coherente y efectiva para mitigar esta inquietante y crítica amenaza, de tal manera, que hemos recopilado una serie de actividades y recomendaciones que le ayudarán a ciertas empresas a realizar un análisis a nivel técnico de las vulnerabilidades de software, asociadas a sus activos de tecnológicos.