PRUEBAS DE PENETRACIÓN

¿QUÉ ES LA PRUEBA DE PENETRACIÓN?

Una prueba de penetración, también conocida como prueba de lápiz, es un ataque cibernético simulado contra su sistema informático para detectar vulnerabilidades explotables. En el contexto de la seguridad de la aplicación web, las pruebas de penetración se usan comúnmente para aumentar el firewall de una aplicación web (WAF) .

La prueba de la pluma puede implicar el intento de violación de cualquier número de sistemas de aplicación (por ejemplo, interfaces de protocolo de aplicación (API), servidores frontend / backend) para descubrir vulnerabilidades, como entradas no saneadas que son susceptibles de ataques de inyección de código.

Las perspectivas proporcionadas por la prueba de penetración pueden utilizarse para ajustar sus políticas de seguridad WAF y parchear las vulnerabilidades detectadas.

PRUEBAS DE PENETRACIÓN

El proceso de prueba de la pluma se puede dividir en cinco etapas.

1. Planificación y reconocimiento
La primera etapa implica:
• Definición del alcance y los objetivos de una prueba, incluidos los sistemas que deben abordarse y los métodos de prueba que se utilizarán.
• Recopilación de inteligencia (por ejemplo, nombres de red y dominio, servidor de correo) para comprender mejor cómo funciona un objetivo y sus posibles vulnerabilidades.
2. Exploración
El siguiente paso es comprender cómo la aplicación de destino responderá a varios intentos de intrusión. Esto se hace típicamente usando:
• Análisis estático : inspeccionar el código de una aplicación para estimar la forma en que se comporta durante la ejecución. Estas herramientas pueden escanear la totalidad del código en una sola pasada.
• Análisis dinámico : inspeccionar el código de una aplicación en un estado de ejecución. Esta es una forma más práctica de escanear, ya que proporciona una vista en tiempo real del rendimiento de una aplicación.
3. Ganando acceso
Esta etapa utiliza ataques de aplicaciones web, como secuencias de comandos entre sitios , inyección de SQL y puertas traseras , para descubrir las vulnerabilidades de un objetivo. Luego, los evaluadores intentan explotar estas vulnerabilidades, normalmente aumentando los privilegios, robando datos, interceptando el tráfico, etc., para comprender el daño que pueden causar.
4. Mantener el acceso
   El objetivo de esta etapa es ver si la vulnerabilidad se puede utilizar para lograr una presencia persistente en el sistema explotado, el tiempo suficiente para que un mal actor obtenga un acceso en profundidad. La idea es imitar las amenazas persistentes avanzadas , que a menudo permanecen en un sistema durante meses para robar los datos más confidenciales de una organización.
5. Análisis
Los resultados de la prueba de penetración se compilan en un informe que detalla:
• Vulnerabilidades específicas que fueron explotadas.
• Datos sensibles a los que se accedió.
• La cantidad de tiempo que el probador de lápiz pudo permanecer en el sistema sin ser detectado
Esta información es analizada por el personal de seguridad para ayudar a configurar las configuraciones WAF de una empresa y otras soluciones de seguridad de aplicaciones para parchear vulnerabilidades y protegerse contra futuros ataques.

MÉTODOS DE PRUEBA DE PENETRACIÓN

PRUEBAS EXTERNAS

Las pruebas de penetración externas se enfocan en los activos de una compañía que están visibles en Internet, por ejemplo, la aplicación web, el sitio web de la compañía y los servidores de correo electrónico y nombres de dominio (DNS). El objetivo es obtener acceso y extraer datos valiosos.

PRUEBAS INTERNAS

En una prueba interna, un probador con acceso a una aplicación detrás de su firewall simula un ataque por parte de un interno malicioso. Esto no es necesariamente simular a un empleado deshonesto. Un escenario de inicio común puede ser un empleado cuyas credenciales fueron robadas debido a un ataque de phishing .

PRUEBA DE CIEGOS

En una prueba a ciegas, a un probador solo se le da el nombre de la empresa a la que se dirige. Esto le da al personal de seguridad una perspectiva en tiempo real de cómo se llevaría a cabo un asalto real de la aplicación.

PRUEBA DOBLE CIEGO

En una prueba de doble ciego, el personal de seguridad no tiene conocimiento previo del ataque simulado. Como en el mundo real, no tendrán tiempo para reforzar sus defensas ante un intento de violación.

PRUEBAS DIRIGIDAS

En este escenario, tanto el probador como el personal de seguridad trabajan juntos y se mantienen al tanto de sus movimientos. Este es un ejercicio de entrenamiento valioso que proporciona a un equipo de seguridad retroalimentación en tiempo real desde el punto de vista de un hacker.

PRUEBAS DE PENETRACIÓN Y FIREWALLS DE APLICACIONES WEB

Las pruebas de penetración y los WAF son medidas de seguridad exclusivas, pero mutuamente beneficiosas.

Para muchos tipos de pruebas con lápiz (con la excepción de las pruebas a ciegas y doble ciego), es probable que el probador utilice datos WAF, como registros, para localizar y explotar los puntos débiles de una aplicación.

A su vez, los administradores de WAF pueden beneficiarse de los datos de prueba de la pluma. Una vez que se completa una prueba, las configuraciones de WAF se pueden actualizar para proteger contra los puntos débiles descubiertos en la prueba.

Finalmente, las pruebas de lápiz satisfacen algunos de los requisitos de cumplimiento para los procedimientos de auditoría de seguridad, incluidos PCI DSS y SOC 2 . Ciertos estándares, como PCI-DSS 6.6, solo pueden cumplirse mediante el uso de un WAF certificado. Sin embargo, hacerlo no hace que las pruebas con lápiz sean menos útiles debido a los beneficios mencionados anteriormente y su capacidad para mejorar las configuraciones WAF.

Prueba de penetración (t)

Las pruebas de penetración (también llamadas “pen testing”) son una práctica para poner a prueba un sistema informático, red o aplicación web para encontrar vulnerabilidades que un atacante podría explotar.

Las pruebas de penetración (también llamadas “pen testing”) son una práctica para poner a prueba un sistema informático, red o aplicación web para encontrar vulnerabilidades que un atacante podría explotar.

¿Cómo garantizar que sus datos empresariales no están en riesgo en un entorno tan amenazado como el de los servicios de nube? ¿Qué se puede aprender de las grandes brechas de información de los últimos tiempos? Aquí encontrará consejos y mejores prácticas.

Las pruebas de penetración pueden ser automatizadas con aplicaciones de software, o se pueden realizar manualmente. De cualquier manera, el proceso incluye la recopilación de información sobre el objetivo antes de la prueba (reconocimiento), la identificación de posibles puntos de entrada, intentos de entrar (ya sea virtualmente o de manera real) y el reporte de los resultados.

El principal objetivo de las pruebas de penetración consiste en determinar las debilidades de seguridad. Una prueba de penetración también puede ser utilizado para probar el cumplimiento de la política de seguridad de una organización, la conciencia de seguridad de sus empleados y la capacidad de la organización para identificar y responder a los incidentes de seguridad.

Las pruebas de penetración a veces se llaman “ataques de sombrero blanco” debido a que en una prueba de este tipo los tipos buenos están tratando de entrar a la fuerza.

Las estrategias de prueba de penetración son:

Pruebas orientadas a un objetivo

Estas pruebas selectivas se llevan a cabo en conjunto por el equipo de TI de la organización y el equipo de pruebas de penetración. A veces se le llama un enfoque de “luces encendidas” porque cualquiera puede ver el examen que se lleva a cabo.

Comprobación externa

Este tipo de prueba de penetración se dirige a los servidores o dispositivos de la compañía que son visibles externamente, incluyendo servidores de nombres de dominio (DNS), servidores de correo electrónico, servidores web o firewalls. El objetivo es averiguar si un atacante externo puede entrar y hasta dónde puede llegar una vez que ha obtenido acceso.

Pruebas internas

Esta prueba simula un ataque interno detrás del firewall por un usuario autorizado, con privilegios de acceso estándar. Este tipo de prueba es útil para estimar la cantidad de daño que un empleado descontento podría causar.

Pruebas a ciegas

Una estrategia de prueba a ciegas simula las acciones y procedimientos de un atacante real, limitando severamente la información dada de antemano a la persona o equipo que está realizando la prueba. Por lo general, solo se les puede dar el nombre de la empresa. Debido a que este tipo de prueba puede requerir una cantidad considerable de tiempo para el reconocimiento, puede ser costosa.

Las pruebas de doble ciego toman la prueba a ciegas y la llevan un paso más allá. En este tipo de prueba de penetración, solo una o dos personas de la organización pueden ser conscientes de que se está realizando una prueba. Las pruebas de doble ciego pueden ser útiles para probar el monitoreo de seguridad y la identificación de incidentes de la organización, así como sus procedimientos de respuesta.

Referencias

1. Hunt, E. (2012). “Gobierno de los Estados Unidos Programas informáticos de penetración y las implicaciones para la guerra cibernética” , IEEE Anales de la Historia de la computación.
2. Long, J. (2007). Google Hacking para Penetración Testers , Elsevier
   MacKenzie, D. (2001). Mecanizar Prueba: Informática, riesgo y confianza . El MIT Press
3. MacKenzie, D.; Garrell P. (1997). “Matemáticas, Tecnología y Confianza: Verificación Formal, Seguridad Informática, y los EE.UU. Militar” ‘,’ Anales de IEEE la Historia de la computación.
4. McClure, S. (2009) hacking Exposed: Secretos de seguridad de red y soluciones , McGraw-Hill
5. Russell, D.; G. T. Gangemi, S. (1991). Computación Básica de Seguridad . O’Reilly Media
6. Yost, J. (2007) “Una historia de Estándares de Seguridad Informática”, en La historia de la Seguridad de la Información: Un Manual Integral ‘.’, Elsevier
7. http://dsantana.uas.edu.mx/index.php/2016/03/11/prueba-de-penetracion-pen-test/