PenTesting: la metodología definitiva

Jorge Cabezas: Analista Tecnológico

Jorge Cabezas: Analista Tecnológico

Las compañías han tomado consciencia de la importancia de la ciberseguridad en el negocio y de las ventajas del Pentesting.

La prueba de penetración (“PenTesting” para abreviar), es una herramienta valiosa que puede probar e identificar las posibles vías en que los atacantes podrían explotar las vulnerabilidades de sus activos críticos.

La inteligencia llevó aires de control real con el pentesting acelerando datos sobre la priorización, la velocidad y la eficacia para prevenir pérdidas financieras, protegiendo la reputación de la marca y manteniendo la confianza del cliente.

Seis colores de la prueba de penetración

Cada tipo de 6 pruebas de penetración está representado por un color (aunque no es tan colorido como el arco iris que vemos en el cielo después de una lluvia de primavera) y tiene sus propias ventajas y desventajas.

Las organizaciones pueden optar por realizar solo un tipo de prueba de penetración, mientras que otras pueden decidir que se realicen varios tipos para una evaluación más completa según su postura de seguridad.

Las pruebas de caja negra, gris y blanca se utilizan para probar la vulnerabilidad cibernética de una infraestructura como aplicaciones, nube y dispositivos conectados.

Los equipos de evaluadores también se definen por colores, y cada equipo de color proporciona una función única para la prueba de medición de sustentabilidad cibernética de la organización.

Caja negra

Al realizar una evaluación de caja negra, los evaluadores de penetración tienen un conocimiento limitado de la red.

Por ejemplo, sabrán el nombre de host y la IP de un servidor público, pero no tendrán información para la infraestructura de la red, los sistemas operativos o las protecciones de seguridad.

Al intentar penetrar en la red para descubrir tantas vulnerabilidades como puedan encontrar, este método imita un entorno “real” para encontrar vulnerabilidades usando muchas de las mismas herramientas que usarían los atacantes.

Caja blanca

En este escenario, los evaluadores tienen más acceso e información sobre el entorno, como los derechos de administración y los archivos de configuración.

Este tipo de pruebas requiere menos tiempo que las pruebas de caja negra, pero no revela cómo los atacantes pueden obtener acceso externo no autorizado.

Sin embargo, puede proporcionar información sobre vulnerabilidades si un atacante ha obtenido acceso y derechos internos.

Caja gris

La prueba de caja gris cae en algún lugar entre la caja negra y la prueba de caja blanca. El cliente comparte cierta información limitada, como un inicio de sesión de usuario o una visión general de la red.

El alcance y la información y el acceso que se proporcionan dependen de los requisitos de prueba del cliente.

La caja gris tiene los beneficios de las pruebas de caja negra, pero también puede hacer pruebas más profundas donde sea necesario con información adicional proporcionada.

Caja roja

Los miembros del equipo rojo realizan técnicas de seguridad ofensivas basadas en objetivos específicos, como intentar penetrar en una base de datos y extraer registros confidenciales. El equipo rojo simula un atacante y busca vulnerabilidades explotables.

Caja azul

El equipo azul tiene la tarea de defender contra los ataques del equipo rojo. Hacen uso de registros, capturas de tráfico, SIEM y datos de inteligencia de amenazas para detectar y defenderse contra ataques del equipo rojo.

El equipo azul es el equipo de seguridad interno de una organización y los ejercicios con el equipo rojo son para mejorar la defensa del equipo interno y la respuesta a los ataques.

Caja púrpura

La idea de que el equipo rojo y el equipo azul trabajen juntos es un equipo púrpura. Este tipo de participación permite al equipo azul evaluar sus capacidades de detección y respuesta a incidentes frente a amenazas reales.

 Así que podemos ver aquí que la elección de las pruebas de una organización realmente depende del tipo de información que desean aprender. Pero además de elegir las pruebas de penetración, también tendrá que decidir sobre el alcance de la prueba y qué tipo de sistemas deben incluirse en la prueba.

Entonces, ¿qué cómo definimos al Pentested?

Las diferentes áreas de la red y los sistemas se pueden saturar, como aplicaciones web, móviles y en la nube, o infraestructura de red e inalámbrica.

Aplicaciones web:

cuando se prueba con una aplicación web, el penetrador creará un mapa del sitio para entender la aplicación y ejecutará pruebas contra ella, como puertos abiertos, verificará si hay configuraciones predeterminadas o mal configuradas.

Los evaluadores buscarán mensajes de error detallados y examinarán las páginas de inicio de sesión o los formularios en línea. Algunas de las vulnerabilidades que los penetradores están buscando incluyen inyecciones de SQL, secuencias de comandos entre sitios, fallas de cifrado o inyecciones de plantillas y XML.

Aplicaciones móviles:

similares a las pruebas de aplicaciones web, las pruebas móviles incluirán una evaluación del sistema operativo y el mapeo de aplicaciones. Los evaluadores de penetración analizarán diversos factores como el sistema de archivos, el tiempo de ejecución, los ataques TCP y HTTP.

Las posibles vulnerabilidades que pueden revelarse son las API inseguras, los artefactos de archivos confidenciales, el tráfico de texto sin formato y las inyecciones de SQL.

Infraestructura y conexión inalámbrica:

el objetivo de la infraestructura y la prueba inalámbrica es identificar vulnerabilidades explotables en dispositivos, sistemas y hosts de red.

Los evaluadores de penetración querrán identificar los protocolos en uso, como CDP, WEP y SNMP.

También buscarán descubrir modelos de dispositivos de red y qué versiones de software están en uso. Las vulnerabilidades más probables de ser descubiertas incluyen el uso de contraseñas débiles o predeterminadas, faltan parches, puertos abiertos innecesarios y SNMP v1 o v2 aún en uso.

Aplicaciones en la nube:

las aplicaciones de nube pública de Pentesting significan que debe notificar al proveedor antes de comenzar cualquier prueba y es común que existan algunas restricciones con respecto a los tipos de pruebas que se pueden realizar.

Las pruebas en la nube pueden incluir aplicaciones, almacenamiento, virtualización y cumplimiento.

Por lo tanto, dependiendo de lo que se encuentre dentro del alcance de la prueba, los evaluadores podrían verificar elementos como el acceso a datos, el aislamiento de máquinas virtuales y el cumplimiento de las regulaciones.

Los resultados de la prueba podrían incluir cifrado no compatible, máquinas virtuales no aisladas adecuadamente, vulnerabilidades de API y contraseñas débiles.

Del dicho al hecho dentro de su compañía

La importancia de tener una postura de seguridad sólida, que requiere que se evalúe la seguridad para garantizar que funciona como se espera y que los encargados de administrar la infraestructura de seguridad mantengan los estándares y procedimientos adecuados.

Las pruebas de penetración realizadas por un tercero brindan una perspectiva imparcial de la postura de ciberseguridad de la organización, pero deben estar certificadas y tener experiencia.

El valor de un tercero evaluador es uno que puede aportar un pentesting basado en inteligencia que proporciona la capacidad de ver las actividades del equipo rojo en un sistema de inteligencia de amenazas y crear flujos de trabajo automatizados para las actividades del equipo azul.

Las actividades y resultados de Pentesting tendrán más éxito con un entorno pentest holístico que se integre con otras plataformas, como la protección de riesgo digital ArgosTM, en lugar de los servicios de pentesting inconexos.

 

Por Jorge Cabezas – Analista Tecnológico