Hacking ético: prueba de penetración

Las pruebas de penetración son un método que siguen muchas empresas para minimizar sus brechas de seguridad. Esta es una forma controlada de contratar a un profesional que intentará piratear su sistema y le mostrará las lagunas que debe solucionar.

Antes de realizar una prueba de penetración, es obligatorio tener un acuerdo que mencione explícitamente los siguientes parámetros:

  • cual sera el tiempo de la prueba de penetracion,

  • dónde estará la fuente de IP del ataque, y

  • cuáles serán los campos de penetración del sistema.

Las pruebas de penetración son realizadas por piratas informáticos éticos profesionales que utilizan principalmente herramientas comerciales de código abierto, automatizan herramientas y verificaciones manuales. No hay restricciones; el objetivo más importante aquí es descubrir tantas fallas de seguridad como sea posible.

Tipos de pruebas de penetración

Tenemos cinco tipos de pruebas de penetración:

  • Black Box- Aquí, el hacker ético no tiene ninguna información sobre la infraestructura o la red de la organización que está tratando de penetrar. En las pruebas de penetración de caja negra, el pirata informático intenta encontrar la información por sus propios medios.

  • Grey Box - Es un tipo de prueba de penetración donde el hacker ético tiene un conocimiento parcial de la infraestructura, como su servidor de nombres de dominio.

  • White Box - En las pruebas de penetración de caja blanca, el hacker ético recibe toda la información necesaria sobre la infraestructura y la red de la organización que necesita para penetrar.

  • External Penetration Testing- Este tipo de pruebas de penetración se enfoca principalmente en la infraestructura de red o servidores y su software operando bajo la infraestructura. En este caso, el hacker ético intenta el ataque utilizando redes públicas a través de Internet. El pirata informático intenta piratear la infraestructura de la empresa atacando sus páginas web, servidores web, servidores DNS públicos, etc.

  • Internal Penetration Testing - En este tipo de pruebas de penetración, el hacker ético se encuentra dentro de la red de la empresa y desde allí realiza sus pruebas.

Las pruebas de penetración también pueden causar problemas como fallas en el sistema, fallas del sistema o pérdida de datos. Por lo tanto, una empresa debe tomar riesgos calculados antes de continuar con las pruebas de penetración. El riesgo se calcula de la siguiente manera y es un riesgo de gestión.

RISK = Threat × Vulnerability

Ejemplo

Tiene un sitio web de comercio electrónico en línea que está en producción. Quieres hacer una prueba de penetración antes de publicarlo. Aquí, primero debes sopesar los pros y los contras. Si continúa con las pruebas de penetración, podría provocar la interrupción del servicio. Por el contrario, si no desea realizar una prueba de penetración, entonces puede correr el riesgo de tener una vulnerabilidad sin parchear que permanecerá como una amenaza todo el tiempo.

Antes de realizar una prueba de penetración, se recomienda que indique por escrito el alcance del proyecto. Debe tener claro lo que se va a probar. Por ejemplo

  • Su empresa tiene una VPN o cualquier otra técnica de acceso remoto y desea probar ese punto en particular.

  • Su aplicación tiene servidores web con bases de datos, por lo que es posible que desee probarla para detectar ataques de inyección SQL, que es una de las pruebas más cruciales en un servidor web. Además, puede comprobar si su servidor web es inmune a los ataques DoS.

Consejos rápidos

Antes de continuar con una prueba de penetración, debe tener en cuenta los siguientes puntos:

  • Primero comprenda sus requisitos y evalúe todos los riesgos.

  • Contrate a una persona certificada para realizar la prueba de penetración porque está capacitada para aplicar todos los métodos y técnicas posibles para descubrir posibles lagunas en una red o aplicación web.

  • Firme siempre un acuerdo antes de realizar una prueba de penetración.