Metodología de evaluación
En los últimos tiempos, tanto las organizaciones gubernamentales como privadas han tomado la seguridad cibernética como una prioridad estratégica. Los ciberdelincuentes a menudo han convertido a las organizaciones gubernamentales y privadas en sus objetivos fáciles mediante el uso de diferentes vectores de ataque. Desafortunadamente, debido a la falta de políticas eficientes, estándares y complejidad del sistema de información, los ciberdelincuentes tienen una gran cantidad de objetivos y están teniendo éxito en la explotación del sistema y también en el robo de información.
Las pruebas de penetración son una estrategia que se puede utilizar para mitigar los riesgos de ciberataques. El éxito de las pruebas de penetración depende de una metodología de evaluación eficiente y coherente.
Contamos con una variedad de metodologías de evaluación relacionadas con las pruebas de penetración. El beneficio de utilizar una metodología es que permite a los evaluadores evaluar un entorno de forma coherente. A continuación se presentan algunas metodologías importantes:
Manual de metodología de pruebas de seguridad de código abierto (OSSTMM)
Proyecto de seguridad de aplicaciones web abiertas (OWASP)
Instituto Nacional de Estándares y Tecnología (NIST)
Estándar de ejecución de pruebas de penetración (PTES)
¿Qué es PTES?
PTES, estándar de ejecución de pruebas de penetración, como su nombre lo indica, es una metodología de evaluación para las pruebas de penetración. Cubre todo lo relacionado con una prueba de penetración. Tenemos una serie de pautas técnicas, dentro de PTES, relacionadas con los diferentes entornos que puede encontrar un evaluador. Esta es la mayor ventaja del uso de PTES por parte de nuevos evaluadores porque las directrices técnicas tienen sugerencias para abordar y evaluar el entorno dentro de las herramientas estándar de la industria.
En la siguiente sección, conoceremos las diferentes fases de PTES.
Siete fases de PTES
El estándar de ejecución de pruebas de penetración (PTES) consta de siete fases. Estas fases cubren todo lo relacionado con una prueba de penetración, desde la comunicación inicial y el razonamiento detrás de un pentest, hasta las fases de recopilación de inteligencia y modelado de amenazas en las que los evaluadores trabajan detrás de escena. Esto conduce a una mejor comprensión de la organización probada, a través de la investigación de vulnerabilidades, explotación y post explotación. Aquí, la experiencia técnica en seguridad de los evaluadores se combina de manera crítica con la comprensión comercial del compromiso y, finalmente, con los informes, que capturan todo el proceso, de una manera que tiene sentido para el cliente y le brinda el mayor valor.
Aprenderemos sobre las siete fases de PTES en nuestras secciones posteriores:
Fase de interacciones previas al compromiso
Esta es la primera y muy importante fase de PTES. El objetivo principal de esta fase es explicar las herramientas y técnicas disponibles, que ayudan en un paso previo al compromiso exitoso de una prueba de penetración. Cualquier error al implementar esta fase puede tener un impacto significativo en el resto de la evaluación. Esta fase comprende lo siguiente:
Solicitud de evaluación
La primera parte con la que comienza esta fase es la creación de una solicitud de evaluación por parte de la organización. UNRequest for Proposal (RFP) Se proporciona a los evaluadores un documento con los detalles sobre el medio ambiente, el tipo de evaluación requerida y las expectativas de la organización.
Ofertas
Ahora, basado en el RFP documento, múltiples firmas de tasación o Corporaciones de Responsabilidad Limitada (LLC) individuales presentarán una oferta y la parte cuya oferta coincide con el trabajo solicitado, el precio y algunos otros parámetros específicos ganará.
Firma de la carta de compromiso (EL)
Ahora, la organización y el partido que ganó la licitación firmarán un contrato de Carta de Compromiso (EL). La carta tendrá elstatement of work (SOW) y el producto final.
Reunión de alcance
Una vez que se firma el EL, se puede comenzar a ajustar el alcance. Estas reuniones ayudan a una organización y al partido a ajustar un ámbito particular. El objetivo principal de la reunión de alcance es discutir qué se probará.
Manejo de la fluencia del alcance
La variación del alcance es algo en lo que el cliente puede intentar agregar o extender el nivel de trabajo prometido para obtener más de lo que prometió pagar. Es por eso que las modificaciones al alcance original deben considerarse cuidadosamente debido al tiempo y los recursos. También debe completarse de alguna forma documentada, como correo electrónico, documento firmado o carta autorizada, etc.
Cuestionarios
Durante las comunicaciones iniciales con el cliente, hay varias preguntas que el cliente tendrá que responder para una estimación adecuada del alcance del compromiso. Estas preguntas están diseñadas para proporcionar una mejor comprensión de lo que el cliente busca obtener de la prueba de penetración; por qué el cliente busca que se realice una prueba de penetración en su entorno; y si quieren o no que se realicen ciertos tipos de pruebas durante la prueba de penetración.
Manera de realizar la prueba
La última parte de la fase previa al compromiso es decidir el procedimiento para realizar la prueba. Hay varias estrategias de prueba como White Box, Black Box, Gray Box, pruebas de doble ciego para elegir.
A continuación se muestran algunos ejemplos de evaluaciones que pueden solicitarse:
- Prueba de penetración de la red
- Prueba de penetración de aplicaciones web
- Prueba de penetración de la red inalámbrica
- Prueba de penetración física
- Ingeniería social
- Phishing
- Protocolo de voz sobre Internet (VOIP)
- Red interna
- Red externa
Fase de recopilación de inteligencia
La recopilación de inteligencia, la segunda fase de PTES, es donde realizamos el levantamiento preliminar contra un objetivo para recopilar la mayor cantidad de información posible para ser utilizada al penetrar en el objetivo durante las fases de evaluación de vulnerabilidad y explotación. Ayuda a las organizaciones a determinar la exposición externa por parte del equipo de evaluación. Podemos dividir la recopilación de información en los siguientes tres niveles:
Recopilación de información de nivel 1
Las herramientas automatizadas pueden obtener este nivel de información casi en su totalidad. El esfuerzo de recopilación de información de nivel 1 debe ser apropiado para cumplir con el requisito de cumplimiento.
Recopilación de información de nivel 2
Este nivel de información se puede obtener mediante el uso de herramientas automatizadas del nivel 1 junto con algunos análisis manuales. Este nivel necesita una buena comprensión del negocio, incluida información como la ubicación física, la relación comercial, el organigrama, etc. El esfuerzo de recopilación de información del nivel 2 debe ser apropiado para cumplir con el requisito de cumplimiento junto con otras necesidades, como la estrategia de seguridad a largo plazo, adquirir fabricantes más pequeños, etc.
Recopilación de información de nivel 3
Este nivel de recopilación de información se utiliza en la prueba de penetración más avanzada. Toda la información del nivel 1 y del nivel 2, junto con muchos análisis manuales, es necesaria para la recopilación de información del nivel 3.
Fase de modelado de amenazas
Esta es la tercera fase de PTES. Se requiere un enfoque de modelado de amenazas para la correcta ejecución de las pruebas de penetración. El modelado de amenazas se puede utilizar como parte de una prueba de penetración o se puede enfrentar en función de varios factores. En caso de que utilicemos el modelado de amenazas como parte de la prueba de penetración, la información recopilada en la segunda fase se revertiría a la primera.
Los siguientes pasos constituyen la fase de modelado de amenazas:
Reúna la información necesaria y relevante.
Necesidad de identificar y categorizar activos primarios y secundarios.
Necesidad de identificar y categorizar amenazas y comunidades de amenazas.
Necesidad de mapear comunidades de amenazas contra activos primarios y secundarios.
Agentes y comunidades de amenazas
La siguiente tabla enumera las comunidades y agentes de amenazas relevantes junto con su ubicación en la organización:
Ubicación | Interno | Externo |
---|---|---|
Threat agents/communities | Empleados | Compañeros de negocio |
Personas de gestión | Contratistas | |
Administradores (red, sistema) | Competidores | |
Ingenieros | Proveedores | |
Técnicos | Estados nacionales | |
Comunidad general de usuarios | Hackers |
Al realizar la evaluación del modelado de amenazas, debemos recordar que la ubicación de las amenazas puede ser interna. Solo se necesita un correo electrónico de phishing o un empleado molesto que mantiene en juego la seguridad de la organización mediante la transmisión de credenciales.
Fase de análisis de vulnerabilidad
Esta es la cuarta fase de PTES en la que el evaluador identificará los objetivos factibles para realizar más pruebas. En las tres primeras fases de PTES, solo se han extraído los detalles sobre la organización y el evaluador no ha tocado ningún recurso para la prueba. Es la fase de PTES que consume más tiempo.
Las siguientes etapas constituyen el análisis de vulnerabilidad:
Prueba de vulnerabilidad
Puede definirse como el proceso de descubrimiento de fallas tales como configuraciones incorrectas y diseños de aplicaciones inseguros en los sistemas y aplicaciones de host y servicios. El evaluador debe analizar adecuadamente las pruebas y el resultado deseado antes de realizar un análisis de vulnerabilidad. Las pruebas de vulnerabilidad pueden ser de los siguientes tipos:
- Prueba activa
- Prueba pasiva
Discutiremos los dos tipos en detalle en las secciones siguientes.
Prueba activa
Implica la interacción directa con el componente que se está probando para detectar vulnerabilidades de seguridad. Los componentes pueden estar en un nivel bajo, como la pila TCP en un dispositivo de red, o en un nivel alto, como la interfaz basada en web. Las pruebas activas se pueden realizar de las dos formas siguientes:
Prueba activa automatizada
Utiliza el software para interactuar con un objetivo, examinar las respuestas y determinar, basándose en estas respuestas, si existe una vulnerabilidad en el componente o no. La importancia de las pruebas activas automatizadas en comparación con las pruebas activas manuales se puede deducir del hecho de que si hay miles de puertos TCP en un sistema y necesitamos conectarlos todos manualmente para realizar las pruebas, llevaría una cantidad de tiempo considerable. Sin embargo, hacerlo con herramientas automatizadas puede reducir mucho tiempo y mano de obra. El escaneo de vulnerabilidades de red, el escaneo de puertos, la captura de pancartas, el escaneo de aplicaciones web se pueden realizar con la ayuda de herramientas de prueba activas automatizadas.
Prueba activa manual
Las pruebas efectivas manuales son más efectivas en comparación con las pruebas activas automatizadas. El margen de error siempre existe con procesos o tecnología automatizados. Es por eso que siempre se recomienda ejecutar conexiones directas manuales a cada protocolo o servicio disponible en un sistema de destino para validar el resultado de las pruebas automatizadas.
Prueba pasiva
Las pruebas pasivas no implican una interacción directa con el componente. Se puede implementar con la ayuda de las siguientes dos técnicas:
Análisis de metadatos
Esta técnica implica mirar los datos que describen el archivo en lugar de los datos del archivo en sí. Por ejemplo, el archivo de MS Word tiene los metadatos en términos de su nombre de autor, nombre de la empresa, fecha y hora en que el documento se modificó y guardó por última vez. Habría un problema de seguridad si un atacante puede obtener acceso pasivo a los metadatos.
Monitoreo de tráfico
Puede definirse como la técnica para conectarse a una red interna y capturar datos para análisis fuera de línea. Se utiliza principalmente para capturar la“leaking of data” en una red conmutada.
Validación
Después de las pruebas de vulnerabilidad, la validación de los hallazgos es muy necesaria. Se puede hacer con la ayuda de las siguientes técnicas:
Correlación entre herramientas
Si un evaluador está realizando pruebas de vulnerabilidad con múltiples herramientas automatizadas, para validar los hallazgos, es muy necesario tener una correlación entre estas herramientas. Los hallazgos pueden complicarse si no existe tal tipo de correlación entre herramientas. Puede desglosarse en correlación específica de elementos y correlación categórica de elementos.
Validación específica del protocolo
La validación también se puede realizar con la ayuda de protocolos. Se pueden usar VPN, Citrix, DNS, Web, servidor de correo para validar los hallazgos.
Investigación
Después de encontrar y validar la vulnerabilidad en un sistema, es esencial determinar la precisión de la identificación del problema e investigar la potencial explotación de la vulnerabilidad dentro del alcance de la prueba de penetración. La investigación se puede realizar de forma pública o privada. Al realizar una investigación pública, la base de datos de vulnerabilidades y los avisos de proveedores se pueden utilizar para verificar la precisión de un problema informado. Por otro lado, mientras se realiza una investigación privada, se puede configurar un entorno de réplica y se pueden aplicar técnicas como fuzzing o configuraciones de prueba para verificar la precisión de un problema informado.
Fase de explotación
Esta es la quinta fase de PTES. Esta fase se centra en obtener acceso al sistema o recurso evitando las restricciones de seguridad. En esta fase, todo el trabajo realizado por las fases anteriores conduce a acceder al sistema. Hay algunos términos comunes que se utilizan a continuación para obtener acceso al sistema:
- Popped
- Shelled
- Cracked
- Exploited
El sistema de inicio de sesión, en fase de explotación, se puede realizar con la ayuda de código, exploit remoto, creación de exploit, evitando el antivirus o puede ser tan simple como iniciar sesión mediante credenciales débiles. Después de obtener el acceso, es decir, después de identificar el punto de entrada principal, el evaluador debe concentrarse en identificar los activos objetivo de alto valor. Si la fase de análisis de vulnerabilidades se completó correctamente, se debería haber cumplido una lista de objetivos de alto valor. En última instancia, el vector de ataque debe tener en cuenta la probabilidad de éxito y el mayor impacto en la organización.
Fase posterior a la explotación
Esta es la sexta fase de PTES. Un evaluador realiza las siguientes actividades en esta fase:
Análisis de infraestructura
En esta fase se realiza el análisis de toda la infraestructura utilizada durante las pruebas de penetración. Por ejemplo, el análisis de la red o la configuración de la red se puede realizar con la ayuda de interfaces, enrutamiento, servidores DNS, entradas DNS en caché, servidores proxy, etc.
Expoliación
Puede definirse como la obtención de información de hosts específicos. Esta información es relevante para los objetivos definidos en la fase de preevaluación. Esta información se puede obtener de programas instalados, servidores específicos como servidores de bases de datos, impresoras, etc. en el sistema.
Exfiltración de datos
Bajo esta actividad, se requiere que el evaluador realice un mapeo y prueba de todas las posibles rutas de exfiltración para que se pueda realizar la medición de la fuerza del control, es decir, detectar y bloquear información sensible de la organización.
Creando persistencia
Esta actividad incluye la instalación de puertas traseras que requieren autenticación, reinicio de puertas traseras cuando sea necesario y la creación de cuentas alternativas con contraseñas complejas.
Limpiar
Como sugiere el nombre, este proceso cubre los requisitos para limpiar el sistema una vez que se completa la prueba de penetración. Esta actividad incluye el retorno a los valores originales de la configuración del sistema, los parámetros de configuración de la aplicación y la eliminación de todas las puertas traseras instaladas y las cuentas de usuario creadas.
Reportando
Esta es la fase final y más importante de PTES. Aquí, el cliente paga sobre la base del informe final después de completar la prueba de penetración. Básicamente, el informe es un espejo de los hallazgos realizados por el evaluador sobre el sistema. Las siguientes son las partes esenciales de un buen informe:
Resumen Ejecutivo
Este es un informe que le comunica al lector los objetivos específicos de la prueba de penetración y los resultados de alto nivel del ejercicio de prueba. La audiencia destinataria puede ser un miembro del consejo asesor de la suite principal.
Historia
El informe debe contener una historia, que explique lo que se hizo durante el compromiso, los hallazgos o debilidades de seguridad reales y los controles positivos que la organización ha establecido.
Prueba de concepto / informe técnico
La prueba de concepto o informe técnico debe consistir en los detalles técnicos de la prueba y todos los aspectos / componentes acordados como indicadores clave de éxito dentro del ejercicio previo al compromiso. La sección del informe técnico describirá en detalle el alcance, la información, la ruta del ataque, el impacto y las sugerencias de corrección de la prueba.