Redes y Seguridad

5 reglas de participación de pentesting (RoE): Qué considerar al realizar las pruebas de penetración

Micaasell
Written by Micaasell

Penetration testing y ethical hacking son formas proactivas de probar aplicaciones web mediante la realización de ataques que son similares a un ataque real que podría ocurrir en un día determinado. Se ejecutan de forma controlada con el objetivo de encontrar la mayor cantidad posible de fallas de seguridad y brindar retroalimentación sobre cómo mitigar los riesgos que plantean tales fallas.
Las empresas preocupadas por la seguridad han implementado pruebas de penetración integradas, evaluaciones de vulnerabilidad y revisiones de código fuente en su ciclo de desarrollo de software. Por lo tanto, cuando lanzan una nueva aplicación, ya ha pasado por varias etapas de prueba y corrección.
Al planificar la ejecución de un proyecto de pruebas de penetración, ya sea para un cliente como probador de penetración profesional o como parte del equipo de seguridad interno de una empresa, hay aspectos que siempre deben tenerse en cuenta antes de comenzar el compromiso.

Rules of Engagement for Pentesting

Rules of Engagement (RoE) es un documento que trata sobre la forma en que se realizará la prueba de penetración. Algunas de las directivas que deben especificarse claramente en RoE antes de comenzar la prueba de penetración son las siguientes:

• El tipo y alcance de las pruebas
• Datos de contacto del cliente
• Notificaciones del equipo de TI del cliente
• Manejo de datos sensibles
• Reunión de estado e informes

Tipo y Alcance de la Pruebas

El tipo de prueba puede ser black box, white box o grey box, intermedia, dependiendo de cómo se realice el compromiso y la cantidad de información compartida con el equipo de pruebas.
Hay cosas que se pueden y no se pueden hacer en cada tipo de prueba. Con las Black Box, el equipo de pruebas trabaja desde el punto de vista de un atacante que es externo a la organización, ya que el probador de penetración comienza desde cero e intenta identificar el mapa de la red, los mecanismos de defensa implementados, los sitios web y servicios orientados a Internet, etcétera.
Aunque este enfoque puede ser más realista para simular un atacante externo, debe tener en cuenta que dicha información puede obtenerse fácilmente de fuentes públicas o que el atacante puede ser un empleado o ex empleado descontento que ya la posee. Por lo tanto, puede ser una pérdida de tiempo y dinero adoptar un enfoque de caja negra si, por ejemplo, el objetivo es una aplicación interna destinada a ser utilizada solo por empleados.

White Box testing, es donde el equipo de prueba recibe toda la información disponible sobre los objetivos, a veces incluso incluido el código fuente de las aplicaciones, de modo que se invierte poco o ningún tiempo en el reconocimiento y el escaneo. Una prueba de caja gris sería entonces cuando se proporcione al equipo de pruebas información parcial, como URL de aplicaciones, documentación a nivel de usuario y / o cuentas de usuario.

Gray box testing, es especialmente útil a la hora de probar aplicaciones web, ya que el objetivo principal es encontrar vulnerabilidades dentro de la propia aplicación, no en el servidor o la red de alojamiento. Los probadores de penetración pueden trabajar con las cuentas de los usuarios para adoptar el punto de vista de un usuario malintencionado o un atacante que obtuvo acceso a través de la ingeniería social.

Datos de contacto del cliente

Podemos estar de acuerdo en que incluso cuando tomamos todas las precauciones necesarias al realizar las pruebas, a veces las pruebas pueden salir mal porque implican hacer que las computadoras hagan cosas desagradables. Tener la información de contacto correcta del lado del cliente realmente ayuda. A menudo, una prueba de penetración se convierte en un ataque de denegación de servicio (DoS). El equipo técnico del lado del cliente debe estar disponible las 24 horas del día, los 7 días de la semana en caso de que una computadora se apague y se necesite un restablecimiento completo para volver a ponerla en línea.

Notificaciones del equipo de TI del cliente

Las pruebas de penetración también se utilizan como un medio para verificar la preparación del personal de soporte para responder a incidentes e intentos de intrusión. Debe discutir esto con el cliente, ya sea que se trate de una prueba anunciada o no anunciada. Si se trata de una prueba anunciada, asegúrese de informar al cliente de la hora y la fecha, así como las direcciones IP de origen desde donde se realizará la prueba (ataque), para evitar que su TI pierda cualquier intento de intrusión real. equipo de seguridad. Si se trata de una prueba no anunciada, hable con el cliente sobre lo que sucederá si la prueba es bloqueada por un sistema automatizado o un administrador de red. ¿La prueba termina ahí o continúas probando? Todo depende del objetivo de la prueba, si se lleva a cabo para probar la seguridad de la infraestructura o para verificar la respuesta del equipo de seguridad de la red y manejo de incidentes. Incluso si está realizando una prueba sin previo aviso, asegúrese de que alguien en la matriz de escalamiento sepa la hora y la fecha de la prueba. Las pruebas de penetración de aplicaciones web generalmente se anuncian.

Manejo de datos sensibles

Durante la preparación y ejecución de la prueba, el equipo de pruebas recibirá y también podrá encontrar información confidencial sobre la empresa, el sistema y / o sus usuarios. El manejo de datos confidenciales necesita atención especial en el RoE y se deben tomar las medidas adecuadas de almacenamiento y comunicación (por ejemplo, cifrado completo del disco en las computadoras de los probadores, cifrado de informes si se envían por correo electrónico, etc.). Si su cliente está cubierto por las diversas leyes reguladoras, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), la Ley Gramm-Leach-Bliley (GLBA) o las leyes europeas de privacidad de datos, solo el personal autorizado debe poder ver información personal. datos del usuario.

Reunión de estado e informes

La comunicación es clave para una prueba de penetración exitosa. Deben programarse reuniones periódicas entre el equipo de prueba y la organización del cliente y los informes de estado de rutina deben ser emitidos por el equipo de prueba. El equipo de pruebas debe presentar qué tan lejos han llegado y qué vulnerabilidades se han encontrado hasta ese momento. La organización del cliente también debe confirmar si sus sistemas de detección han activado alguna alerta resultante del intento de penetración. Si se está probando un servidor web y se implementó un WAF, debería haber registrado y bloqueado los intentos de ataque. Como práctica recomendada, el equipo de pruebas también debe documentar el momento en que se realizó la prueba. Esto ayudará al equipo de seguridad a correlacionar los registros con las pruebas de penetración.

Conclusiones

Rules of Engagement for Pentesting, como se menciono anteriormente, es un documento que trata sobre algunas de las directivas que se deben considerar antes de comenzar una prueba de penetración sin importar el tipo de empresa o el ambiente donde se vaya a trabajar. Esperamos que esta entrada sirva como guía para las personas que empiezan en el mundo del Pentesting.