FASES DEL PENTESTING Aprende como hacer auditoria de HACKING a empresas

En el siguiente post estaremos hablando sobre las fases FASES DEL PENTESTING Aprender como hacer auditoria de HACKING a una empresa de una manera legal, ademas de ello continuación al final del post vinculamos un Videoconferencia en la cual se organizo con nuestros amigos Zero Seguridad Informática esta fue impartida en nuestra pagina de facebook.  



Metodología PTES (Penetration Testing Execution Standard)

La metodología se divide en 7 aspectos los cuales se basan en técnicas a como se estructura una prueba de penetración.
  • Fase de Pre-acuerdo
  • Fase recolección de información
  • Análisis de vulnerabilidades
  • Modelado de amenaza
  • Fase de explotación
  • Fase de Post-explotación
  • Fase de reportes

Fase de contacto Preacuerdo


En esta fase es donde se tiene el contacto entre el analista de seguridad o el auditor y el cliente, se hace el acuerdo entre el alcance del test, los formularios que se auditarán, los sistemas, los dominios si es una empresa grande, los costos por la auditoría.

Se definen las fechas estimadas en entrega del reporte final, regularmente los primeros formularios son los que se cobran mucho más caros, ya que no conocemos la estructura de su código
Se explica al cliente los tipos de test de penetración:

  • Black box
  • Gray box
  • White box

Tipos de test de penetración

Test de caja negra (Black Box)

Las pruebas de caja negra implican la realización de una evaluación de la seguridad y pruebas sin
conocimiento previo de la infraestructura o de la infraestructura de red a probar. La prueba simula
un ataque de un hacker malicioso fuera del perímetro de seguridad de la organización.

Test de caja gris (Gray Box)

Las pruebas de caja gris implican la evaluación de la seguridad y pruebas internas.
Las pruebas examinan el grado de acceso a información privilegiada dentro de la red.
El propósito de esta prueba es para simular las formas más comunes de ataque, los que se inician desde dentro de la red.

Test de caja blanca (White Box)

Las pruebas de caja blanca implican la evaluación de la seguridad y las pruebas son con conocimiento completo de la infraestructura de red, en este caso se conoce como auditorías internas.

Fase de recolección de información.

En la Fase de recolección de información tenemos muchos métodos sobre cómo hacerlo.
La recolección de información es importante porque a través de esto nos dará ideas sobre el objetivo sobre el cual estamos trabajando. Los métodos más comunes son:
  • Google Hacking
  • Osint
  • Doxing

Lo que se pretende es sacar la mayor cantidad de información para proceder a hacer un perfil, como, por ejemplo, la identificación del sistema, registro de dominio, tipo puertos abiertos, el sistema web si corresponde a un cms.

Fase de Análisis de vulnerabilidades.

Como el nombre lo indica es donde ya comenzamos a interactuar de forma activa con el objetivo y la finalidad es:
Analizar el sistema de forma manual o automática para identificar posibles vulnerabilidades

En este apartado básicamente se define el ámbito y alcance del test de intrusión. Se llega a un acuerdo con el cliente acotando la profundidad de las pruebas a realizar, permisividad de ataques (ataques DOS, fuerza bruta…), enfoque del test (caja negra, gris o blanca) presentación de evidencias (goals), etc.

Fase de modelado de amenaza.

Para esta fase es muy importante ver que ya hemos extraído la información necesaria, porque con base a toda la información recaudada vamos a gestionar nuestro perfil de ataque, y veremos sobre la creación de nuestros diccionarios para ataques de fuerza bruta.

  1. Un modelo de amenazas es en esencia una representación estructurada de toda la información que afecta a la seguridad de una aplicación. En sí, es una vista de la aplicación y su entorno a través de los "anteojos" de la seguridad.
  2. El modelado de amenazas es un proceso para capturar, organizar y analizar toda esta información. Permite tomar decisiones informadas sobre los riesgos de seguridad en las aplicaciones. Además de producir un modelo, los esfuerzos para un modelado de amenazas típico también producen una lista priorizada de mejoras de seguridad en los requisitos, diseño e implementación de las aplicaciones.

Fase de Explotación

Una vez ya realizado nuestro modelado de amenaza que es el que nos ayuda a ver de qué manera atacaremos al sistema, porque puerto acceder, o que vulnerabilidad activa vamos a explotar todo esto con la finalidad de acceder al sistema objetivo. Por ejemplo, si un sistema tiene el servidor con el puerto 21 activo y tienen las credenciales por defecto es por donde nosotros vamos a acceder y si no tienen credenciales por defecto haremos uso de la fuerza bruta por diccionario que ya previamente se deben haber hecho con la información obtenida.

Fase de post-explotación.

Esta fase solo tiene que ver si la intrusión al sistema es decir la explotación se ha llevado con éxito, esta fase se lleva a cabo siempre después de ganar el acceso y consta de la recolección de información privilegiada como por ejemplo archivos alojados en un servidor o sistema, consta de implantar un backdoor, troyano o keylogger (Claro eso si no fuera un test ético) la finalidad es demostrar al cliente que si alguien con malas intenciones hiciera un test podría acceder al sistema y robar la información de igual forma y sobre todo plantar un backdoor o dejar ese servidor como botnet.


Generación de reportes.

Esta es la parte, aunque la más aburrida para nosotros, y claro porque solo tenemos que escribir detalladamente todos los errores de seguridad que hemos encontrado, los procesos que realizamos.

Existen dos tipos de reportes que se deben de generar
  • Reporte técnico (Para los administradores del sistema)

Esta clase de reportes las generamos y escribimos las terminologías apropiadas y de ser posible se anexan las posibles soluciones que deberían llevar a implementación, de tal manera que sea lo mejor detallado posible.
  • Reporte ejecutivo (Para la mesa directiva)

Este reporte se diferencia del otro tipo en que este reporte se debe escribir las palabras apropiadas para que personas ajenas al mundo de la informática pueda entender.

Claro finalmente esto se debe exponer al cliente o la mesa directiva que ha contratado al auditor.

Vídeo Conferencia Realizada con nuestros amigos de Zero Seguridad  

PUBLICACIÓN ANTERIOR
Next Post

10 comentarios: