79659.image3

Cómo utilizar el proceso de prueba de vulnerabilidad y penetración para piratear sus propios sistemas

Al igual que con prácticamente cualquier proyecto de seguridad o de TI, debe planificar las pruebas de seguridad. Se ha dicho que la acción sin planificación es la raíz de cada fracaso. Las cuestiones estratégicas y tácticas en las pruebas de vulnerabilidad y penetración deben determinarse y acordarse de antemano. Para garantizar el éxito de sus esfuerzos de piratería ética , dedique tiempo a planificar cualquier cantidad de pruebas, desde una simple prueba de descifrado de contraseñas del sistema operativo en unos pocos servidores hasta una prueba de penetración de un entorno web complejo.

Si elige contratar a un pirata informático “reformado” para que trabaje con usted durante las pruebas o para obtener una perspectiva independiente, tenga cuidado.

Formulación de su plan de piratería ética

Obtener la aprobación para la piratería ética y las pruebas de seguridad es esencial. Asegúrese de que lo que está haciendo sea conocido y visible, al menos para quienes toman las decisiones. Obtener el patrocinio del proyecto es el primer paso. Así es como se definen sus objetivos de prueba. El patrocinio podría provenir de su gerente, un ejecutivo, su cliente o incluso usted mismo si es el jefe. Necesita que alguien lo respalde y apruebe su plan. De lo contrario, su prueba puede cancelarse inesperadamente si alguien (incluidos terceros, como proveedores de servicios en la nube y alojamiento) afirma que nunca estuvo autorizado para realizar las pruebas. Peor aún, podría ser despedido o acusado de actividad criminal.

La autorización puede ser tan simple como una nota interna o un correo electrónico de su jefe cuando realiza estas pruebas en sus propios sistemas. Si está probando para un cliente, tenga un contrato firmado que indique el apoyo y la autorización del cliente. Obtenga la aprobación por escrito de este patrocinio lo antes posible para asegurarse de que no pierda su tiempo o esfuerzo. Esta documentación es su tarjeta “Salga de la cárcel gratis” si alguien, como su proveedor de servicios de Internet (ISP) , proveedor de servicios en la nube o un proveedor relacionado, le pregunta qué está haciendo o si las autoridades lo llaman. No se ría, no sería la primera vez que sucede.

Un desliz puede bloquear sus sistemas, lo que no es necesariamente lo que todos quieren. Necesita un plan detallado, pero no necesita volúmenes de procedimientos de prueba que hagan que el plan sea demasiado complejo. Un alcance bien definido para un hackeo ético incluye la siguiente información:

  • Sistemas específicos que se probarán: al seleccionar los sistemas que se probarán, comience con los sistemas y procesos más críticos o los que sospecha que son los más vulnerables. Puede probar las contraseñas del sistema operativo del servidor, probar una aplicación web orientada a Internet o intentar la ingeniería social a través del phishing por correo electrónico antes de profundizar en todos sus sistemas.
  • Riesgos involucrados: Tenga un plan de contingencia para su proceso de prueba de seguridad en caso de que algo salga mal. Suponga que está evaluando su firewall o aplicación web y lo elimina. Esta situación puede provocar la falta de disponibilidad del sistema, lo que puede reducir el rendimiento del sistema o la productividad de los empleados. Peor aún, podría causar la pérdida de la integridad de los datos, la pérdida de los datos en sí e incluso una mala publicidad. Seguramente molestará a una persona o dos y te hará quedar mal. Todos estos pueden crear riesgos comerciales.

Maneje la ingeniería social y los ataques DoS con cuidado. Determine cómo podrían afectar a las personas y los sistemas que prueba.

  • Fechas en las que se realizarán las pruebas y cronograma general: determinar cuándo se realizarán las pruebas es algo en lo que debe pensar detenidamente. Decida si desea realizar las pruebas durante el horario comercial normal, tarde en la noche o temprano en la mañana para que los sistemas de producción no se vean afectados. Involucre a otros para asegurarse de que aprueben su tiempo.
LEER  Cómo usar una batería de repuesto para que su computadora portátil funcione durante más tiempo

Es posible que sufra un rechazo y sufra consecuencias relacionadas con DoS, pero el mejor enfoque es un ataque ilimitado, en el que cualquier tipo de prueba es posible en cualquier momento del día. Los malos no están entrando en sus sistemas dentro de un alcance limitado, entonces, ¿por qué debería hacerlo usted? Algunas excepciones a este enfoque son la realización de ataques DoS completos, ingeniería social y pruebas de seguridad física.

  • Si tiene la intención de ser detectado: uno de sus objetivos puede ser realizar las pruebas sin ser detectado. Puede realizar sus pruebas en sistemas remotos o en una oficina remota y no quiere que los usuarios sepan lo que está haciendo. De lo contrario, los usuarios o el personal de TI pueden captarlo y mostrar su mejor comportamiento en lugar de su comportamiento normal.
  • Si dejar los controles de seguridad habilitados: un problema importante, aunque a menudo pasado por alto, es si dejar los controles de seguridad habilitados como firewalls, sistemas de prevención de intrusiones (IPS) y firewalls de aplicaciones web (WAF) para que bloqueen los escaneos y los intentos de explotación. Dejar estos controles habilitados proporciona una imagen del mundo real de dónde están las cosas. Pero hay mucho más valor en deshabilitar estos controles (o permitir la inclusión de su dirección IP) para que pueda abrir las cortinas y encontrar la mayor cantidad de vulnerabilidades.

Mucha gente quiere dejar habilitados sus controles de seguridad. Después de todo, ese enfoque puede hacer que se vean mejor, porque es probable que se bloqueen muchos controles de seguridad. Sin embargo, este enfoque de defensa en profundidad es excelente, pero puede crear una falsa sensación de seguridad y no muestra la imagen completa de la postura de seguridad general de una organización.

  • Conocimiento de los sistemas antes de la prueba: no necesita un conocimiento extenso de los sistemas que está probando, solo un conocimiento básico, que lo protege tanto a usted como a los sistemas probados. Comprender los sistemas que está probando no debería ser difícil si está probando sus propios sistemas internos. Si está probando los sistemas de un cliente, es posible que deba profundizar más. De hecho, solo uno o dos clientes han solicitado una evaluación completamente ciega.

La mayoría de los directores de TI y otros responsables de la seguridad temen las evaluaciones ciegas, que pueden llevar más tiempo, costar más y ser menos eficaces. Base el tipo de prueba que realiza en las necesidades de la organización o del cliente.

  • Acciones a tomar cuando se descubre una vulnerabilidad importante: no se detenga después de encontrar uno o dos agujeros de seguridad; sigue yendo a ver qué más puedes descubrir. Esto no significa que deba seguir probando hasta el final de los tiempos o hasta que bloquee todos sus sistemas; ¡Nadie tiene tiempo para eso! En su lugar, simplemente siga el camino que está siguiendo hasta que no pueda piratearlo más (juego de palabras). Si no ha encontrado ninguna vulnerabilidad, no ha buscado lo suficiente. Las vulnerabilidades están ahí. Si descubre algo importante, debe compartir esa información con los actores clave (desarrolladores, administradores de bases de datos, administradores de TI, etc.) lo antes posible para tapar el agujero antes de que se explote.
  • Los entregables específicos: Los entregables incluyen informes de escaneo de vulnerabilidades y su propio informe destilado que describe las vulnerabilidades importantes para abordar, junto con recomendaciones y contramedidas para implementar.
LEER  Especifique lo que desea compartir a través de una red en su computadora portátil con Windows 10

Seleccionar sus herramientas de piratería ética

Como en cualquier proyecto, si no tiene las herramientas adecuadas para sus pruebas de seguridad, tendrá dificultades para realizar la tarea de manera eficaz. Dicho esto, el hecho de que utilice las herramientas de piratería ética adecuadas no significa que descubrirá todas las vulnerabilidades correctas. La experiencia cuenta.

Conozca las limitaciones de sus herramientas. Muchos escáneres de vulnerabilidades generan falsos positivos y negativos (identifican vulnerabilidades incorrectamente). Otros se saltan las vulnerabilidades. En determinadas situaciones, como probar aplicaciones web, debe ejecutar varios escáneres de vulnerabilidades para encontrar todas las vulnerabilidades.

Muchas herramientas de piratería ética se centran en pruebas específicas y ninguna herramienta puede probar todo. Por la misma razón por la que no clavaría un clavo con un destornillador, no use un escáner de puertos para descubrir vulnerabilidades específicas de la red. Necesita un conjunto de herramientas específicas para la tarea. Cuantas más (y mejores) herramientas tenga, más fáciles serán sus esfuerzos de prueba de seguridad.

Asegúrese de utilizar herramientas como estas para sus tareas de piratería ética:

  • Para descifrar contraseñas, necesita herramientas de descifrado como Ophcrack y Proactive Password Auditor.
  • Para un análisis en profundidad de una aplicación web, un escáner de vulnerabilidades web (como Netsparker o Acunetix web Vulnerability Scanner) es más apropiado que un analizador de red (como Wireshark u Omnipeek).

Se malinterpretan las capacidades de muchas herramientas de piratería ética y de seguridad. Este malentendido ha arrojado una luz negativa sobre herramientas por lo demás excelentes y legítimas; incluso las agencias gubernamentales de todo el mundo están hablando de ilegalizarlos. Parte de este malentendido se debe a la complejidad de algunas herramientas de prueba de seguridad. Independientemente de las herramientas que utilice, familiarícese con ellas antes de empezar a utilizarlas. De esa manera, está preparado para usar las herramientas de piratería ética de la forma en que están destinadas a ser utilizadas. Aquí hay formas de hacerlo:

  • Lea el archivo Léame y / o los archivos de ayuda en línea y las preguntas frecuentes (preguntas frecuentes).
  • Estudie las guías de usuario.
  • Utilice las herramientas en un laboratorio o en un entorno de prueba.
  • Mire videos tutoriales en YouTube (si puede soportar la mala producción de la mayoría de ellos).
  • Considere la capacitación formal en el aula del proveedor de herramientas de seguridad u otro proveedor de capacitación externo, si está disponible.

Busque estas características en las herramientas de piratería ética:

  • Documentación adecuada.
  • Informes detallados sobre vulnerabilidades descubiertas, incluida la forma en que podrían explotarse y corregirse.
  • Aceptación de la industria general.
  • Disponibilidad de actualizaciones y capacidad de respuesta del soporte técnico.
  • Informes de alto nivel que se pueden presentar a gerentes o personas no técnicas (especialmente importante en el mundo actual impulsado por la auditoría y el cumplimiento).

Estas funciones pueden ahorrarle mucho tiempo y esfuerzo cuando realiza sus pruebas y escribe los informes finales de su pirateo ético.

Ejecutando su plan de piratería ética

Los buenos trucos éticos requieren perseverancia. El tiempo y la paciencia son importantes. Además, tenga cuidado al realizar sus pruebas. Un delincuente en su red o un empleado aparentemente benigno que mira por encima del hombro puede ver lo que sucede y usar esta información en su contra o en su contra.

LEER  Cómo reemplazar la batería del reloj en su PC

Asegurarse de que no haya piratas informáticos en sus sistemas antes de comenzar no es práctico. Solo asegúrese de mantener todo lo más silencioso y privado posible, especialmente cuando transmite y almacena los resultados de las pruebas. Si es posible, cifre todos los correos electrónicos y archivos que contengan información confidencial de la prueba o compártalos a través de un servicio de intercambio de archivos basado en la nube.

Estás en una misión de reconocimiento. Aproveche la mayor cantidad de información posible sobre su organización y sus sistemas, al igual que lo hacen los piratas informáticos malintencionados. Comience con una visión amplia y reduzca su enfoque. Siga estos pasos para comenzar su truco ético:

  1. Busque en Internet el nombre de su organización, los nombres de su computadora y sistema de red, y sus direcciones IP. 

    Google es un gran lugar para comenzar.

  2. Reduzca su alcance, enfocándose en los sistemas específicos que está probando. 

    Ya sea que esté evaluando estructuras de seguridad física o aplicaciones web, una evaluación casual puede revelar mucha información sobre sus sistemas.

  3. Limite aún más su enfoque realizando análisis y otras pruebas detalladas para descubrir vulnerabilidades en sus sistemas.
  4. Realice los ataques y aproveche las vulnerabilidades que encuentre (si eso es lo que decide hacer).

Evaluar los resultados de su truco ético

Evalúe sus resultados para ver lo que ha descubierto, asumiendo que las vulnerabilidades no se han hecho evidentes antes. El conocimiento cuenta. Su habilidad para evaluar los resultados y correlacionar las vulnerabilidades específicas descubiertas mejorará con la práctica. Terminará conociendo sus sistemas mucho mejor que cualquier otra persona, lo que hará que el proceso de evaluación sea mucho más sencillo en el futuro.

Envíe un informe formal a la gerencia oa su cliente, describiendo sus resultados y cualquier recomendación que necesite compartir. Mantenga estas fiestas informadas para demostrar que sus esfuerzos y su dinero están bien gastados.

Implementando los resultados de su truco ético

Cuando termine sus pruebas de seguridad, usted (o su cliente) aún debe implementar sus recomendaciones para asegurarse de que los sistemas sean seguros. De lo contrario, todo el tiempo, el dinero y el esfuerzo dedicados a las pruebas se desperdician. Lamentablemente, este mismo escenario ocurre con bastante frecuencia.

Continuamente aparecen nuevas vulnerabilidades de seguridad. Los sistemas de información cambian y se vuelven más complejos. Se descubren nuevas vulnerabilidades de seguridad y exploits. Los escáneres de vulnerabilidades mejoran. Las pruebas de seguridad proporcionan una instantánea de la postura de seguridad de sus sistemas. En cualquier momento, todo puede cambiar, especialmente después de actualizar el software, agregar sistemas informáticos o aplicar parches. Esta situación subraya la necesidad de actualizar sus herramientas con frecuencia, antes de cada uso, si es posible. Planifique realizar pruebas de forma regular y constante (por ejemplo, una vez al mes, una vez al trimestre o cada dos años).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *