Prueba de pluma Nessus

Los objetivos de las pruebas de penetración

El objetivo final de las pruebas de penetración es probar la seguridad, las protecciones y los controles de sus activos tecnológicos al intentar penetrar a través de las defensas configuradas. Pero las pruebas de penetración se pueden dividir en objetivos individuales más pequeños.

La prueba de lápiz, aunque es un tema candente, no es un concepto nuevo ni increíblemente difícil. Las tecnologías, conceptos y técnicas subyacentes pueden ser muy profundos. Sin embargo, realizar pruebas de penetración puede ser muy fácil si está capacitado y tiene los conocimientos adecuados.

La amplitud de las pruebas de lápiz es donde crece la complejidad porque las redes, los sistemas, la infraestructura, la movilidad y la arquitectura de la nube extienden lo que se debe evaluar. Eso requiere que observe todos los aspectos de todo lo que su cliente, empresa o negocio es responsable.

Protección de activos mediante pruebas de penetración

Su objetivo como analista de seguridad (uno de los buenos) debe ser mantener a los malos (piratas informáticos) fuera de las cosas en las que no deberían estar. Es importante proteger los activos para que no se dañen o corrompan (renderizado inutilizables), alterados (cambiados), infectados (con un virus), robados, secuestrados o la miríada de otras amenazas de seguridad que podrían suceder.

Esta lista desglosa varios escenarios de seguridad por tipo de industria:

  • La industria bancaria: el dinero se puede robar, mover a otras cuentas o agregar deudas a otras.
  • Industria de tarjetas de crédito: se roban identidades y esa información se utiliza para penetrar en cuentas que tienen activos monetarios o crédito que se pueden utilizar.
  • La industria de las ventas: las patentes pueden ser robadas y los productos fabricados en el exterior en empresas competidoras extranjeras, lo que hace que las empresas fracasen y los precios de las acciones bajen (o suban) según la intención del pirata informático.
  • Industria de la salud: los sistemas de registros médicos electrónicos (EMR) pueden infiltrarse para cambiar, recopilar o corromper información.
  • Industria de la energía: la red eléctrica debe permanecer en línea para que el gobierno, la industria privada y los residentes puedan acceder a la energía para realizar las tareas diarias.
  • Industrias militares (y otras gubernamentales): los secretos deben permanecer en secreto y no se puede obtener información para causar daño.

Puede ser proactivo al realizar pruebas diarias, semanales, mensuales, trimestrales y anuales para encontrar debilidades que se puedan monitorear o corregir.

Identificación de riesgos con pruebas de penetración

El riesgo es otra palabra importante a definir antes de discutir las vulnerabilidades de sus sistemas b. Lo que está en riesgo es la tecnología que opera gran parte de nuestro mundo hoy y los datos que residen en esa tecnología. Al probar esa tecnología, los probadores de lápiz pueden reducir el riesgo de que se explote y cause daños. Lo que está en riesgo es simple … la seguridad misma está en riesgo.

Los riesgos abarcan toda la gama con respecto al nivel de daño que podría producirse si el riesgo no se mitiga adecuadamente, aunque no necesariamente maneja todos los riesgos de la misma manera:

  • Un riesgo pequeño e identificado: el riesgo puede ser pequeño cuando sabe que hay un problema, pero acepta su riesgo porque no puede solucionarlo en este momento. Tal vez un proveedor de software aún no haya disponible un parche y deba esperar.
  • Un riesgo identificado para monitorear: usted identifica un riesgo y lo monitorea, pero una penetración y explotación generarían muy poca amenaza. Un ejemplo puede dañar levemente la reputación de la empresa al molestar a algunos clientes que dependen de los sistemas porque temporalmente no estaban disponibles. Este riesgo es de bajo nivel.
LEER  Compre medios digitales a través de iTunes Store

También hay otras situaciones en las que no se pueden aprovechar algunas vulnerabilidades y tiene sentido monitorearlas. Otras vulnerabilidades pueden explotarse y son de muy alta prioridad (y riesgo) y, por lo tanto, deben monitorearse hasta que se corrijan, lo que puede llevar algún tiempo.

  • Un alto riesgo identificado que está listo para ser explotado: es probable que este riesgo sea explotado y pueda causar pérdidas a las finanzas, reputación de alto nivel de una empresa o, peor aún, la pérdida de vidas.

Registra todos estos riesgos en un registro de riesgos y registra los resultados de la mayoría de las evaluaciones de seguridad (los resultados de su prueba de penetración) con un marcador que indica el nivel de riesgo y la prioridad en la que se debe abordar.

Un registro de riesgos es una lista de riesgos y vulnerabilidades conocidos que se compila a medida que escanea, evalúa, penetra y prueba. El registro de riesgos es el documento oficial (o información almacenada y accesible en una base de datos, hoja de cálculo u otra instalación) que muestra lo siguiente:

  • Qué riesgos (y vulnerabilidades) ha encontrado
  • Cómo puede haber encontrado esos riesgos
  • El peso que le has asignado a cada riesgo
  • Un nivel de prioridad para arreglar o corregir cada riesgo

La siguiente tabla muestra cómo se ve un registro de riesgo típico.

Un registro de riesgos

Número de entrada del registro de riesgos Categoría de riesgo Subcategoría de riesgo
1 Seguridad Virus
2 La red Inalámbrico
3 Poder UPS
4 Ambiental Supresión de incendios
5 Centro de datos Espacio
6 Ambiental Supresión de incendios
7 Ambiental HVAC
8 Seguridad Físico
9 Servidor Sistema operativo
10 Centro de datos Consolidación
11 Almacenamiento Capacidad
12 Almacenamiento Capacidad
13 Seguridad HIPPA y PHI
14 Base de datos Respaldo
15 Base de datos Corrupción
dieciséis Base de datos La red
17 Centro de datos Espacio

El registro de riesgos es una gran herramienta para ayudarlo a identificar problemas, pero sería difícil adivinar qué cambios podrían causar problemas, razón por la cual las empresas realizan pruebas de penetración: para probar sus sistemas en busca de debilidades. Una empresa puede tener un equipo interno que realiza las pruebas o subcontratar a una empresa de seguridad o consultor individual.

Las pruebas continúan durante el (los) año (s), quizás semanalmente, mensualmente o trimestralmente, para asegurarse de encontrar todos los problemas que pueden haber surgido o haber estado expuestos.

Un registro de riesgos es un documento vivo que actualiza constantemente.

Encontrar vulnerabilidades con pruebas de penetración

Una vulnerabilidad es simplemente una debilidad que puede explotarse en su tecnología o algo tan simple como la divulgación de información. La debilidad de la tecnología puede deberse a la configuración incorrecta de un activo, un error o un problema de código en el software instalado, o cualquier anomalía en su empresa.

Por ejemplo, su proveedor de hardware actualizó su firewall, introduciendo inadvertidamente un error. Puede desconocer por completo el exploit hasta que sea identificado por el proveedor u otro usuario final, o ejecute una prueba de penetración en su firewall. Esto no significa que todos los errores sean exploits, pero algunos pueden causar y conducir a exploits.

Las vulnerabilidades son un tipo de riesgo que se puede clasificar y utilizar como un artefacto registrado que pueden registrar, revisar y corregir las personas responsables de su corrección.

Dos ejemplos de vulnerabilidades son:

  • Un desbordamiento de búfer : los búferes son espacios de memoria en computadoras, sistemas, enrutadores, conmutadores y muchos dispositivos en su infraestructura que ayudan a acelerar las cosas y hacer que la transferencia de datos sea más eficiente. Por ejemplo, dos dispositivos que se comunican pueden verse afectados por uno que envía demasiados datos para que el otro los absorba y calcule, por lo que puede almacenarlos en búfer (enviarlos a la memoria, esencialmente ralentizándolos por un) momento para permitir que la computación interna de el sistema de recepción se pone al día.
LEER  Cómo hacer avances de películas en iMovie '11

El malware (software malicioso) es un tipo de exploit creado por un pirata informático que puede tomar este aparentemente buen servicio y convertirlo en una vulnerabilidad. Si una parte malintencionada envía ahora demasiados datos al búfer en un esfuerzo por explotar una debilidad y abrumarla (o desbordarla), podría afectar el rendimiento o, en el peor de los casos, bloquear el sistema o hacer que se estropee. insensible.

  • Uso de contraseñas: las contraseñas débiles (fáciles de adivinar o descifrar con una herramienta para descifrar contraseñas) permiten la entrada inmediata en un sistema con solo hacer clic en el botón de herramientas. Este es un ejemplo del mundo real de una vulnerabilidad muy común, que se puede encontrar y prevenir mediante una prueba de penetración.

Una buena política de contraseñas corporativas (con un sistema que la proteja y la haga cumplir) es la mejor oportunidad para protegerse contra esta vulnerabilidad. Desafortunadamente, todavía es común en muchos lugares del mundo, y estoy seguro de que durante sus propias pruebas de penetración, encontrará ejemplos de ello durante sus propias pruebas de penetración.

Escaneo y evaluación con pruebas de penetración

El probador de penetración exitoso usa herramientas (tanto hardware como software) para ejecutar pruebas de penetración (a veces también llamadas evaluaciones de penetración ) para encontrar vulnerabilidades y explotarlas.

Busca vulnerabilidades en su sistema, red o toda la empresa para encontrar riesgos que pueda corregir o reconocer. La siguiente imagen muestra un escaneo de Nessus (software de escaneo).

Prueba de pluma Nessus
Salida de muestra de Nessus.

¡Nunca ejecute una prueba de penetración, evaluación, escaneo o prueba de seguridad en una red de producción en vivo sin permiso! Muchas cosas pueden salir mal. Por ejemplo, puede ejecutar un escaneo en un segmento de la red configurado con dispositivos para bloquear los intentos de penetración que apagan los servicios que podrían afectar un sistema de producción que atiende a los clientes.

Otro ejemplo: en un sistema hospitalario, si decide ejecutar un escaneo durante el día en un segmento de red protegido sin realizar algunos ajustes, podría cerrar los servicios y evitar que los pacientes reciban atención.

Asegurar operaciones con pruebas de pluma

Las operaciones de seguridad típicas que se llevan a cabo en una empresa varían de simples a complejas. Todo depende de muchos factores, incluido el tamaño de la empresa, la importancia de los activos, el presupuesto disponible, el interés del liderazgo en cualquiera (o todos) de estos factores, y el conocimiento y las habilidades de los encargados de asegurar y mantener seguros los activos de la empresa. empresa. Para hacer esto, puede realizar sus propias evaluaciones de seguridad, subcontratarlas y, en algunos casos, incluso subcontratarlas.

Responder a los incidentes

¿Qué pasa si puede ver que se está produciendo un ataque activo debido a problemas que identificó a través de pruebas de penetración y que ahora está monitoreando como parte de su evaluación de riesgos continua? La respuesta está en un proceso o flujo de trabajo llamado respuesta a incidentes .

La respuesta a incidentes (que a veces se denomina manejo de incidentes ) es la gestión de eventos de un ataque basado en la explotación de una vulnerabilidad conocida o desconocida. Sin embargo, como analista de seguridad, debe saber qué es un equipo de respuesta a incidentes (IRT) y por qué existe.

Quizás se pregunte por qué necesitaría un equipo especializado para manejar los problemas relacionados con la seguridad, y la respuesta es realmente muy simple: la necesidad se basa en contener el incidente. Se requiere capacitación especial y se deben seguir procedimientos especiales para que un incidente se maneje correctamente, como muestran estos ejemplos:

  • Una base de necesidad de saber: no querrás avisar a alguien que está realizando un ataque activo de que sabes que está sucediendo y estás observando. Para evitar que el atacante sepa que sus movimientos están siendo monitoreados, quién necesita saber sobre el ataque a medida que ocurre estará restringido a personas capacitadas que puedan reaccionar de manera adecuada al incidente.
  • Contención de la cadena de custodia en las pruebas: es posible que también desee controlar el mensaje real del día, ya que el incidente podría terminar en las plataformas de redes sociales o en las noticias de la noche. Nunca se sabe cómo un incidente puede afectarlo a usted oa su organización, por lo que tiene procedimientos de manejo específicos y un equipo capacitado para manejar los detalles.
LEER  Configuración de la pantalla de inicio de sesión en Mac OS X

Tenga en cuenta que una parte de contener el evento es proporcionar evidencia tangible en un tribunal de justicia. Si la empresa decide emprender acciones legales contra el perpetrador, se necesitarán pruebas documentadas.

¿Qué hace si tiene un incidente activo? La respuesta depende de lo siguiente:

  • Dónde estás: ¡La ubicación lo es todo! Si es local del ataque, puede comenzar a trabajar en el problema y puede realizar todas las pruebas y otras acciones sin temor a desconectarse de la red. Si está trabajando en una conexión de red privada virtual (VPN) o está conectado de forma remota a un sistema a través de una red, puede ser parte del vector de ataque y podría desconectarse. Ser local en el sistema le permite acceder a la consola directamente desde el propio sistema y, en la mayoría de los casos, esta puede ser la opción más confiable.
  • Quién es usted (es decir, qué función tiene): para ser designado miembro activo de un IRT, simplemente necesita que se le asigne la función. Puede ser un rol de tiempo completo en una organización más grande o firmas consultoras, o en firmas más pequeñas se le puede asignar como un deber colateral. De cualquier manera, la responsabilidad es la misma y es importante comprender su función y los procedimientos, procesos y planes.

El equipo real al que está asignado debe entrenarse en conjunto. Es valioso comprender el lugar de todos en el equipo y cómo manejar un incidente activo.

  • Lo que cree que está sucediendo: la mayoría de las empresas tienen un IRT que es responsable de brindar soporte en el caso de una solicitud activa de manejo de incidentes, como una brecha de firewall, un virus o un brote de malware, una intrusión o cualquier otro asunto relacionado con la seguridad. Qué evento está sucediendo realmente dicta su curso de acción.

Obviamente, nunca querrás tener que responder a un ataque activo . Con suerte, es posible que pueda prevenirlo en primer lugar, y es por eso que las pruebas de penetración son tan valiosas en todo el marco de seguridad y defensa en profundidad. Si puede asegurar todo correctamente o identificar cualquier debilidad y corregirla (o aceptarla y monitorearla), resuelve la mitad de la batalla de exploits.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *