¿Qué es un Test de Intrusión? (2ª parte)
Metodologías
Existen diferentes metodologías para realizar un Test de Intrusión entre las que cabría destacar:
- OSSTMM (Open Source Security Testing Methodology Manual) del Instituto de Seguridad y de las Metodologías abiertas de ISECOM, centrada en los detalles técnicos de los elementos que deben ser probados.
- Guía de pruebas OWASP v3, enfocada a la auditoría de aplicaciones web
- ISSAF (Information System Security Assessment Framework), framework detallado respecto de las prácticas y conceptos relacionados con todas y cada una de las tareas a realizar
- Penetration Testing Framework de Vulnerability Assessment que, además de mostrar la metodología a seguir, siguiere herramientas para llevar a cabo cada una de las etapas del Test de Intrusión
Etapas de un Test de Intrusión*
La realización de un Test de Intrusión básicamente está dividida en las siguientes etapas:
- Descubrimiento
Se realizan investigaciones tratando de obtener información pública sobre la plataforma tecnológica de la organización a revisar. Incluye todas las pruebas para detectar las conexiones de la organización a Internet, la evaluación de servicios de DNS externos, la determinación de rangos de direcciones IP, sitios web, etc.
- Exploración
Se busca focalizar los objetivos para las posteriores etapas. Se aplican técnicas no intrusivas para identificar todos los potenciales blancos. Incluye el análisis de protocolos, relevamiento de plataforma y barreras de protección, scanning telefónico, scanning de puertos TCP y UDP, detección remota de servicios y sistemas operativos, análisis de banners y búsqueda de aplicaciones web.
- Evaluación
Se basa en el análisis de todos los datos encontrados para la detección y determinación de vulnerabilidades de seguridad informática que afectan a los sistemas evaluados. Durante esta etapa se realizan las evaluaciones de seguridad en todos los posibles niveles.
- Intrusión
Se focaliza en realizar pruebas de los controles de seguridad y ataques por medio de secuencias controladas a las vulnerabilidades propias de los sistemas identificados. Aquí se utiliza el conocimiento adquirido en etapas previas para buscar alternativas que permitan acceder a los sistemas y obtener el control de los mismos.
Si bien el orden de las etapas no es arbitrario, suelen realizarse de forma paralela tareas dependiendo de las características del sistema evaluado.
Conclusiones
- Un Test de Intrusión permite obtener una foto (snapshot) en ese momento del nivel de seguridad de nuestra infraestructura tecnológica analizándolo desde los distintos ángulos de operación de un posible atacante.
- Es conveniente llevar a cabo Test de Intrusión periódicos con el objetivo de verificar la evolución del nivel de seguridad de la infraestructura tecnológica conforme pasa el tiempo y surgen nuevas vías de ataques y/o vulnerabilidades de seguridad.
- Los sistemas críticos (ERP’s, CRM’s, BBDD, etc.) deben ser evaluados ya que un ataque a los mismos puede resultar altamente perjudicial para la organización.
- Existen normativas, como PCI-DSS, que “promueven” la realización de este tipo de auditorías.
*Fuente: CYBSEC
Más información:
Anterior entrega: ¿Qué es un test de intrusión? (1ª parte)
