Fases de un Test de Intrusión

Como les comente en el post anterior el pentesting  es una de las herramientas mas importantes que pueden tener las compañias para poder detectar vulnerabilidades en su red. Pero como toda metodologia, esta debe de tener un proceso o procedimiento de ejecución que si no es llevado de manera correcta, puede impactar directamente en la produccion del cliente final.

Las fases de son:

  1. Alcance del analisis de vulnerabilidad.
  2. Recolección de Datos
  3. Analisis de la vulnerabilidades descubiertas
  4. Explotacion de la Vulnerabilidades
  5. Intrusión del sistema
  6. Generación de Informes.-

Alcance


 El alcance es un punto no tecnico dentro del pentesting, y es el que tiene mas importancia, ya que desde este punto nacen los lineamientos y la coordinación entre unidades que participaran de las actividades.

Dentro de este punto, mediante documentos escritos se estable cuales serán los sistemas auditados, las responsabilidades de cada uno de los participantes de la actividad, y el rol que tendrá que tener cada personaje. Este documento debe de ser lo mas completo posible, en temas de recursos, procesos procedimientos, tiempos etc. ya que cualquier ambiguedad y o problema entre las partes, podrá solucionarse consultando este documento, previamente aceptado y firmado por las partes.

El auditor debe de conocer a cabalidad el alcance de la actitivadad ya que cualquier error, puede llevar a la indisponibilidad de los sistemas productivos de cliente.  Adicionalmente se debe de establecer la confidencialidad de toda la información obtenida mediante esta actividad, mediante un contrato firmado.


Recolección de Datos



Este punto es el comienzo tecnico de la actividad, en donde los auditores utilizaran todas sus tecnicas para el descubrimiento de la plataforma que será auditada, y asi poder obtener la mayor cantidad de información de la organización, logrando posteriormente el pentest de manera exitosa.

La información  puede ser recolectada tanto con herramientas tradicionales como lo puede ser Acunetix, nmap, nessus, etc, tambien puede ser colectada la información por medio de Ingeniería Social a los trabajadores de la empresa. Muchas veces estas ultimas tienden a tener mayores resultados ya que los mismos trabajadores de las empresas saben sobre algunos fallos de seguridad, y con un ambiente de confianza las pueden contar. (Los empleados descontentos son los puntos de falla mas efectivos).

Utilizando una mezcla de ambos metodos, el auditor ya es capaz de detectar como funcionan los sistemas y los posibles controles de seguridad que tiene la organización.

De este punto nacen los listados de apliacciones descubiertas, con su version, boceto mapas de red o topologias perifericas al sistema atacado, sistemas operativos etc.


Analisis de la vulnerabilidades descubiertas



Posterior a la recolección de información, el auditor ya es capaz de terminar si existe algun tipo de descubrimiento de vulnerabilidades en los sistemas, y con esto se puede determinar el plan de acción para poder explotar dichas vulnerabilidades. Bajo en breve estudio de las vulnerabilidades encontradas, se podrá determinar el ataque mas efectivo para la explotación de estas.

Mediante la versión del objtetivo se puede lograr obtener información sobre las vulnerabilidades que poseen esos sistemas mediante codigos CVE.

 

Explotacion de la Vulnerabilidades



Esta es la parte donde el auditor se dedica a intentar realizar la intrusión sobre el sistema objetivo. Basandose en toda la información recopilada en las etapas anteriores, lográn romper los sistemas de seguridad y explotan las vulnerabilidades detectadas.

Este punto es altamente critico, ya que desde acá se realiza la post explotación y generación de informes respecto al sistema. Cualquier tipo de falso positivo, puede poner en tela de jucio el analisis de vulnerabilidad y la recolección de datos, por tanto puede ser un punto de crisis y riesgo en la entrega del informe a cliente Final.

Siendo que un hacker que quiera realizar la explotación de un sistema mediante exploit, no le interesa si la accion realizará algun tipo de indisponibilidad de servicio, si no que mas bien solo deseará ingresar al sistema. Un auditor no puede llegar y utilizar herramientas de explotación sin pensar los problemas que pueden ocurrir a posterior por tanto, la explotación de las vulnerabilidades debe ser de manera responsable, es por esta misma razon, que los ataques perpetrados por los auditores debe estar bajo una ventana de mantenimiento o de mutuo acuerdo con cliente.




 Intrusión del Sistema



Cuando se realiza la explotación de una vulnerabilidad de un sistema, esta puede ser una ventana para el descubrimiento de otro tipo de vulnerabilidades, por tal razon, el auditor podrá vover al punto de recolección de información por medio de FootPrinting, y analizar mas sistemas o aplicaciones que tengan vulnerabilidad para poder explotarlas desde el equipo explotado.

Este tipo de acciones se toman, cuando un hacker es capaz de ingresar a un PC de un usuario normal, y desea llegar al PC del dueño de la empresa. Por tal razon este tipo de ataques tambien deben de ser auditados. Cuando esto llega a pasar, se le denomina al PC del usuario, PIVOTE.

Durante el acceso a un equipo pivote, la idea es que el auditor  logré escalar privilegios dentro del servidor o pc, con esto poder lograr un control total sobre el sistema.


Generación de Informes.


Esta fase es la mas importante del test, ya que es donde se le entrega a cliente todas las vulnerabilidades detectadas sobre el sistema, documentando todo con capturas de pantallas, ejemplos o muestras tomadas, resultado de la explotación de vulnerabilidades.

Las vulnerabilidades deben ser catalogadas bajo la criticidad y urgencia de cada una de estas, cosa de que se puedan tomar las acciones necesarias para poder disminuir el riesgo. Toda la información debe ser confidencial.

El informe debe de tener un lenguaje facil o ejecutivo, ya que no todas las personas que leeran el informe deben de conocer los terminos tecnicos utilizados, y otro informe completamente tecnico cosa que los ingenieros de sistema puedan tomar acciones bajo este informe.