viernes, 5 de junio de 2015

PENTESTING

SoBRE Penetraciones...

Cuando encaramos la tarea de usar racionalmente recursos informáticos dentro de una empresa, como buenos administradores y/o responsables técnicos que somos, existe un aspecto que debería merecer nuestra atención, estoy refiriéndome a la seguridad de nuestros sistemas informáticos

Con la urgente necesidad de poder asegurar la estabilidad del sistema y a conciencia de que cualquier fallo intencional, ocasionará a la empresa importantes pérdidas capitales. En este punto nace una solución a la que llamamos: “PENTEST”(Test de Intrusión), también denominado: “Ethical Hacking”

Un PENTEST involucra un conjunto de diversas metodologías y técnicas que nos permitirán realizar una evaluación integral de las debilidades (y fortalezas)de toda estructura que tenga alguna relación con el sistema informático de la empresa.
De manera concisa un pentest será una REPRESENTACIÓN CONTROLADA de un ataque informático real.
En este punto entra a la organización el Pentester, como el profesional encargado de realizar el PENTEST.


Como aclaración válida hay que saber que EL PENTESTER no será quien entre a la organización a reemplazar al actual administrador (o responsable técnico)por el contrario entrara como complemento de este y será a quien le llegaran los reportes técnicos sobre las distintas evaluaciones.
El administrador (de tener los recursos a su alcance)con el reporte en mano podrá implementar los cambios para securizar o fortalecer el actual sistema informático.

En líneas generales “Pentester” es el título que se le da al profesional informático contratado para testear la seguridad de la infraestructura informática de una empresa


OBJETIVO DE UN PENTEST EN LAS ORGANIZACIONES
Los objetivo de un Pentest podríamos resumirlo en los siguientes puntos(junto o separados):

  • Evaluar un proyecto o sistema
  • Mejora continua de la seguridad
  • Conocer la situación real de la organización
  • Medir y obtener una calificación objetiva del actual nivel de seguridad
  • Demostrar riesgos funcionales de las vulnerabilidades detectadas

ALCANCE DE UN PENTEST:
El ALCANCE debe concretarse previamente con reuniones y contrató de por medio. Este podría tener un alcance amplio y cubrir la totalidad del sistema informático de la organización o focalizarse en un solo equipo. En donde se podrá utilizar un sin numero de tecnicas y metodos que permitan descubrir puntos débiles susceptibles de ser explotados para comprometer el sistema.
Otra variable a tener en cuenta es el tiempo que debe durar el Pentest, que tambien debera de estar incluido dentro del contrato del servicio.


LIMITES

Los resultados que arrojen las pruebas de un pentest, son obligatoriamente de carácter privado, solo el responsable de la empresa auditada(quien contrata el servicio) y en todo caso el responsable técnico pueden tener acceso al reporte final.
Durante un Pentest, quien lo realiza no deberá ir más allá de lo pautado en el contrato. Podría por poner un ejemplo el caso de que por alguna vulnerabilidad que permita descubrir listas de usuario y contraseñas almacenados en el servidor en donde por contrato no tener permitido probar esas credenciales en el formulario de login del servidor de correo de la empresa y si tener la poder intentar ingresar en una base de datos con esas mismas credenciales.
En el caso de haber descubierto y explotado algún fallo que nos de acceso al sistema, debemos limitarnos a evaluar posibles daños y sumarlo al reporte final, JAMÁS destruir o alterar información contenida en el sistema comprometido.



CONCLUSION PRELIMINAR
Un Pentest nos permite conocer el nivel de seguridad informática de la red, del sistema y también de las personas . Todo se analiza desde todos los distintos ángulos posibles que podría tener un verdadero atacante. Lo conveniente para cualquier empresa seria realizar Pentest periódicamente sobre todo si la organización en cuestión cuenta con infraestructuras críticas, por ejemplo: Sistemas financieros, Industriales, nucleares, etc.


DESARROLLO

El Pentest puede ser desarrollado en forma externa y/o interna a la organización. Sin entrar en detalle el estándar sugerido es el siguiente:


  • Fase de Reconocimiento
  • Fase de Exploración
  • Fase de Evaluación
  • Fase de Intrusión
    • Post-explotación (Y el ciclo, vuelve a comenzar)


CONCLUSION FINAL
Los sistemas informáticos por muy bien o mal que se encuentren protegidos siempre pueden ser objetos de un Pentest, con o sin su consentimiento.
En todo momento las organizaciones son susceptibles de recibir ataques  de todo tipo, por lo que para ellas es importante entender que descubrir sus debilidades con antelación siempre será una gran ventaja a la hora de defenderse de futuros intentos de intrusión. Esto es aplicable a grandes organizaciones como a pequeñas pymes.
Cualquier organismo que dependa de sistemas informáticos y no se decida por implementar las evaluaciones de seguridad correspondientes llevará a consigo un futuro azaroso.


Saludos,
@Capitan_Alfa

No hay comentarios.:

Publicar un comentario