No hay una mejor forma de probar la fortaleza de los sistemas de seguridad que atacarlos. El objetivo del Test de Intrusión / Penetration Test es evaluar el estado de los sistemas frente a ataques de tipo intrusivo.
Los Servicios de Hacking Ético deben ser objetivos y seguir los mismos pasos que un atacante seguiría si estuviese intentando vulnerar los sistemas de la empresa, por eso los profesionales de Internet Security Auditors auditan los sistemas de seguridad desde el punto de vista de posibles ataques externos por parte de hackers con intenciones malévolas.
La mejor manera de hacer esta evaluación de la seguridad es realizando ataques controlados sobre los sistemas. Se pueden llevar a cabo tanto de forma remota (desde las instalaciones de Internet Security Auditors), como desde las instalaciones del cliente, dependiendo de los objetivos buscados y el ámbito de la auditoría.
Un Test de Intrusión se compone de las siguientes fases:
PLANIFICACIÓN
Definición e identificación de los sistemas a auditar.
AUDITORÍA
Realización de las pruebas que se llevan a cabo de forma progresiva hasta conseguir la intrusión y, una vez conseguida, escalado en los sistemas.
DOCUMENTACIÓN
Redacción de todos los resultados obtenidos.
Para realizar estos ataques se utilizarán tanto técnicas, como herramientas de hacking. Las herramientas serán las mismas que las utilizadas en el mundo underground por los propios hackers para realizar los ataques, así como herramientas creadas por el equipo técnico de Internet Security Auditors para realizar los Test de Intrusión y, que han sido elaboradas a partir de las pautas definidas en los estándares OSSTMM, ISSAF PTES.
Análisis de la Información Pública
El éxito de una intrusión depende, en gran medida, del nivel de conocimiento que dispone el atacante sobre los sistemas objetivo. Es decir, cuanta más información, detallada y precisa disponga, mayor probabilidad de conseguir su propósito. Para ellos se realizarán análisis de las webs corporativas, metadatos, redes sociales, ofertas de trabajo, listas negras y reputación, foros y webs externas a la entidad. Y búsquedas en Internet de información relacionada con la entidad, marca o servicio entre otros datos:
- Análisis de webs corporativas.
- Análisis de metadatos.
- Análisis de redes sociales.
- Análisis de ofertas de trabajo.
- Análisis de listas negras y reputación.
- Análisis de foros y webs externas a la entidad.
- Análisis de otras fuentes de información.
Análisis de Seguridad a Nivel de Red
El análisis de la red consiste en la recolección de datos y la obtención de información y políticas de control de los sistemas analizados, con el objetivo de obtener la máxima información acerca de los componentes hardware y software, así como sobre la disposición de todos estos elementos. Para realizar este análisis de la red se seguirán los siguientes pasos:
- Sondeo de red.
- Mapa de red.
- Escaneo de puertos.
- Identificación de servicios.
- Identificación de sistemas operativos.
Análisis de Seguridad a Nivel de Sistemas
La detección de vulnerabilidades se realiza tanto de forma automática como de forma manual y, en ambos casos, se lleva a cabo una fase de validación de las vulnerabilidades identificadas para descartar falsos positivos.
Para realizar este análisis de los sistemas se ejecutan las siguientes actuaciones:
- Análisis de actualizaciones.
- Análisis de Configuraciones.
- Identificación de vulnerabilidades no publicadas.
- Análisis de sistemas de autenticación.
Análisis de Seguridad a Nivel de Aplicaciones
El análisis a nivel de aplicación está limitado a aquellas aplicaciones accesibles desde Internet, y sigue la filosofía de caja negra. Es decir, no se dispone de información privilegiada sobre la aplicación (como credenciales de autenticación) y no se incluye en el alcance el análisis del código fuente de la aplicación. El motivo de esta metodología de trabajo es la de simular la actuación real de un atacante que, a través de las aplicaciones auditadas y sin disponer de información sobre las mismas, intenta comprometer la seguridad de la aplicación:
- Inventario de aplicaciones.
- Análisis de la configuración en la infraestructura.
- Análisis de sistemas de autenticación.
- Análisis del esquema de autorización.
- Análisis de la gestión de sesiones.
- Análisis del mecanismo de validación de datos.
Análisis de los Sistemas de Seguridad
En muchas ocasiones, estos dispositivos y herramientas pueden no encontrarse debidamente configurados y/o monitorizados, con lo que su efectividad puede verse reducida en gran medida. Entre estos sistemas de seguridad, se analizarán los siguientes:
- Análisis de Firewalls.
- Análisis de WAF (Web Application Firewall)
- Detección e identificación del WAF.
- Análisis del comportamiento del WAF frente a distintos ataques.
- Evasión del WAF.
- Análisis de IDS / IPS.
- Análisis de Antivirus/ Antimalware.
- Resumen ejecutivo de alto nivel con la clasificación de los resultados.
- Detalle de todas las pruebas realizadas especificando su objetivo.
- Resultados obtenidos en los diferentes test que se han realizado con descripciones paso a paso del proceso de detección y explotación de cada vulnerabilidad.
- Recomendaciones que permitan solucionar de la forma más acertada los problemas de seguridad encontrados.
- Clasificación de los problemas de seguridad según su nivel de peligro, incluyendo valores CVSS. Esto permitirá a la empresa poder elaborar un plan de actuación eficiente para resolver estos problemas de seguridad.
- Reunión orientada a explicar los resultados obtenidos en la auditoría y asesorar sobre las posibles soluciones que existan para los problemas de seguridad encontrados