En este artículo descubriremos las características y diferencias de los estándares más autorizados y relevantes hasta la fecha, para el diseño y ejecución de la Prueba de Penetración:
La Prueba de Penetración es un tema serio.
El crecimiento de una empresa, por grande o pequeña que sea, pasa por la informática. Las redes, la web y los ordenadores son herramientas poderosas que pueden respaldar los procesos empresariales.
Estas tecnologías deben recibir un trato preferencial, porque el beneficio que aportan supera con creces su coste. Pero se suele cometer el error de creer que una vez implementadas, las redes informáticas, las aplicaciones y los sistemas de gestión no requieren mantenimiento y verificación de la seguridad informática (lo que en los últimos años hemos denominado Ciberseguridad).
Es fundamental que el empresario y su equipo directivo soliciten la ejecución de la prueba de penetración, un tipo de control de calidad que puede identificar errores de diseño y vulnerabilidades.
Esta es la única manera de entender el riesgo al que nos exponemos y tener información necesaria para actuar en consecuencia.
Una brecha en la seguridad informática de una empresa conlleva pérdidas económicas causadas por la imposibilidad de trabajar de forma habitual, pero también costes adicionales debidos a las horas de trabajos realizadas para restaurar la normalidad.
Además, comprometer los sistemas puede dar lugar a violaciones de las leyes de protección de la privacidad del cliente (ver el RGPD) y, ya que existe la obligación de denunciar dichas violaciones, se mancharía la reputación de la empresa .
Es posible mitigar los riesgos de seguridad al descubrir vulnerabilidades en lainfraestructura informática a través de la Prueba de Penetración y la Evaluación de Vulnerabilidad. (VA/PT).
Ponerse en manos de un equipo experto en Ciberseguridad que sepa llevar a cabo la Prueba de Penetración de forma completa y eficaz permitirá conocer cuáles son los riesgos a los que se enfrenta la empresa y cómo mitigarlos.
La importancia de las metodologías de la Prueba de Penetración
El proceso de la Prueba de Penetración debe producir resultados bien fundamentados, completos y estructurados. Con la difusión de esta práctica, se hizo necesario desarrollar metodologías para estandarizar el proceso y hacerlo confiable y completo.
Por ello han surgido nuevos estándares, algunos con el objetivo de dictar las pautas para probar la seguridad de una empresa en todos los aspectos, otros con un enfoque en dominios de aplicación más restringidos.
Estas metodologías se han adoptado a nivel mundial por profesionales y empresas para llevar a cabo la gestión de sus necesidades a nivel de Ciberseguridad y Prueba de Penetración y representan el estándar de facto para pruebas de seguridad y procedimientos de desarrollo seguro.
OSSTMM (Open Source Security Testing Methodology Manual)
La metodología OSSTMM es una metodología “peer-reviewed” (es decir, sujeta a un proceso de revisión por pares) para comprobar la seguridad empresarial. Esta metodología, distribuida en forma de manual, como su nombre indica, está proporcionada por elInstituto de Seguridad y Metodologías Abiertas (ISECOM en inglés) y se actualiza cada seis meses para estar al día con las últimas tecnologías disponibles en el mercado.
La OSSTMM está reconocida a nivel internacional y se utiliza para las actividades de la Prueba de Penetración de Redes, aunque no se limita exclusivamente a esto, como veremos a continuación.
El objetivo de esta metodología es aplicar el método científico a cualquier tipo de prueba de seguidad para empresas. Esto es para brindar a las empresas que utilizan la metodología OSSTMM la seguridad de haber emprendido un proceso concreto.
Como ya hemos adelantado, laOSSTMM no solo cubre piratería ética y pruebas de penetración , en realidad establece las pautas para tres clases de verificación de seguridad:
-
Physical Security (PHYSSEC)
-
Spectrum Security (SPECSEC)
-
Communications Security (COMSEC)
Estas clases se dividen a su vez en canales, que dictan reglas más detalladas para las pruebas.
Forman parte de la clase PHYSSEC:
-
Seguridad Humana
Es la prueba de seguridad humana. El objetivo de esta prueba es evaluar la seguridad de interacción entre personas y personas y tecnologías. -
Seguridad Física
Es la puesta a prueba de la parte tangible de la empresa. Este tipo de prueba de seguridad se encarga de evaluar la seguridad de los elementos de seguridad física como puertas y otras vías de entrada.
La SPECSEC solo tiene un canal:
-
Seguridad Inalámbrica
Pruebas de seguridad relativas a las comunicaciones por medios inalámbricos. Es decir, este tipo de prueba evalúa la seguridad de todo tipo de señales en el espectro electromagnético consideradas de comunicación, por ejemplo señales de radio.
Los canales que forman parte de la COMSEC son:
-
Seguridad en Telecomunicaciones
Pruebas para evaluar la seguridad de las comunicaciones analógicas y digitales que pasan por red telefónica o cableada. -
Seguridad de la Red de Datos
Prueba para evaluar la seguridad de la red. Esta es la evaluación de seguridad de los sistemas electrónicos que se ocupan de la distribución o clasificación de datos. Esta prueba incluye componentes cableados e inalámbricos.
OWASP (Open Web Application Security Project)
El proyecto OWASPofrece estándares y herramientas gratuitos y de código abierto para pruebas de seguridad y desarrollo seguro de aplicaciones web.
El objetivo de este proyecto es el de crear conciencia sobre la seguridad web y permitir que las empresas y cualquier persona que ofrezca un servicio en la web tomen decisiones informadas con respecto a la seguridad.
Como dijimos, OWASP pone a disposición diferentes softwares y herramientas gratuitos. De especial importancia son el marco para el desarrollo seguro de aplicaciones web y una metodología para la Prueba de Penetración de aplicaciones web basadas en el HTTP (sitios y aplicaciones web).
El estándar OWASP proporciona los siguientes pasos para probar aplicaciones web:
-
Recopilación de Información
Es el proceso de recopilación de información de la aplicación en cuestión. -
Prueba de gestión de configuración
Recopilación de datos técnicos sobre el funcionamiento de la aplicación, como la versión de los protocolos utilizados, métodos de autenticación y similares. -
Prueba de autenticación
Prueba de los procesos de autenticación de los usuarios. Este paso incluye la auditoría de seguridad de contraseñas y la enumeración de usuarios. -
Prueba de gestión de sesiones
Evaluación de las formas con el que el sitio interactúa con el usuario. -
Prueba de autorización
Fase que evalúa la forma en que un usuario puede interactuar con el servicio y qué acciones puede realizar. -
Prueba de lógica de negocios
Pruebas para evaluar si la lógica implementada en la aplicación funciona como se esperaba o contiene vulnerabilidades. -
Prueba de validación de datos
Evaluación de los métodos para validar los datos ingresados por el usuario.
Esta prueba es particularmente relevante porque se enfoca en descubrir algunas de las vulnerabilidades más comunes como la SQL Injection y el Cross Site Scripting (XSS). -
Prueba de ataques de denegación de servicio
Prueba para la evaluación del comportamiento del sitio bajo ataques DoS no solo en base a la cantidad excesiva de tráfico enviado al servidor. -
Prueba de servicios web
Pruebas de vulnerabilidad sobre los estándares adoptados por la plataforma web. -
Prueba AJAX
Pruebas de vulnerabilidad en métodos de uso AJAX para solicitudes asíncronas.
Como se puede ver, el estándar OWASP es extremadamente detallado y lleno de pautas para las pruebas de penetración de aplicaciones web.
Este tipo de pruebas pueden ser útiles para empresas con fuerte presencia en la web para verificar la seguridad de sus portales de comercio electrónico, aplicaciones y sistemas de gestión accesibles desde la web, áreas restringidas.
NIST
La metodología NIST ofrece pautas específicas para la prueba de penetración y se encarga de mantener seguras las infraestructuras críticas.
Los objetivos típicos para la Prueba de Penetración según la metodología NIST suelen estar en el sector bancario, energético o de comunicaciones.
Para entender qué es el estándar NIST, se puede ver en la imagen los pasos fundamentales del marco de la Ciberseguridad NIST:
PTES
La PTES es una metodología de prueba de penetración algo diferente de las descritas hasta ahora.
De hecho, según este estándar, la prueba debería empezar con una fase de comunicación entre la prueba de penetración y la empresa en la que se comunican los detalles de la infraestructura.
Esto permite al técnico que realiza la prueba de penetración centrarse en las fases de explotación y post explotación, que sirven a la empresa para entender cuáles son los riesgos concretos en caso de ataque informático.
Si bien los técnicos están influenciados por el conocimiento de la infraestructura, los resultados obtenidos pueden ser similares a los de un ataque por parte de un empleado y, por lo tanto, no son descabellados.
Un diálogo abierto sobre las tecnologías que se utilizarán también permite definir con precisión el perímetro en el que deben centrarse los técnicos de la prueba de penetración, posiblemente limitando la exposición de datos confidenciales.
ISSAF (Information Systems Security Assessment Framework)
La prueba según el marco de ISSAF está enfocada en los sistemas, redes y aplicaciones.
De forma similar al OSSTMM,se propone como un estándar para probar varios aspectos de la empresa, con la diferencia de que el ISSAF se enfoca solo en los aspectos informáticos de la seguridad.
Los pasos de la prueba ISSAF son similares a los que ya hemos encontrado anteriormente. Es posible ver un esquema de prueba en la imagen a continuación.
RSA
Elmarco RSA difiere de las metodologías analizadas anteriormente.
Si bien el objetivo es parecido, es decir, evaluar la seguridad de una estructura, el marco RSA no dicta pautas sobre cómo realizar la prueba de penetración, más bien, dada una evaluación de seguridad de la empresa, estima un modelo de madurez de seguridad en el lugar.
El resultado de una prueba con el marco RSA dará como resultado una evaluación de la seguridad, que puede resaltar los riesgos con uno de estos cinco niveles de gravedad:
-
Crítico
-
Alto
-
Medio
-
Bajo
-
Informativo
Por lo tanto, la metodología RSA debe considerarse útil cuando se desea evaluar la seguridad en su conjunto y comprender cómo mejorarla a nivel macroscópico.
Conclusiones
La Prueba de Penetración es una poderosa herramienta que puede proporcionar a una empresa información sobre cómo mejorar su propia seguridad y la de sus clientes. La identificación del riesgo en base a evidencias objetivas, con resultados detallados y estructurados en un informe oficial de un tercero, son fundamentales para reforzar la seguridad y evitar perjuicios económicos potencialmente desorbitados.
Es fundamental elegir las metodologías de la prueba de penetración que mejor se adapten a las necedidades de la empresa, dejándose aconsejar y poniéndose en manos de un experto.
Referencias y menciones:
(1) Comparative Study of Penetration Test Methods
Yong-Suk Kang , Hee-Hoon Cho , Yongtae Shin and Jong-Bae Kim
https://pdfs.semanticscholar.org/be2d/4acf60ff2a37f196aaef48649eaa89ca36ac.pdf
(2) Study: A Penetration Testing Model
(3) Selection of penetration testing methodologies: A comparison and evaluation
Aleatha Shanley, Michael N. Johnstone
| Classi di testing dell'OSSTMM | |||
|---|---|---|---|
| Categoría | Canal | Objeto de Prueba | Elementos de verificación |
| PHYSSEC | Seguridad Humana | Las personas | Cumplimiento de políticas, Ingeniería Social, Phishing |
| PHYSSEC | Seguridad Física | Cosas y lugares | Acceso no autorizado a locales, keyloggers, espías y escuchas ambientales |
| SPECSEC | Seguridad Inalámbrica | Las comunicaciones por radio | Redes abiertas, redes no autorizadas, contraseñas débiles, arquitectura y errores de configuración |
| COMSEC | Seguridad de Telecomunicaciones | Las comunicaciones digitales | Arquitecturas de red, Switch Security, Reglas de firewall, Cifrado, Autenticación |
| COMSEC | Seguridad de Red de Datos | Los sistemas y las aplicaciones | Configuración, actualización, vulnerabilidad de código |
