Pruebas de Penetración

Una prueba de penetración es el acto de asumir deliberadamente el papel de un atacante con la esperanza de violar las defensas de un objetivo y obtener acceso a datos confidenciales.

Los tipos de atacantes que pretendemos simular varían según quién es el cliente y cuáles son sus mayores preocupaciones de seguridad. Algunos clientes se benefician más de la simulación de amenazas internas, en la que nuestro objetivo es darnos cuenta del impacto que una persona con información privilegiada puede causar en el negocio del cliente. Alternativamente, los atacantes externos son un lugar común y podemos emular los comportamientos típicos observados en los actores de amenazas externos.

¿Por qué PenTest?

Hay muchas razones por las que una empresa querría encargar una prueba de penetración de su organización. Principalmente es para cumplir con algún tipo de requisito legal, sin embargo, las razones son un poco más profundas que eso. Cuando realizamos una prueba de penetración, realmente estamos tratando de identificar cómo un actor de amenazas puede obtener acceso a datos confidenciales. Esos datos confidenciales pueden variar desde información de identificación personal (PII), propiedad intelectual o incluso conversaciones comerciales confidenciales que podrían causar vergüenza a la empresa si se hicieran disponibles públicamente.

Las pruebas de caja negra se consideran incorrectamente como modelos de un «atacante del mundo real». Este concepto erróneo se deriva históricamente de la idea de que un atacante externo no tendría información previa sobre el funcionamiento interno de la red objetivo y estaría atacando al objetivo algo ciego. Esto no es del todo exacto, ya que un atacante competente haría su tarea y, por lo tanto, habría obtenido algún nivel de conocimiento sobre cómo está configurada la red de destino.

Lo que implica una prueba de caja negra es que el probador de penetración reciba una IP de destino o un rango de IP y no mucho más. No se ponen a disposición diagramas de red o esquemas, al menos no al comienzo del compromiso. El objetivo es evaluar qué tan lejos de la red de destino puede llegar un atacante no autenticado.

Las pruebas de caja blanca requieren que el equipo de pruebas de penetración reciba un documento de diseño de red que les permita comprender el diseño de la red y la forma en que los datos fluyen a través de ella.

Las pruebas de caja blanca tienen varios beneficios clave sobre las pruebas de caja negra:

  • Verificación de que la infraestructura real está en línea con los documentos de diseño.
  • Posibilidad de descubrir dispositivos no autorizados u olvidados en la red
  • Se pueden realizar pruebas mucho más específicas

Nuestro Proceso PenTest

Comenzamos cualquier compromiso con una reunión para discutir el alcance de la prueba de penetración, así como para comprender las reglas de los compromisos. El alcance definirá lo que vamos a pentest y la regla de compromiso define cómo pentest.

Por lo general, esta es una reunión de medio día y se puede realizar de forma remota mediante una videollamada.

Con el alcance establecido y las reglas de participación definidas, nos ponemos a trabajar en la redacción de un contrato de servicio y una propuesta. Esta es nuestra oferta de servicio formal para usted y describirá lo que puede esperar de nosotros. También generaremos una cotización para el trabajo que se llevará a cabo en esta etapa también.

El reconocimiento constituye el primer paso en cualquier prueba de penetración. Dependiendo de lo que se definió en el alcance y las reglas de enfrentamiento, esta etapa abarcará actividades de reconocimiento técnicas y no técnicas.

Aquí estamos escaneando el entorno de destino con el objetivo de descubrir sistemas del lado del cliente y del servicio. Si la prueba de penetración es una prueba de caja blanca, trabajaremos junto con la documentación de red que nos proporcione durante la etapa de determinación del alcance. Esto nos permite verificar la cordura del diseño de la red como una ventaja adicional. Si se trata de una prueba de caja negra, comenzaremos a elaborar nuestro propio diagrama de red a medida que continúan el escaneo y la enumeración.

Una vez que hemos enumerado todo lo que podemos, pasamos a la explotación. Aquí es donde tomamos los diversos servicios que descubrimos anteriormente e intentamos ganar un punto de apoyo inicial en su entorno. El objetivo aquí es descubrir tantos caminos hacia el objetivo como sea posible.

Una vez que nos hemos afianzado, pasamos a las actividades posteriores a la explotación. Estos varían y dependerán de dónde logramos ese punto de apoyo inicial. Normalmente, el objetivo es aumentar nuestros privilegios hasta que obtengamos acceso administrativo. Sin embargo, buscaremos hacer movimientos laterales a una cuenta de usuario más estable primero si es necesario.

También volveremos a la etapa de escaneo y enumeración desde el host comprometido para extender aún más nuestro alcance al objetivo. Esto nos permite construir la imagen más completa posible.

Otras actividades clave posteriores a la explotación implican obtener acceso a datos confidenciales y exfiltración de datos de acuerdo con las reglas del acuerdo de participación.

La persistencia nos ofrece un método de acceso continuo al entorno objetivo y es un signo distintivo de una amenaza persistente avanzada. Parte de nuestro proceso de emulación de actores de amenazas es determinar si podemos obtener acceso persistente o no.

Una vez que llegamos al final de la prueba de penetración, revisamos y limpiamos los archivos que creamos durante el transcurso de la prueba. Nuestro objetivo es dejar el medio ambiente en el mismo estado en el que comenzamos.

El verdadero valor de una prueba de penetración está en la calidad del informe. Nuestros informes se dividen en varias secciones, comenzando con un resumen ejecutivo dirigido a varios niveles de gestión. El resumen ejecutivo proporciona una evaluación resumida de la prueba de penetración, así como los plazos generales en los que se deben implementar las correcciones.

Luego, ingresamos a los detalles técnicos, discutiendo nuestros hallazgos y brindando instrucciones paso a paso sobre cómo reproducir nuestros hallazgos. Está dirigido al equipo técnico interno o para su proveedor de servicios / MSP.

También incluimos tareas de remediación recomendadas junto con un marco de tiempo para implementar estos cambios y podemos ofrecer soporte donde se requiera asistencia técnica.

Los resultados documentados en el informe final generalmente los presentamos en persona y estamos disponibles para responder cualquier pregunta.