Scribd
Cargar
234 vistas33 páginas

Pentesting

El documento habla sobre pentesting o pruebas de penetración, que son evaluaciones de seguridad donde se simulan ataques reales para encontrar vulnerabilidades. Explica que un pentest involucra reconocimiento, análisis de vulnerabilidades, explotación y un informe final. También menciona evaluaciones de vulnerabilidades más simples, pentests dirigidos y el trabajo de equipos rojos que emulan ataques más sofisticados.

Cargado por

Marcelo Marchese
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
234 vistas33 páginas

Pentesting

El documento habla sobre pentesting o pruebas de penetración, que son evaluaciones de seguridad donde se simulan ataques reales para encontrar vulnerabilidades. Explica que un pentest involucra reconocimiento, análisis de vulnerabilidades, explotación y un informe final. También menciona evaluaciones de vulnerabilidades más simples, pentests dirigidos y el trabajo de equipos rojos que emulan ataques más sofisticados.

Cargado por

Marcelo Marchese
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Pentesting

Superficies de ataque
Evaluaciones de seguridad

• Evaluación de vulnerabilidades
o Diagnóstico
• Pentest
o Simulación de ataque coordinado
• Red Team
o Multidisciplinario – Emulación Real
• Purple Team
o Trabajo en conjunto (Red-Blue)
Pentest - Test de intrusión
Wikipedia: “Es un ataque a un sistema informático con la intención de
encontrar las debilidades de seguridad y todo lo que podría tendría tener
acceso a ella, su funcionalidad y datos.

OSSTMM: “Prueba de seguridad con un objetivo específico que termina


cuando dicho objetivo se obtiene o se acaba el tiempo disponible”

NIST: “Prueba de seguridad donde se simulan ataques reales para


subvertir las funciones de seguridad de un aplicativo, sistema o red”

Otros:
“Metodologías y conjunto de pruebas que permite conocer el
estado de situación de las medidas de seguridad adoptadas”
Pentest - Test de intrusión
Wikipedia: “Es un ataque a un sistema informático con la intención de
encontrar las debilidades de seguridad y todo lo que podría tendría tener
acceso a ella, su funcionalidad y datos.

OSSTMM: “Prueba de seguridad con un objetivo específico que termina


cuando dicho objetivo se obtiene o se acaba el tiempo disponible”

NIST: “Prueba de seguridad donde se simulan ataques reales para


subvertir las funciones de seguridad de un aplicativo, sistema o red”

Otros:
“Metodologías y conjunto de pruebas que permite conocer el
estado de situación de las medidas de seguridad adoptadas”
Razones para un test de intrusión

• Cumplir con una normativa.


• Testear los controles de seguridad
• Mostrar a terceros un plan de seguridad ([Link])
Objetivos de un test de intrusión
• Conocer la posibilidad real de explotar una vulnerabilidad.
• Identificar vulnerabilidades de manera manual
• Comprender los problemas operacionales de negocio que genera un ataque.
• Incrementar los controles de mitigación hacia el futuro.
Requerimientos previos
• Definición de alcance
• Objetivos generales o específicos
• Perfil del atacante
• Acceso por etapas según objetivos
• Reglas de ejecución
Estándares
• OWASP (Open Web Application Security Project)
• PTES Framework (Penetration Testing Execution
Standard)
• ISSAF (Information Security Assessment
Framework)
• NIST SP 800-15 (Technical Guide to Information
Security Testing and Assessment)
• OSSTMM (Open Source Security Testing
Methodology Manual)
Tipos de pentesting
Planificación
¿Qué NO hace un proyecto de este
tipo?

• Conseguir todas las vulnerabilidades.


• Atacar todas las vulnerabilidades.
• Corregir las vulnerabilidades.

¿Qué NO hace un pentester?

• No respetar el Alcance.
• Actuar de forma No ética.
• No reportar vulnerabilidades.
• No cumplir con leyes.
Metodología: fases de un proyecto de pentesting
1. Reconocimiento

• Físico
• Social
• OSINT
• Lógico
• Buscadores
• Dominios
• Servicios
• Activo o pasivo
1. Reconocimiento lógico

• Listado de subdominios/hosts (Herramienta Amass/sublist3r)


• Recolección de redes (se calculan las subredes con las Ips encontradas/Shodan)
• Reconocimiento Web (Wappalyzer, WhatWeb)
• Archivos o URLs borradas (Wayback Machine, .config, .backup, .csv, /api, /admin)
• Subdominios externos.
2. Análisis de vulnerabilidades

• Análisis manuales y específicos


• Análisis automatizados
2. Análisis de vulnerabilidades

• Gestión de Vulnerabilidades
• Evaluación de Vulnerabilidades
• Scanner de vulnerabilidades(suele ser la herramienta principal)
• Análisis de tráfico de red(ej: Detectar comunicaciones sin cifrado)
2. Análisis de vulnerabilidades. ¿Qué herramientas existen?

• Instalación de agente en sistemas.


• Monitoreo de red.
• Scanner de red. (Nessus, Greenbone, Qualys, Acunetix, Nmap, Nexpose).
• Scanner de apps web (Nikto, w3af, ZAP, Burpsuite).
• Scanner de bases de datos (Scuba, McAfee Vulnerability Manager for Database).
• Scanner de Código (Github, Infer, Veracode).
• Scanner de aplicaciones web (MOBSF).
3. Explotación

• Es una etapa que puede iterar con la etapa de análisis de vulnerabilidades.


• Objetivo ganar acceso
• Explotar vulnerabilidades de servicios en internet
• Explotar sistemas de autenticación en internet
• Ejecución de malware vía phishing
• Lograr acceso físico a la red
• Ataque en la cadena del producto (software)
3. Explotación. Posibles soluciones

• Aplicar parches y monitoreo Zero Day


• Remover credenciales por defecto
• Monitorear accesos e incluir factores múltiples de autenticación
• Monitorear y bloquear PC, navegación web, correo electrónico, entre otros.
• Controles de seguridad física, monitoreo, separación de redes
• Monitoreo de acceso y cambios sin solicitudes al software
4. Post Explotación | Ganar acceso

• Analizar posición en la red


• Analizar usuarios y claves
• Analizar software instalado
• Realizar nuevo reconocimiento
• Testear credenciales (Pass the hash)
4. Post Explotación | Ganar acceso

• Pivoting entre diferentes sistemas


• Session hijacking
• Acceso a software de terceros internos
• Creación o manipulación de cuentas
• Alteración de scripts
• Modificar procesos de sistema
• Implementar una imagen de contenedor
RED TEAM

• Aplicaciones
• Redes
• Seguridad física
• Seguridad de las personas
Evaluación Pentest Red Team
de vulnerabilidades
Reconocimiento y listado de Ataque simulado con objetivos Ataque dirigido y sofisticado a todos los
vulnerabilidades de dispositivos y específicos a dispositivos, aplicaciones, componentes operativos de la empresa
aplicaciones procesos y personas

Conocimientos básicos Conocimientos avanzados en el objetivo Conocimientos avanzados y


seleccionado procedimientos personalizados
5. Informes

• Informe de vulnerabilidades en los sistemas analizados


• Se registran las vulnerabilidades encontradas, los recursos que se encuentran
desactualizados y todo los hallazgos del test.
• Se registran las posibles medidas para mitigar las vulnerabilidades encontradas
• Herramientas utilizadas: Faraday, Dradis, Simple Vulnerability Manager.
• Plantilla para reporte: [Link]
[Link]
Metodología

Fuente: [Link]
[Link]
[Link]
[Link]
Para tener en cuenta!
Material de lectura

• Cryptography and Network Security – Stallings (Cap. 17 – pag. 527) (Bibliografía)

• Open Source Security Testing Methodology Manual (OSSTMM) -


[Link]

• Open Web Application Security Project (OWASP) - [Link]

• National Institute of Standards and Technology (NIST) – SP 800-115 -


[Link]

• Penetration Testing Execution Standard (PTES) - [Link]

También podría gustarte