La vulnerabilidad de la red generalmente tiene consecuencias realmente desagradables y costosas. En numerosas ocasiones, al menos por decirlo así, las empresas aprendieron sus lecciones de la manera más difícil: servicios inactivos durante bastante tiempo, extensas (costosas también) labores de recuperación, sin decir nada sobre la pérdida de ganancias y otros efectos a largo plazo. Las empresas del lado más inteligente anhelaban una protección de datos que haya demostrado ser efectiva. ¿Cómo probarlo? Imite los ataques: cuanto más desagradables (de todos lados y por diversos medios), mejor.
Prueba de penetración
Así es brevemente como cobraron vida las pruebas de penetración, abreviadas como pentests.
Objetivos a la vista
Citemos rápidamente los objetos más comunes de piratería. Ellos son:
- Divulgación de información en entornos multicloud, en particular Falsificación de solicitudes del lado del servidor.
- Procedimientos de autenticación, incluidos los que se encuentran dentro de las redes locales y los intentos de acceso externo.
- Mensajeros comunes, específicamente cuando se usan para compartir información confidencial.
- Software desactualizado y/o mal parcheado. Las copias sin licencia parecen ser la presa más fácil.
- Finalmente, es más un tema de piratería que su objeto. Humanos: con su comportamiento erróneo o intencionado para sacar más provecho de la empresa (como escalada de privilegios personales) o simplemente para causar daño.
Adhiriéndose aún más a la redacción militar: las amenazas están presentes y son claras. Entonces, las rutinas de supervivencia conocidas para una unidad son ejercicios regulares.
Enfermarse para obtener su cura
Una comparación inesperada: piense en la prueba de penetración como en la vacunación. ¿Qué es esa picadura, esencialmente? Una pequeña dosis de lo que está destinado a ser contra – el virus o bacteria real, disuelto ump-mil veces. En la mayoría de los casos, la inyección lo enfermará levemente, pero será inmune a esa misma enfermedad, en algunos casos de por vida.
Las pruebas de penetración (y los probadores) simulan el número de ataques dirigidos a la misma entidad. Muchas tareas están automatizadas, pero algunas, como ingresar al sistema operativo, hardware y software de un cliente, requieren participación manual.
Los ataques externos se organizan primero; la primera línea de seguridad se prueba a través de Internet. Luego se ingresa al perímetro interno: los evaluadores con los derechos de acceso de un empleado común verifican una red interna, generalmente a través de una conexión VPN remota. Algunas actividades prohibidas del personal de la parte atacada a menudo también se prueban; tal comportamiento incluso puede ser provocado dentro del conjunto de ataques. Al final, el cliente recibe un informe exhaustivo sobre cómo se protege el negocio en general y en detalle; los problemas más críticos se ponen en primer lugar, junto con las sugerencias de mejora.
Actualmente cinco métodos de prueba de penetración están en uso. El Manual de Metodología de Pruebas de Seguridad de Código Abierto (OSSTMM) y NIST SP800-115 parecen ser los más utilizados.
Vale la pena mencionar por separado las regulaciones con respecto a las pruebas de penetración. Las entidades que procesan datos de tarjetas de pago están obligadas a realizar pruebas de penetración perimetral completas anualmente, de acuerdo con el Requisito 11.3 de PCI DSS. Algunas regulaciones locales también pueden fomentar la existencia de pentests.
Por lo tanto, las pentests tienen ciertas similitudes con esa vacuna contra la gripe (o lo que sea). Antes de eso, estás bastante agitado, a veces perturbado, luego hay un “ay”, pero de hecho duele mucho menos de lo previsto, entonces estás demostrado tener buena salud y libre de ser contactado sin prejuicios.
Lo real, aunque virtual,
Es un poco aterrador que una prueba de penetración tenga que orquestarse absolutamente “en vivo”: las preocupaciones de los clientes sobre “qué pasaría si las cosas salieran mal” son comprensibles. Sin embargo, la mayor ventaja y, en última instancia, el sentido de pentest está en su realismo. El cliente dado, la infraestructura existente con sus colinas y pozos, y al final la respuesta muy confiable y, por lo tanto, valiosa: ¿está el negocio adecuadamente protegido o requiere mejoras?
A continuación se muestra la descripción del pentest real realizado. Por supuesto, no habrá nombres reales ni cifras exactas, sino que simplemente sentirá la autenticidad en esta amplia referencia:
“La experiencia en seguridad secundaria es inevitable ya que es menos parcial; los clientes a menudo carecen de competencia para realizar pruebas a gran escala. Por desgracia, las pequeñas empresas consideran que las pruebas de penetración son demasiado complicadas y caras. Sin embargo, hemos realizado pentest para una pequeña empresa.
Nuestro equipo capacitado atacó la infraestructura corporativa del cliente a través de todas las rutas disponibles, tanto externa como internamente. No solo se involucraron herramientas técnicas; también estuvo presente algo de ingeniería social. Simulaba tanto ciberataques masivos como actividad de fraude interno, pero todo bajo control y sin secuelas peligrosas.
Para imitar un modelo de caja negra de intrusión, cuando un atacante no tiene objetivos específicos, se utilizó. Para las pruebas de penetración interna, se eligió el modelo de Usuario remoto, cuando un pirata informático conecta una estación de trabajo no controlada a una red local trhu VPN. No había acceso lógico al dominio de Active Directory ni información sobre la estructura de la red y su protección disponible para ese usuario remoto. La protección de la red inalámbrica se probó a través del modelo de visitante, cuando una persona real obtiene acceso a la oficina vecina del cliente.
Cada prueba tuvo una fase introductoria de reconocimiento, recopilando nombres de dominio y zonas, direcciones y componentes de red, medios de protección, aplicaciones web, nombres de cuentas, software y servicios en uso. También se recopilaron algunos datos sobre el personal: durante las pruebas sociales, el equipo realizó un envío de pseudophishing y monitoreó la reacción humana. Además, las unidades flash USB con imitación de malware se dispersaron por la oficina del cliente: las conexiones de las unidades a las computadoras de la oficina se registraron de forma remota.
El tema de la confianza mutua fue importante durante toda la serie de pruebas. Cada fase o modelo fue conversado a fondo con el cliente. El memorando separado sobre daños potenciales o cambios irreversibles fue firmado por ambas partes; si en algún momento de la prueba el riesgo parecía demasiado alto o los probadores tenían éxito en su penetración, las operaciones se detenían inmediatamente hasta una autorización adicional.
La conclusión de pentest fue sorpresa para el cliente. La protección externa era por encima de la adecuada. Mientras que la resistencia de las aplicaciones web a los ataques DDoS parecía ser muy baja. Por lo tanto, los posibles estafadores no necesitaban mucha potencia informática para pasar.
La estructura interna también reveló algunos problemas importantes. Pero la principal preocupación no era técnica. Los empleados del cliente demostraron falta de cuidado y conocimiento de la seguridad de los datos. Si una red corporativa parece firme desde el exterior, siempre existe el riesgo de que alguien intente devastarla desde adentro.”
La Lista de Verificación
Teniendo en cuenta las pruebas de penetración para su negocio, tenga en cuenta:
- ¿Qué tan grande es su facturación?
- ¿Cuánto de su negocio depende de ELLO?
- ¿Cuánto podrías perder en caso de penetración?
