A la hora de realizar pruebas de seguridad, es importante seguir un orden de los procedimientos a realizar y tener en cuenta ciertos lineamientos para alcanzar un resultado satisfactorio y consistente en el contexto en el cual se realiza la prueba.

Para esto se han definido diferentes metodologías que involucran un contexto científico formal para  orientar al profesional en la búsqueda de mejorar los procesos, técnicas y resultados siguiendo lineamientos y fases.

Existen unas fases genéricas para una prueba de seguridad o ciber-ataque, las cuales son reconocimiento del contexto, escaneo y análisis de vulnerabilidades, obtener acceso y escalamiento de privilegios, mantener el acceso y borrar el rastro de la intrusión.

PTES

PTES (Penetration Testing Execution Standart) consta de siete (7) secciones principales. Pretende unir esfuerzos de analistas y expertos en seguridad para hacer un estándar que pueda completar una auditoría en todos sus procesos más habituales. Estos cubren todo lo relacionado con una prueba de penetración:

  • Herramientas requeridas
  • Recolección de información
  • Análisis de vulnerabilidades
  • Explotación
  • Post-explotación
  • Informes

Esta metodología maneja niveles de riesgo dirigidos a un lenguaje para el negocio y maneja una descripción cualitativa, lo que permite la fácil comunicación con el cliente. Las razones para las que se solicitó el test deben ser los primeros aspectos relevantes del informe final. Seguido de los posibles riesgos y su valoración. Las métricas utilizadas y las contramedidas propuestas para los riesgos analizados.

OWASP Testing Guide

Método de test para aplicaciones web basado en dos fases: pasiva y activa. Su enfoque es “black box” preferentemente, se sabe poco o nada de la aplicación que se va a probar, incluso del contexto en el que se van a hacer las pruebas. El enfoque OWASP es abierto y colaborativo.

Fase pasiva:
Se trata de hacer pruebas hasta comprender la lógica de la aplicación que está en fase de testing, comprobar si arroja algún elemento que pueda significar una puerta abierta para su análisis detallado.
Fase activa:
El “tester” comienza a probar todos los procesos recomendados en esta metodología. Esta fase se centra, concretamente, en 9 subcategorías de 66 procesos:
  • Configuration Management Testing (Information gathering + configuration management).
  • Authentication Testing
  • Authorization testing
  • Session Management Testing
  • Business Logic Testing
  • Data Validation Testing
  • Denial of Service Testing
  • Web Services Testing
  • Ajax Testing

ISSAF

ISSAF (Information Systems Security Assessment Framework)  es una muy buena fuente de referencia para las pruebas de penetración, aunque  no esta activa y se encuentra desactualizada. Proporciona una guía técnica de pruebas de penetración exhaustiva.

Se basa en los llamados “Criterios de evaluación” los cuales fueron elaborados por especialistas y estan compuestos por los siguientes elementos:

  • Descripción del criterio de evaluacón
  • Puntos y objetivos a cubrir
  • Pre-requisitos para conducir la evaluación
  • Proceso de evaluación
  • Informe de los resultados esperados
  • Contramedidas y recomendaciones
  • Referencias y documentación externa

OSSTMM

OSSTMM (Open Source Security Testing Methodology Manual)  es una metodología para probar la seguridad operativa de ubicaciones físicas, flujo de trabajo, pruebas de seguridad humana, pruebas de seguridad física, pruebas de seguridad inalámbrica, pruebas de seguridad de telecomunicaciones, pruebas de seguridad de redes de datos y cumplimiento. OSSTMM puede estar soportando la referencia de IOS 27001 en lugar de una guía práctica de pruebas de penetración.

Esta metodología es una de las mas estrictas y usadas en el ámbito corporativo, busca:

  • Rigurosidad de las pruebas
  • Evitar falsos positivos
  • Cumplir con las regulaciones y estándares internacionales
  • Cuantificar los resultados
  • Obtener resultados consistentes y reproducibles
  • Realizar una auditora formal de calidad

Consta de las siguientes fases:

  • Inducción: Estudiar el entorno donde reside el objetivo.
  • Interacción: Interactuar directamente con el objetivo y observar las respuestas obtenidas.
  • Investigación
  • Intervención

OSSTMM incluye las siguientes secciones clave:

  • Métricas de seguridad operacional
  • Análisis de la confianza
  • Flujo De Trabajo.
  • Pruebas de Seguridad Humana
  • Pruebas de seguridad física
  • Pruebas de Seguridad Inalámbrica
  • Pruebas de Seguridad en las Telecomunicaciones
  • Pruebas de seguridad de redes de datos
  • Normas de Cumplimiento
  • Informar con el STAR (Informe de auditoría de prueba de seguridad)

Referencias:

A %d blogueros les gusta esto: