Metodología de una prueba de penetración

¿QUÉ ES UNA PRUEBA DE PENETRACIÓN? Una Prueba de Penetración es el proceso utilizado pararealizar una evaluación o auditoría de seguridad de alto nivel. Una metodologíadefine un conjunto de reglas, prácticas, procedimientos y métodos a seguir eimplementar durante la realización de cualquier programa de auditoría enseguridad de la información. Una metodología de pruebas de penetración defineuna hoja de ruta con ideas útiles y prácticas comprobadas, las cuales deben sermanejadas cuidadosamente para poder evaluar correctamente los sistemas deseguridad. ¿CUÁLES SON LOS TIPOS DE PRUEBAS DE PENETRACIÓN QUEEXISTEN? Existen diferentes tipos de Pruebas de Penetración, las máscomunes y aceptadas son: Las Pruebas de Penetración de Caja Negra (Black-Box): En este tipo de prueba No se tienen ningún tipo deconocimiento anticipado sobre la red de la organización. Un ejemplo de esteescenario es cuando se realiza una prueba externa a nivel web, y está esrealizada solo con el detalle de una URL o dirección IP proporcionado al equipode pruebas. Este escenario simula el rol de intentar irrumpir en el sitio web ored de la organización. Así mismo simula un ataque externo realizado por unatacante malicioso. Las Pruebas de Penetración de Caja Blanca (White-Box): En este tipo deprueba El equipo de pruebas cuenta con acceso para evaluar lasredes y ha sido dotado de diagramas de la red y detalles sobre el hardware,sistemas operativos, aplicaciones, entre otra información antes de realizar laspruebas. Esto no iguala a una prueba sin conocimiento, pero puede acelerar elproceso en gran magnitud con el propósito de obtener resultados más precisos.La cantidad de conocimiento previo conduce a realizar las pruebas contra sistemasoperativos específicos, aplicaciones y dispositivos de red que residen en lared, en lugar de invertir tiempo enumerando lo que podría posiblemente estar enla red. Este tipo de prueba equipara una situación donde el atacante puedetener conocimiento completo de la red interna. Las Pruebas dePenetración de Caja Gris (Grey-Box): Las pruebas de este tipo el equipo de pruebas simula unataque realizado por un miembro de la organización inconforme o descontento. Elequipo de pruebas debe ser dotado con los privilegios adecuados a nivel deusuario y una cuenta de usuario, además de permitirle acceso a la red interna. EVALUACIÓN DE VULNERABILIDADES Y PRUEBA DEPENETRACIÓN. QUE ES UNA EVALUACIÓN DE VULNERABILIDAD: Una evaluación de vulnerabilidades es el proceso de evaluarlos controles de seguridad interna y externa para identificar las amenazas queplanteen una seria exposición para los activos de la organización. ¿CUÁL ES LADIFERENCIA ENTRE UNA PRUEBA DE PENETRACIÓN Y UNA EVALUACIÓN DE VULNERABILIDAD? La principal diferencia entre una evaluación de vulnerabilidades y una prueba de penetración, radica en que las pruebas de penetración van más allá del nivel de únicamenteidentificar vulnerabilidades, y van hacia el proceso de su explotación, escalarprivilegios, y mantener el acceso en el sistema objetivo. Mientras que laevaluación de vulnerabilidades proporciona una amplia visión de las fallasexistentes en los sistemas, pero sin medir el impacto real de estas para lossistemas en consideración. METODOLOGÍASDE PRUEBAS DE SEGURIDAD Existen diversas metodologías open source que tratan de conducir o guiar losrequerimientos de las evaluaciones en seguridad. La idea principal de utilizaruna metodología durante la evaluación, es ejecutar diferentes tipos de pruebaspaso a paso para poder juzgar con mucha precisión la seguridad de un sistema.Entre estas metodologías se encuentran las mencionadas abajo con su respectivolink , todas se encuentran en ingles : Open Source Security Testing Methodology Manual (OSSTMM) http://riffhold.com/FmF ThePenetration Testing Execution Standard (PTES) http://riffhold.com/FmU PenetrationTesting Framework http://riffhold.com/Fmc OWASPTesting Guide http://riffhold.com/Fmp TechnicalGuide to Information Security Testing and Assessment (SP 800-115) http://riffhold.com/Fmz