Tipos De Test de Penetración

Cuando se realiza una prueba de seguridad o de penetración, un hacker ético utiliza uno o más tipos de pruebas en el sistema.

Pruebas de caja negra

Las pruebas de caja negra implican la realización de una evaluación de la seguridad y pruebas sin conocimiento previo de la infraestructura o de la infraestructura de red a probar. La prueba simula un ataque de un hacker malicioso fuera del perímetro de seguridad de la organización.

Pruebas de caja blanca

Las pruebas de caja blanca implican la evaluación de la seguridad y las pruebas son con conocimiento completo de la infraestructura de red, como un administrador de red podría hacer.

Pruebas de caja gris

Las pruebas de caja gris implican la realización de la evaluación de la seguridad y pruebas internas. Las pruebas examinan el grado de acceso a información privilegiada dentro de la red. El propósito de esta prueba es para simular las formas más comunes de ataque, los que se inician desde dentro de la red. La idea es poner a prueba o auditar el nivel de acceso de los empleados, o contratistas y ver si esos privilegios se pueden escalar a un nivel superior.

Triángulo  de la Seguridad, funcionalidad y facilidad de uso

Triángulo de la seguridad
Triángulo de la seguridad
Como profesional de la seguridad, es difícil encontrar un equilibrio entre la instauración de barreras de seguridad para evitar un ataque y permitir que el sistema permanezca funcional para los usuarios. El triángulo de la seguridad, funcionalidad y facilidad es una representación del equilibrio entre la seguridad, la funcionalidad y la facilidad de uso para los usuarios del sistema (ver Figura 1.3). En general, cuando la seguridad aumenta, la funcionalidad y facilidad de uso para los usuarios del sistema disminuye.
En un mundo ideal, los profesionales de la seguridad les gustaría tener el más alto nivel de seguridad en todos los sistemas; Sin embargo, a veces esto no es posible. Demasiadas barreras de seguridad dificultan el uso de los sistemas a los usuarios e impiden la funcionalidad del sistema.

Investigación de Vulnerabilidades y Herramientas

El estudio de vulnerabilidades es el proceso de descubrimiento de vulnerabilidades y debilidades de diseño que podría conducir a un ataque a un sistema. Existen varios sitios web y herramientas para ayudar a los hackers éticos en el mantenimiento de una lista actualizada de vulnerabilidades y posibles agujeros de seguridad de los sistemas o redes. Es esencial que los administradores de sistemas se mantengan actualizados sobre los últimos virus, Troyanos y otros ataques comunes a fin de proteger adecuadamente sus sistemas y redes. Además, al familiarizarse con las nuevas amenazas, un administrador puede aprender a detectar, prevenir y recuperarse de un ataque.

Informe de Hacking Ético

El resultado de una prueba de penetración en una red o una auditoría de seguridad es un informe de hacking ético, o de pen test. Cualquier nombre es aceptable, y se puede utilizar indistintamente. Este informe detalla los resultados de la actividad de hackeo, los tipos de pruebas realizadas y los métodos de hacking usados. Los resultados se comparan con las expectativas inicialmente acordadas con el cliente.

Cómo ser ético

El hacking ético se suele llevar a cabo de una manera estructurada y organizada, por lo general como parte de una prueba de penetración o de auditoría de seguridad. La profundidad y amplitud de los sistemas y aplicaciones a verificar se fija normalmente a partir de las necesidades y preocupaciones del cliente. Muchos hackers éticos son miembros de un equipo tigre. Un equipo tigre trabaja en conjunto para realizar una prueba a gran escala que cubre todos los aspectos de la red, físico e intrusión en los sistemas.
Los pasos siguientes son un marco para la realización de una auditoría de seguridad en una organización y ayudará a asegurar que la prueba se lleva a cabo de una manera organizada, eficiente y de manera ética:
  • Hablar con el cliente, y discutir las necesidades a ser consideradas durante la prueba.
  • Preparar y firmar documentos NDA con el cliente.
  • Organizar un equipo de hacking ético, y preparar un calendario para la prueba.
  • Llevar a cabo la prueba.
  • Analizar los resultados de las pruebas, y preparar un informe.
  • Presentar los resultados del informe al cliente.

Realización de una prueba de penetración

Muchos hackers éticos que desempeñan el papel de profesionales de seguridad utilizan sus habilidades para llevar a cabo evaluaciones de seguridad o pruebas de penetración. Estas pruebas y evaluaciones tienen tres fases, generalmente ordenadas de la siguiente manera:

Preparación.

Esta fase consiste en un acuerdo formal entre el hacker ético y la organización. Este acuerdo debe incluir el alcance completo de la prueba, los tipos de ataques (Internos o externos) a utilizar, y los tipos de pruebas: caja blanca, negra o gris

Realizar evaluación de la seguridad

Durante esta fase, las pruebas se llevan a cabo, después de lo cual el pentester prepara un informe  formal de vulnerabilidades y otros hallazgos.