¿QUÉ ES UNA PRUEBA DE PENETRACIÓN?
Una Prueba de Penetración es el proceso utilizado para realizar una evaluación o auditoría de seguridad de alto nivel. Una metodología define un conjunto de reglas, prácticas, procedimientos y métodos a seguir e implementar durante la realización de cualquier programa de auditoría en seguridad de la información. Una metodología de pruebas de penetración define una hoja de ruta con ideas útiles y prácticas comprobadas, las cuales deben ser manejadas cuidadosamente para poder evaluar correctamente los sistemas de seguridad.
¿CUÁLES SON LOS TIPOS DE PRUEBAS DE PENETRACIÓN QUE EXISTEN?
Existen diferentes tipos de Pruebas de Penetración, las más comunes y aceptadas son:
Las Pruebas de Penetración de Caja Negra (Black-Box):
En este tipo de prueba No se tienen ningún tipo de conocimiento anticipado sobre la red de la organización. Un ejemplo de este escenario es cuando se realiza una prueba externa a nivel web, y está es realizada solo con el detalle de una URL o dirección IP proporcionado al equipo de pruebas. Este escenario simula el rol de intentar irrumpir en el sitio web o red de la organización. Así mismo simula un ataque externo realizado por un atacante malicioso.
Las Pruebas de Penetración de Caja Blanca (White-Box):
 |
| pruebas de caja de cristal o pruebas estructurales(Pruebas de Penetración de Caja Blanca) |
En este tipo de prueba el equipo de pruebas cuenta con acceso para evaluar las redes y ha sido dotado de diagramas de la red y detalles sobre el hardware, sistemas operativos, aplicaciones, entre otra información antes de realizar las pruebas. Esto no iguala a una prueba sin conocimiento, pero puede acelerar el proceso en gran magnitud con el propósito de obtener resultados más precisos. La cantidad de conocimiento previo conduce a realizar las pruebas contra sistemas operativos específicos, aplicaciones y dispositivos de red que residen en la red, en lugar de invertir tiempo enumerando lo que podría posiblemente estar en la red. Este tipo de prueba equipara una situación donde el atacante puede tener conocimiento completo de la red interna.
Las Pruebas de Penetración de Caja Gris (Grey-Box):
Las pruebas de este tipo el equipo de pruebas simula un ataque realizado por un miembro de la organización inconforme o descontento. El equipo de pruebas debe ser dotado con los privilegios adecuados a nivel de usuario y una cuenta de usuario, además de permitirle acceso a la red interna.
EVALUACIÓN DE VULNERABILIDADES Y PRUEBA DE PENETRACIÓN.
QUE ES UNA EVALUACIÓN DE VULNERABILIDAD:
Una evaluación de vulnerabilidades es el proceso de evaluar los controles de seguridad interna y externa para identificar las amenazas que planteen una seria exposición para los activos de la organización.
¿CUÁL ES LA DIFERENCIA ENTRE UNA PRUEBA DE PENETRACIÓN Y UNA EVALUACIÓN DE VULNERABILIDAD?
La principal diferencia entre una evaluación de vulnerabilidades y una prueba de penetración, radica en que las pruebas de penetración van más allá del nivel de únicamente identificar vulnerabilidades, y van hacia el proceso de su explotación, escalar privilegios, y mantener el acceso en el sistema objetivo. Mientras que la evaluación de vulnerabilidades proporciona una amplia visión de las fallas existentes en los sistemas, pero sin medir el impacto real de estas para los sistemas en consideración.
METODOLOGÍAS DE PRUEBAS DE SEGURIDAD
Existen diversas metodologías open source que tratan de conducir o guiar los requerimientos de las evaluaciones en seguridad. La idea principal de utilizar una metodología durante la evaluación, es ejecutar diferentes tipos de pruebas paso a paso para poder juzgar con mucha precisión la seguridad de un sistema. Entre estas metodologías se encuentran las mencionadas abajo con su respectivo link , todas se encuentran en ingles :
Open Source Security Testing Methodology Manual (OSSTMM)
The Penetration Testing Execution Standard (PTES)
Penetration Testing Framework
OWASP Testing Guide
Technical Guide to Information Security Testing and Assessment (SP 800-115)
No hay comentarios:
Publicar un comentario