Penetration Testing Framework

Introduccion a la metodología Vulnerability Assesment Penetration Testing Framework 0.59 (FTP)

§ Inspección previa al sitio

§ Introducción

§ Historial y antecedentes de la organización de pruebas.

§ Autoridad para probar, es decir, solicitud de la empresa, la sede corporativa o el comprador potencial de la empresa.

§ Propuesta detallada de pruebas y servicios que se proponen realizar.

§ Declaración de capacidad de la organización de pruebas, es decir, competencias básicas / limitaciones / escalas de tiempo, etc.

§ Herramientas a utilizar si se solicita.

§ Estado de acreditación

§ Interino

§ Reacreditación

§ Lleno

§ Alcance de la prueba

§ Etapa de Lifecyle

§ Capacidad operativa provisional, es decir, construcción de desarrollo / etapa beta.

§ Capacidad operativa final, es decir, proyecto en la etapa de aceptación del cliente.

§ Actualización importante, es decir, actualización de software / hardware.

§ Tipo de prueba

§ Prueba de cumplimiento

§ Básicamente una auditoría de un sistema realizada contra un criterio conocido. Una prueba de cumplimiento puede venir en muchas formas diferentes dependiendo de la solicitud recibida, pero básicamente se puede dividir en varios tipos diferentes: Sistemas Operativos y Aplicaciones: Una verificación de que un sistema operativo y / o aplicaciones están configurados adecuadamente a las necesidades de la empresa y los requisitos de bloqueo, proporcionando así controles adecuados y robustos para garantizar que la Confidencialidad, La integridad y disponibilidad del sistema no se verán afectadas en su funcionamiento normal del día a día.

Sistemas en desarrollo: Una verificación de que el sistema previsto en desarrollo cumple con los estándares de configuración y bloqueo solicitados por el cliente.

Gestión de TI y arquitectura empresarial: una verificación de que se ha puesto en marcha la infraestructura de gestión de TI en el lugar que abarca todos los aspectos del soporte del sistema. Esto es para garantizar que se hayan formulado, documentado y puesto en marcha procedimientos efectivos de control de cambios, auditoría, continuidad del negocio y seguridad, etc.

Política de Interconexión: Una verificación de que se han establecido controles adecuados de seguridad y continuidad del negocio que rigen la conexión a otros sistemas, ya sean Telecomunicaciones, Intranets, Extranets e Internet, etc., que se han establecido, se han documentado completamente y corresponden a los requisitos establecidos por el cliente.

§ Credenciales completas suministradas

§ Acceso completo a diagramas y esquemas de red

§ Acceso completo a los scripts y archivos de configuración

§ Cumple con:

§ Definido por el cliente

§ Paquete de garantía gubernamental

§ HIPAA

§ ISO27001

§ Bloqueo de Microsoft

§ Bloqueo de la NSA

§ Sorbanes Oxley

§ Etc.

§ Evaluación de vulnerabilidades

§ La evaluación de vulnerabilidades es un proceso de identificación y análisis de un sistema o red en busca de posibles vulnerabilidades, defectos o debilidades que puedan dejarlo abierto a la explotación.

§ Credenciales completas Suministradas o limitadas a credenciales básicas de usuario dependiendo del nivel de prueba

§ Acceso completo a diagramas y esquemas de red

§ Acceso completo a los scripts y archivos de configuración

§ Prueba de penetración

§ Una prueba de penetración es esencialmente una evaluación del estado actual de seguridad de un sistema o red y su probabilidad de ser susceptible a un ataque exitoso por parte de un hacker malicioso o un usuario nefasto. El proceso implica la enumeración y el escaneo de cualquier falla técnica o vulnerabilidad. Después de que se encuentran tales fallas, se intentan penetrar dentro de la red y ganar un punto de apoyo. Una vez que esto se ha establecido, se intenta utilizar fideicomisos y relaciones para obtener una mayor entrada en el dominio.

§ Tipo de prueba

§ Caja blanca

§ El equipo de pruebas tiene acceso completo a la red de pruebas y se le han suministrado diagramas de red, hardware, sistema operativo y detalles de la aplicación, etc., antes de que se realice una prueba. Esto no equivale a una prueba verdaderamente ciega, pero puede acelerar mucho el proceso y conduce a obtener resultados más precisos. La cantidad de conocimiento previo conduce a una prueba dirigida a sistemas operativos, aplicaciones y dispositivos de red específicos que residen en la red en lugar de dedicar tiempo a enumerar lo que podría estar en la red. Este tipo de prueba equivale a una situación en la que un atacante puede tener un conocimiento completo de la red interna.

§ Caja negra

§ No se conoce ningún conocimiento previo de la red de una empresa. En esencia, un ejemplo de esto es cuando se debe llevar a cabo una prueba externa basada en la web y solo se proporcionan los detalles de la URL o la dirección IP de un sitio web al equipo de pruebas. Sería su papel intentar irrumpir en el sitio web / red de la empresa. Esto equivaldría a un ataque externo llevado a cabo por un hacker malicioso.

§ Caja gris

§ El equipo de pruebas simularía un ataque que podría ser llevado a cabo por un miembro del personal descontento y descontento. El equipo de pruebas contaría con privilegios de nivel de usuario apropiados y una cuenta de usuario y acceso permitidos a la red interna mediante la relajación de las políticas de seguridad específicas presentes en la red, es decir, la seguridad a nivel de puerto.

§ Exclusiones

§ Ataques de ingeniería social

§ Ataques de denegación de servicio, etc.

§ Consulte también la sección Exenciones de la prueba.

§ Propósito de la prueba

§ Implementación de una nueva versión de software, etc.

§ Garantía de seguridad para el código de conexión

§ Problemas de interconectividad.

§ Despliegue de redes inalámbricas en LAN cableada.

§ ISO27001/HIPAA, etc. Conformidad

§ Obtener los detalles de red adecuados (dependiendo del nivel de prueba).

§ Peer to Peer, Cliente-Servidor, Modelo de dominio, Active Directory integrado

§ Número de servidores y estaciones de trabajo

§ Detalles del sistema operativo

§ Principales aplicaciones de software

§ Configuración y configuración de hardware

§ Interconectividad y por qué medios, es decir, T1, satélite, red de área amplia, marcación de línea de arrendamiento, etc.

§ Cifrado / VPN utilizados, etc.

§ Función de la red o sistema

§ Autoridad firmada obtenida para probar

§ CONSEJERO DELEGADO

§ Gerente de Riesgos

§ Administrador del sistema

§ Propietarios de datos

§ Oficial de Seguridad

§ ISP relevante

§ Acuerdo de no divulgación

§ Toda la información en relación con esta tarea no se puede distribuir / utilizar en investigación, capacitación, marketing, etc.

§ Limitado, es decir, cierta información se puede utilizar en escenarios de marketing / capacitación e investigación después de que el acuerdo se haya ordenado del cliente.

§ Ninguno, es decir, toda la información es libremente distribuible y no está bajo ninguna restricción.

§ Autorizaciones especiales requeridas

§ Investigación gubernamental

§ Equipo de CHECK calificado

§ Certificado Mastercard

§ Exenciones/exenciones conocidas

§ Conocido por Risk Manager

§ Evaluaciones de riesgos completadas

§ Exenciones de la prueba

§ Compilaciones de desarrollo

§ Equipos de propiedad conjunta

§ Laptops

§ Trial Applications

§ Unstable Hosts

§ Supplied Network infrastructure for the test only

§ Contractural constraints

§ Are there any Service Level Agreement in place that may affect the scope of the test

§ Waiver letter required for test from contractural partners (this document is required in conjunction with Authority to test above.)

§ Local equipment requirement

§ CAT5 taps and speed

§ Fibre taps/converter requirement

§ Local Internet access

§ Filtered

§ Unfiltered

§ Downloads/exports allowed

§ Office space

§ Power available

§ Refreshments

§ Local manpower requirement

§ Application administrators

§ Database administrators

§ Network administrators

§ Operating System administrators

§ Points of Contact

§ Risk Manager

§ Database Administrator

§ Local Security Officer

§ System Administrator

§ Networking Administrator

§ ISP

§ Note: - All should be named and have appropriate 24/7 contact numbers provided.

§ Reporting Timescales

§ During Test

§ Normal

§ Daily Brief

§ Interim Brief

§ End of Test verbal debrief

§ Exceptional

§ Upon identifiying Critical vulnerabilities/ exploits

§ Upon identifying previous Intrusion

§ Upon finding child pornography/ other activities legally bound to report.

§ Post Testing

§ Normal timescale

§ Local requested timescale

§ Privacy/Commercial Protective Marking required

§ Distribution List

§ Access to Previous tests & reports

§ Prueba de cumplimiento

§ Motivo de la prueba

§ Quién llevó a cabo

§ Cuándo se llevó a cabo y si se completó algún trabajo de rectificación.

§ Escala de tiempo de lanzamiento

§ Inicio de la prueba: esto es importante para una prueba de cumplimiento, ya que las fallas anteriores se pueden volver a probar y verificar inmediatamente como seguras o aún vulnerables a la explotación, etc.

§ Durante la prueba

§ Fin de la prueba

§ Evaluaciones de vulnerabilidad

§ Motivo de la prueba

§ Quién llevó a cabo

§ Cuándo se llevó a cabo y si se completó algún trabajo de rectificación.

§ Escala de tiempo de lanzamiento

§ Inicio de la prueba

§ Durante la prueba

§ Fin de la prueba

§ Esto puede ser importante durante una evaluación de vulnerabilidad, ya que se puede utilizar como una guía de cómo ha progresado la red durante el tiempo de la última prueba hasta el período actual. La liberación de esto por parte del cliente puede no ser lo mejor para el cliente, ya que es mejor tener un equipo independiente para evaluar todas las vulnerabilidades. El cliente también puede evaluar el rendimiento general del equipo de pruebas y, por lo tanto, su relación calidad-precio en la realización de la prueba.

§ Pruebas de penetración

§ Motivo de la prueba

§ Quién llevó a cabo

§ Cuándo se llevó a cabo y si se completó algún trabajo de rectificación.

§ Escala de tiempo de lanzamiento

§ Inicio de la prueba

§ Durante la prueba

§ Fin de la prueba

§ Comentario apropiado que debe hacerse en el informe final de referencia recepción de estos documentos y en qué momento durante la prueba. Esto proporciona puntos de mitigación ya que la información obtenida es privilegiada y se utilizó para obtener una ventaja injusta en el acceso potencial a la red. Obviamente, si los documentos estuvieran disponibles después de la prueba, el menor peso se enfatizaría en el informe final, ya que solo se usarían como referencia. Esto puede perjudicar al cliente, ya que potencialmente están revelando agujeros explotables dentro de su infraestructura de red. Un punto de vista opuesto es el hecho de que el equipo de pruebas verificará cualquier solución que haya tenido lugar o que el agujero explotable todavía existe y aún necesita atención para mitigar o cerrar. Desde la perspectiva del cliente, si no se descubre un agujero explotable, puede dar una indicación de que el exploit podría ser evaluado y gestionado por el riesgo.

§ Inspección física

§ Principales áreas de trabajo donde la mayoría de los usuarios utilizarían el equipo.

§ Sala de equipos de red donde se aloja y asegura toda la infraestructura de enrutamiento.

§ Sala de servidores si es diferente de la sala de equipos de red.

Equipos de pruebas planificadas área de trabajo.

TEXTO TRADUCIDO DE http://www.vulnerabilityassessment.co.uk/Presite%20Inspection.html