Hoy os traigo una entrada en la que se hablará sobre el PTES. ¿Y qué es eso? pues sigue leyendo a continuación para estar informad@.
El PTES es un estándar de ejecución de pruebas de pentesting. Ha sido desarrollado por un grupo de expertos en seguridad y proporciona una base mínima para los requerimientos que se realizan en un pentesting o pruebas de penetración. Este estándar está organizado en secciones que definen lo que debe incluirse en dichas pruebas.
Vamos a ver, de manera resumida, las 7 fases de PTES.
- Interacciones previas al compromiso
- La recogida de información
- Modelado de amenazas
- Análisis de vulnerabilidades
- Explotación
- Post-explotación
- Reportes (informes)
Interacciones previas al compromiso
En esta fase, los pentesters recopilan y preparan las herramientas, el sistema operativo y el software que van a usar para comenzar las pruebas. Las herramientas, así como el entrono, varían según el tipo y el alcance de las pruebas que pide el cliente, pero son estudiadas por el manager del equipo de pentesting.
La recogida de información
La empresa que contrata los servicios de pentesting da una información general sobre los objetivos que se llevarán a cabo en la auditoría. Dependiendo si las pruebas son de caja negra, gris o blanca, el auditor contará con mayor o menor conocimiento del sistema a atacar (en caja negra prácticamente no se conoce nada).
El pentester se encarga en esta fase de recopilar la mayor información sobre la empresa que se va a auditar, tanto en el aspecto "de negocio" (conocer sub sedes, documentos públicos en la red, etc.), como en la parte de los sistemas que se van a auditar (tipo de sistema operativos utilizados, servicios y puertos, y un largo etcétera).
Modelado de amenazas
Este es un proceso en el que se prioriza donde se van a aplicar las estrategias de soluciones, para así mantener un sistema seguro. PTES se basa en los activos comerciales, las comunidades de amenazas, los procesos y sus capacidades como elementos clave en el modelado de las amenazas.
Explotación
En esta fase del pentest está implicada directamente la explotación de vulnerabilidades identificadas en los procesos anteriores, en un intento de probar, como haría un atacante, la seguridad de la empresa. Las debilidades que se ha detectado, ahora pasan a formar parte de la fase de explotación.
Un ejemplo claro: Se ha detectado el puerto 445 en un equipo Windows 7 desactualizado (a través de SMB OS Discovery, por ejemplo) y se ha confirmado que es susceptible del ataque conocido como EternalBlue. El siguiente paso es explotar dicha vulnerabilidad.
Post-explotación
Una vez que se han terminado las pruebas de explotación, el pentester tiene como objetivo mantener el control sobre la máquina comprometida e intentar "saltar" a otras máquinas y/o redes. También juega un papel importante la escalada de privilegios, eliminar los logs, o utilizar la máquina comprometida para pivotar.
Reportes
Una vez concluidas el resto de fases anteriores, por último se generan los informes, habitualmente uno técnico para la gente de TI que va a tratar la solución de las vulnerabilidades, y otro ejecutivo que suele ser un PowerPoint con gráficos y que va dirigido a la parte no-técnica de la empresa.
Estos informes recogen las vulnerabilidades descubiertas, la forma en la que se han explotado, como se llegó a ello, etc. Al final se trata de proporcionar a la organización que ha contratado los servicios una guía útil para saber como mejorar la seguridad en la empresa.
Y esto ha sido todo. Como habréis notado ya, esto es solo un pequeño resumen de las fases de PTES. Hay mucho más de lo que hablar, pero eso, quizá, sea en otra entrada.
Si quieres leer más al respecto, puedes hacerlo aquí.
Nos vemos en la siguiente.
0 comentarios:
Publicar un comentario