Pruebas de Penetración (Hackeo ético)

Pruebas de Penetración

El pentest, también llamado prueba de penetración, consiste en una evaluación de la seguridad, el análisis y la progresión de ataques simulados sobre la infraestructura interna y externa de una organización para comprobar su estado de seguridad. Estas evaluaciones de seguridad permiten a las organizaciones reducir el riesgo de un ciberataque y garantizar la seguridad de la información, mitigando las vulnerabilidades antes de que puedan ser explotados de forma maliciosa. Esas vulnerabilidades pueden existir debido a una mala configuración, un código inseguro, una arquitectura mal diseñada o la divulgación de información sensible, entre otras razones. El resultado es un informe procesable que explica cada vulnerabilidad o cadena de vulnerabilidades utilizadas para obtener acceso a un objetivo, con los pasos seguidos para explotarlas, junto con los detalles de cómo solucionarlas y otras recomendaciones. A cada vulnerabilidad descubierta se le asigna una calificación de riesgo que puede utilizarse para priorizar las tareas de remediación que se pueden llevar a cabo.

Beneficios

  1. Identifica las vulnerabilidades en la infraestructura interna y externa. El número de vulnerabilidades identificadas está directamente relacionado con la duración de la prueba, las habilidades de los consultores y algunos otros factores como la [buena/mala] práctica en seguridad de la información.

  2. Muestra el riesgo real de las vulnerabilidades. Debido al hecho de que los consultores intentan explotar las vulnerabilidades identificadas, la empresa puede ver lo que un atacante podría hacer si esas vulnerabilidades fueran realmente explotadas (por ejemplo, obtener acceso a información sensible, ejecutar comandos del sistema operativo, etc.). En ocasiones, una vulnerabilidad teóricamente clasificada como de alto riesgo puede ser calificada como de riesgo medio o bajo debido a la dificultad de su explotación. Por otro lado, las vulnerabilidades de bajo riesgo pueden tener un alto impacto debido al contexto.

  3. Pone a prueba su capacidad de ciberdefensa. Durante una prueba de penetración, el equipo de seguridad de la empresa objetivo debe ser capaz de detectar múltiples ataques y responder en consecuencia a tiempo. La eficacia de sus dispositivos de protección, como IDS, IPS, WAF, entre otros, también puede comprobarse durante una prueba de penetración. Muchos de los ataques deben ser detectados automáticamente, se deben generar alertas y las personas dedicadas deben actuar de acuerdo con los procedimientos internos de la empresa.

  4. Ofrece la opinión de un experto certificado. Muchas veces, los directivos de una empresa no toman acciones cuando se señalan ciertos problemas desde dentro de la organización. Aunque los responsables de seguridad presenten algunos problemas a la dirección, no reciben el apoyo o la financiación necesaria para reducir riesgos de seguridad de la información; En esta situación, las pruebas de penetración y el informe elaborado por un experto externo puede tener un mayor impacto en la dirección de la empresa y puede determinar la asignación de fondos adicionales para la ciberseguridad.

  5. Ayuda a cumplir con normativas y certificaciones. Algunas leyes nacionales o certificaciones bien conocidas (por ejemplo, ISO27001, PCI DSS, GDPR, CNBV, etc) requieren que las empresas realicen pruebas de penetración en su infraestructura. Es importante que la empresa cliente tome medidas después de recibir el informe de la prueba de penetración. La prueba no tiene ningún valor si la empresa no corrige las vulnerabilidades; los riesgos seguirán estando presentes y probablemente se volverán a encontrar en la próxima prueba de penetración.

  6. Evitar el costo del tiempo de inactividad del sistema/red/aplicativos. Bitshield brinda orientación y recomendaciones específicas para evitar dificultades financieras al identificar y abordar los riesgos antes de que ocurran los ataques o las infracciones de seguridad.
    Uno de los desafíos más críticos para los departamentos de TI y los líderes de todas las industrias es determinar si sus soluciones de ciberseguridad, herramientas, sistemas, y configuraciones funcionan en conjunto y lo suficiente como para prevenir ataques cibernéticos.

    Las pruebas de penetración son necesarias para:

    ⦁ Identificar las brechas entre las herramientas de seguridad
    ⦁ Priorizar los posibles riesgos de ciberseguridad
    ⦁ Descubrir malas prácticas de seguridad
    ⦁ Conocer todos y cada uno de los posibles vectores de ataque
    ⦁ Obtener información sobre el ROI de sus esfuerzos actuales de ciberseguridad
    ⦁ Saber responder a ciberataque real de forma rápida y eficaz
    ⦁ Evaluar los sistemas ante cambios significativos en la infraestructura
    ⦁ Cumplimiento de los estándares de seguridad

Metodologías

Fases

  • Reconocimiento y recopilación de inteligencia
    Recopilamos información disponible públicamente para generar inteligencia que podría usarse para comprometer a su organización.

  • Escaneo y numeración
    Investigamos y recopilamos información detallada sobre los sistemas de destino.

  • Detección de vulnerabilidades
    Realizamos una auditoria en profundidad de las aplicaciones que residen en los hosts de destino para identificar las vulnerabilidades de seguridad para explotar.

  • Explotación
    Atacamos las vulnerabilidades identificadas para obtener acceso a los sistemas y datos de destino.

  • Generación de reporte
    Proporcionamos un informe de pentest escrito manualmente que incluye un resumen ejecutivo y recomendaciones sobre cómo abordar de manera efectiva los riesgos identificados.

Enfoque de Pruebas

Existen tres enfoques para las pruebas de penetración: white-box, gray-box y black-box. Los tres tipos son bastante populares en las pruebas de seguridad.

Whitebox/Caja Blanca:
La prueba de penetración de caja blanca es un tipo de prueba de seguridad en la que la estructura interna de un sistema o red es conocida por el consultor. La prueba de caja blanca es una técnica de prueba en la que el consultor tiene acceso a todas las bases de código internas del sistema. En este tipo de pruebas, el consultor conoce lo que se supone que debe hacer el código. Es un método para probar la seguridad de un sistema examinando lo bien que puede resistir todo tipo de ataques en tiempo real.
Las pruebas de penetración de caja blanca también se conocen como pruebas estructurales. Es la técnica de prueba más utilizada por los consultores de seguridad porque obtienen una imagen clara de la aplicación. La idea detrás de estas pruebas es simular las acciones de los atacantes para tratar de encontrar los agujeros de seguridad en la aplicación para reducir los riesgos de seguridad.

¿Cuáles son las ventajas de las pruebas de penetración de caja blanca?

Menos tiempo: Para probar un sistema, un consultor tiene que tener un buen conocimiento del sistema, como por ejemplo, cómo funciona internamente, y lo que se supone que debe hacer. En las pruebas de caja blanca, tener toda esta información puede ayudar a escribir los casos de prueba más rápidamente.

Pruebas exhaustivas: Las pruebas de caja blanca se basan en un análisis del código del software que permite al consultor determinar los puntos de entrada y salida de cada función. Hace uso de la información sobre la estructura del código que puede encontrarse en los documentos de diseño, las especificaciones del lenguaje de programación, el código fuente, los comentarios del programador, los diagramas, el modelo de objetos o el modelo de lenguaje de alto nivel, lo que hace que las pruebas de penetración de caja blanca sean más extensas.

Detección temprana: SDLC es un acrónimo de Software Development Life Cycle (ciclo de vida del desarrollo de software) y SDLC ha ido evolucionando desde el pasado hasta el presente ayudando a las empresas a desarrollar software de una manera mejor. Las pruebas de penetración de caja blanca se integran en el SDLC temprano, incluso antes de que la aplicación esté disponible para los clientes o usuarios haciendo que las vulnerabilidades sean detectables en una etapa muy temprana.

Blackbox/Caja Negra:
Las pruebas de penetración de caja negra son un estilo de pruebas de penetración que tiene como objetivo encontrar y explotar las vulnerabilidades de un sistema como un atacante. En las pruebas de penetración de caja negra, el experto en seguridad no recibe ninguna información del sistema objetivo antes de la prueba. Excepto la URL. Esto significa que el consultor no tiene acceso al código fuente (aparte del código disponible públicamente), los datos internos, la estructura y el diseño de la aplicación antes de la prueba.
El nombre de "caja negra" sugiere el punto de partida oscuro y sin información de la prueba. Una prueba de penetración de caja negra pone a prueba su aplicación en vivo, en tiempo de ejecución. Por ello, también se denomina Prueba de Seguridad de Aplicaciones Dinámicas (DAST). Un pentest de caja negra es ideal para probar sus activos externos como:

  • Aplicaciones web

  • Aplicaciones SaaS

  • Firewalls

  • VPN, IDS/IPS

  • Servidores web

  • Servidores de aplicaciones

  • Servidores de bases de datos, etc.

¿Cuáles son las ventajas de las pruebas de penetración de caja negra?

  • Pone a prueba su aplicación ante un atacante. En un sentido real.

  • Dado que prueba la aplicación en tiempo de ejecución, puede ayudarle a detectar problemas de implementación y configuración

  • Detecta construcciones incorrectas del producto (por ejemplo, módulos/archivos antiguos o faltantes)

  • Puede detectar problemas de seguridad que surgen como resultado de la interacción con el entorno subyacente (por ejemplo, archivos de configuración inadecuados, sistemas operativos y aplicaciones no reforzadas)

  • Puede detectar problemas como errores de validación de entrada/salida, revelación de información en mensajes de error, etc.

GrayBox/Caja Gris:
La prueba de penetración de caja gris es un método de prueba de penetración que intenta combinar lo mejor de las metodologías de caja negra y caja blanca. Un pentest de caja gris exitoso requiere una sólida comprensión del entorno de destino antes de que se realice cualquier prueba.

Además, las pruebas de caja gris utilizan una combinación de técnicas de pruebas de penetración, incluyendo el escaneo de la red, el escaneo de vulnerabilidades, la ingeniería social y la revisión manual del código fuente. Esto proporciona una valiosa información sobre la cantidad de daño que un hacker o atacante puede crear.

¿Cuáles son las ventajas de las pruebas de penetración de caja gris?

  1. Información privilegiada: Las pruebas de caja gris son una mezcla perfecta de las pruebas de caja negra con el conocimiento de estructuras internas específicas (o "conocimiento interno") del elemento que se está probando. Este conocimiento interno podría estar disponible para el consultor en forma de documentación de diseño o código.

  2. Menos tiempo: Con el conocimiento interno, los consultores pueden planificar y priorizar las pruebas, lo que les llevará menos tiempo que planificar los casos de prueba sin conocer la red o el código base.

  3. No intrusivo y no sesgado: La prueba de caja gris, que también se denomina no intrusiva y justa. Se dice que es la mejor manera de analizar el sistema sin el código fuente. La prueba de caja gris trata la aplicación como una caja negra. El consultor sabrá cómo interactúan los componentes del programa entre sí, pero no sobre las funciones y operaciones detalladas del programa.

Diferencias de enfoques de pruebas:

Pruebas de penetración de red:

Red interna
Simula un ataque en el que un atacante ya está dentro de su red - mientras que la prueba de penetración en la red externa se centra en la obtención de acceso, la prueba de penetración en la red interna se centra en elevar los privilegios (por ejemplo, obtener una cuenta de administrador) y obtener todo el mayor control posible.

Red Externa
Simula un atacante externo que intenta penetrar en su infraestructura de cara al público - en el mundo actual, cada organización tiene servidores, equipos de red, accesos remotos y muchos otros puntos que están expuestos a la vista de todo el mundo.

Pruebas de Penetración en infraestructura en la nube:

Si cuenta con infraestructura en Microsoft Azure, Amazon Web Services (AWS), o cualquier otro proveedor de servicios en la nube, le ayudaremos a realizar pruebas de penetración para garantizar la seguridad de los datos manejados por cualquier proveedor en la nube.

Pruebas de penetración en dispositivos móviles:

Con el altísimo número de aplicaciones móviles en nuestras vidas privadas y corporativa, las pruebas de penetración de aplicaciones móviles se han vuelto cada vez más importante para todas las organizaciones que se preocupan por la seguridad. Nuestros diagnósticos de seguridad tratan de atacar no solo la aplicación (análisis estático y dinámico, ingeniería inversa...) sino también el lado del servidor que maneja las solicitudes de la aplicación/usuario.

Pruebas de penetración Web:

Es la prueba de penetración más común, ya que las aplicaciones web suelen estar entre los componentes más expuestos de la infraestructura de la información. La prueba busca vulnerabilidades como inyección de código, cross-site scripting, falsificación de peticiones, y muchas más, pero se centra especialmente en las vulnerabilidades de negocio que son difíciles de encontrar, pero que pueden ser perjudiciales para el sistema de información en su conjunto.

Pruebas de penetración para cumplimiento normativo y/o certificación:

Bitshield ofrece una variedad de servicios de pruebas de penetración que ayudan a las empresas a cumplir con las agencias y organismos reguladores pertinentes. Esto incluye pruebas de penetración ISO 27001, PCI-DSS, CNBV, GDPR, HIPAA y NIST que ayudan a prevenir cualquier multa o sanción que pueda resultar del incumplimiento.

Pruebas de penetración especializadas:

Algunos dispositivos y/o servicios exigen un especial, un enfoque único en su clase, desde sistemas SCADA sobre medidores digitales de energía y dispositivos IoT (especialmente dispositivos inteligentes), hasta esquemas de pago móviles (por ejemplo, HCE), utilizamos hardware especializado y ataques únicos para exponer las debilidades del diseño o eludir las medidas de seguridad incorporadas.

Beneficios

  1. Identifica las vulnerabilidades en la infraestructura interna y externa. El número de vulnerabilidades identificadas está directamente relacionado con la duración de la prueba, las habilidades de los consultores y algunos otros factores como la [buena/mala] práctica en seguridad de la información.

  2. Muestra el riesgo real de las vulnerabilidades. Debido al hecho de que los consultores intentan explotar las vulnerabilidades identificadas, la empresa puede ver lo que un atacante podría hacer si esas vulnerabilidades fueran realmente explotadas (por ejemplo, obtener acceso a información sensible, ejecutar comandos del sistema operativo, etc.). En ocasiones, una vulnerabilidad teóricamente clasificada como de alto riesgo puede ser calificada como de riesgo medio o bajo debido a la dificultad de su explotación. Por otro lado, las vulnerabilidades de bajo riesgo pueden tener un alto impacto debido al contexto.

  3. Pone a prueba su capacidad de ciberdefensa. Durante una prueba de penetración, el equipo de seguridad de la empresa objetivo debe ser capaz de detectar múltiples ataques y responder en consecuencia a tiempo. La eficacia de sus dispositivos de protección, como IDS, IPS, WAF, entre otros, también puede comprobarse durante una prueba de penetración. Muchos de los ataques deben ser detectados automáticamente, se deben generar alertas y las personas dedicadas deben actuar de acuerdo con los procedimientos internos de la empresa.

  4. Ofrece la opinión de un experto certificado. Muchas veces, los directivos de una empresa no toman acciones cuando se señalan ciertos problemas desde dentro de la organización. Aunque los responsables de seguridad presenten algunos problemas a la dirección, no reciben el apoyo o la financiación necesaria para reducir riesgos de seguridad de la información; En esta situación, las pruebas de penetración y el informe elaborado por un experto externo puede tener un mayor impacto en la dirección de la empresa y puede determinar la asignación de fondos adicionales para la ciberseguridad.

  5. Ayuda a cumplir con normativas y certificaciones. Algunas leyes nacionales o certificaciones bien conocidas (por ejemplo, ISO27001, PCI DSS, GDPR, CNBV, etc) requieren que las empresas realicen pruebas de penetración en su infraestructura. Es importante que la empresa cliente tome medidas después de recibir el informe de la prueba de penetración. La prueba no tiene ningún valor si la empresa no corrige las vulnerabilidades; los riesgos seguirán estando presentes y probablemente se volverán a encontrar en la próxima prueba de penetración.

  6. Evitar el costo del tiempo de inactividad del sistema/red/aplicativos. Bitshield brinda orientación y recomendaciones específicas para evitar dificultades financieras al identificar y abordar los riesgos antes de que ocurran los ataques o las infracciones de seguridad.
    Uno de los desafíos más críticos para los departamentos de TI y los líderes de todas las industrias es determinar si sus soluciones de ciberseguridad, herramientas, sistemas, y configuraciones funcionan en conjunto y lo suficiente como para prevenir ataques cibernéticos.

    Las pruebas de penetración son necesarias para:

    ⦁ Identificar las brechas entre las herramientas de seguridad
    ⦁ Priorizar los posibles riesgos de ciberseguridad
    ⦁ Descubrir malas prácticas de seguridad
    ⦁ Conocer todos y cada uno de los posibles vectores de ataque
    ⦁ Obtener información sobre el ROI de sus esfuerzos actuales de ciberseguridad
    ⦁ Saber responder a ciberataque real de forma rápida y eficaz
    ⦁ Evaluar los sistemas ante cambios significativos en la infraestructura
    ⦁ Cumplimiento de los estándares de seguridad

Metodologías

Fases

  • Reconocimiento y recopilación de inteligencia
    Recopilamos información disponible públicamente para generar inteligencia que podría usarse para comprometer a su organización.

  • Escaneo y numeración
    Investigamos y recopilamos información detallada sobre los sistemas de destino.

  • Detección de vulnerabilidades
    Realizamos una auditoria en profundidad de las aplicaciones que residen en los hosts de destino para identificar las vulnerabilidades de seguridad para explotar.

  • Explotación
    Atacamos las vulnerabilidades identificadas para obtener acceso a los sistemas y datos de destino.

  • Generación de reporte
    Proporcionamos un informe de pentest escrito manualmente que incluye un resumen ejecutivo y recomendaciones sobre cómo abordar de manera efectiva los riesgos identificados.

Enfoque de Pruebas

Existen tres enfoques para las pruebas de penetración: white-box, gray-box y black-box. Los tres tipos son bastante populares en las pruebas de seguridad.

Whitebox/Caja Blanca:
La prueba de penetración de caja blanca es un tipo de prueba de seguridad en la que la estructura interna de un sistema o red es conocida por el consultor. La prueba de caja blanca es una técnica de prueba en la que el consultor tiene acceso a todas las bases de código internas del sistema. En este tipo de pruebas, el consultor conoce lo que se supone que debe hacer el código. Es un método para probar la seguridad de un sistema examinando lo bien que puede resistir todo tipo de ataques en tiempo real.
Las pruebas de penetración de caja blanca también se conocen como pruebas estructurales. Es la técnica de prueba más utilizada por los consultores de seguridad porque obtienen una imagen clara de la aplicación. La idea detrás de estas pruebas es simular las acciones de los atacantes para tratar de encontrar los agujeros de seguridad en la aplicación para reducir los riesgos de seguridad.

¿Cuáles son las ventajas de las pruebas de penetración de caja blanca?

Menos tiempo: Para probar un sistema, un consultor tiene que tener un buen conocimiento del sistema, como por ejemplo, cómo funciona internamente, y lo que se supone que debe hacer. En las pruebas de caja blanca, tener toda esta información puede ayudar a escribir los casos de prueba más rápidamente.

Pruebas exhaustivas: Las pruebas de caja blanca se basan en un análisis del código del software que permite al consultor determinar los puntos de entrada y salida de cada función. Hace uso de la información sobre la estructura del código que puede encontrarse en los documentos de diseño, las especificaciones del lenguaje de programación, el código fuente, los comentarios del programador, los diagramas, el modelo de objetos o el modelo de lenguaje de alto nivel, lo que hace que las pruebas de penetración de caja blanca sean más extensas.

Detección temprana: SDLC es un acrónimo de Software Development Life Cycle (ciclo de vida del desarrollo de software) y SDLC ha ido evolucionando desde el pasado hasta el presente ayudando a las empresas a desarrollar software de una manera mejor. Las pruebas de penetración de caja blanca se integran en el SDLC temprano, incluso antes de que la aplicación esté disponible para los clientes o usuarios haciendo que las vulnerabilidades sean detectables en una etapa muy temprana.

Blackbox/Caja Negra:
Las pruebas de penetración de caja negra son un estilo de pruebas de penetración que tiene como objetivo encontrar y explotar las vulnerabilidades de un sistema como un atacante. En las pruebas de penetración de caja negra, el experto en seguridad no recibe ninguna información del sistema objetivo antes de la prueba. Excepto la URL. Esto significa que el consultor no tiene acceso al código fuente (aparte del código disponible públicamente), los datos internos, la estructura y el diseño de la aplicación antes de la prueba.
El nombre de "caja negra" sugiere el punto de partida oscuro y sin información de la prueba. Una prueba de penetración de caja negra pone a prueba su aplicación en vivo, en tiempo de ejecución. Por ello, también se denomina Prueba de Seguridad de Aplicaciones Dinámicas (DAST). Un pentest de caja negra es ideal para probar sus activos externos como:

  • Aplicaciones web

  • Aplicaciones SaaS

  • Firewalls

  • VPN, IDS/IPS

  • Servidores web

  • Servidores de aplicaciones

  • Servidores de bases de datos, etc.

¿Cuáles son las ventajas de las pruebas de penetración de caja negra?

  • Pone a prueba su aplicación ante un atacante. En un sentido real.

  • Dado que prueba la aplicación en tiempo de ejecución, puede ayudarle a detectar problemas de implementación y configuración

  • Detecta construcciones incorrectas del producto (por ejemplo, módulos/archivos antiguos o faltantes)

  • Puede detectar problemas de seguridad que surgen como resultado de la interacción con el entorno subyacente (por ejemplo, archivos de configuración inadecuados, sistemas operativos y aplicaciones no reforzadas)

  • Puede detectar problemas como errores de validación de entrada/salida, revelación de información en mensajes de error, etc.

GrayBox/Caja Gris:
La prueba de penetración de caja gris es un método de prueba de penetración que intenta combinar lo mejor de las metodologías de caja negra y caja blanca. Un pentest de caja gris exitoso requiere una sólida comprensión del entorno de destino antes de que se realice cualquier prueba.

Además, las pruebas de caja gris utilizan una combinación de técnicas de pruebas de penetración, incluyendo el escaneo de la red, el escaneo de vulnerabilidades, la ingeniería social y la revisión manual del código fuente. Esto proporciona una valiosa información sobre la cantidad de daño que un hacker o atacante puede crear.

¿Cuáles son las ventajas de las pruebas de penetración de caja gris?

  1. Información privilegiada: Las pruebas de caja gris son una mezcla perfecta de las pruebas de caja negra con el conocimiento de estructuras internas específicas (o "conocimiento interno") del elemento que se está probando. Este conocimiento interno podría estar disponible para el consultor en forma de documentación de diseño o código.

  2. Menos tiempo: Con el conocimiento interno, los consultores pueden planificar y priorizar las pruebas, lo que les llevará menos tiempo que planificar los casos de prueba sin conocer la red o el código base.

  3. No intrusivo y no sesgado: La prueba de caja gris, que también se denomina no intrusiva y justa. Se dice que es la mejor manera de analizar el sistema sin el código fuente. La prueba de caja gris trata la aplicación como una caja negra. El consultor sabrá cómo interactúan los componentes del programa entre sí, pero no sobre las funciones y operaciones detalladas del programa.

Diferencias de enfoques de pruebas:

Pruebas de penetración de red:

Red interna
Simula un ataque en el que un atacante ya está dentro de su red - mientras que la prueba de penetración en la red externa se centra en la obtención de acceso, la prueba de penetración en la red interna se centra en elevar los privilegios (por ejemplo, obtener una cuenta de administrador) y obtener todo el mayor control posible.

Red Externa
Simula un atacante externo que intenta penetrar en su infraestructura de cara al público - en el mundo actual, cada organización tiene servidores, equipos de red, accesos remotos y muchos otros puntos que están expuestos a la vista de todo el mundo.

Pruebas de Penetración en infraestructura en la nube:

Si cuenta con infraestructura en Microsoft Azure, Amazon Web Services (AWS), o cualquier otro proveedor de servicios en la nube, le ayudaremos a realizar pruebas de penetración para garantizar la seguridad de los datos manejados por cualquier proveedor en la nube.

Pruebas de penetración en dispositivos móviles:

Con el altísimo número de aplicaciones móviles en nuestras vidas privadas y corporativa, las pruebas de penetración de aplicaciones móviles se han vuelto cada vez más importante para todas las organizaciones que se preocupan por la seguridad. Nuestros diagnósticos de seguridad tratan de atacar no solo la aplicación (análisis estático y dinámico, ingeniería inversa...) sino también el lado del servidor que maneja las solicitudes de la aplicación/usuario.

Pruebas de penetración Web:

Es la prueba de penetración más común, ya que las aplicaciones web suelen estar entre los componentes más expuestos de la infraestructura de la información. La prueba busca vulnerabilidades como inyección de código, cross-site scripting, falsificación de peticiones, y muchas más, pero se centra especialmente en las vulnerabilidades de negocio que son difíciles de encontrar, pero que pueden ser perjudiciales para el sistema de información en su conjunto.

Pruebas de penetración para cumplimiento normativo y/o certificación:

Bitshield ofrece una variedad de servicios de pruebas de penetración que ayudan a las empresas a cumplir con las agencias y organismos reguladores pertinentes. Esto incluye pruebas de penetración ISO 27001, PCI-DSS, CNBV, GDPR, HIPAA y NIST que ayudan a prevenir cualquier multa o sanción que pueda resultar del incumplimiento.

Pruebas de penetración especializadas:

Algunos dispositivos y/o servicios exigen un especial, un enfoque único en su clase, desde sistemas SCADA sobre medidores digitales de energía y dispositivos IoT (especialmente dispositivos inteligentes), hasta esquemas de pago móviles (por ejemplo, HCE), utilizamos hardware especializado y ataques únicos para exponer las debilidades del diseño o eludir las medidas de seguridad incorporadas.

Beneficios

  1. Identifica las vulnerabilidades en la infraestructura interna y externa. El número de vulnerabilidades identificadas está directamente relacionado con la duración de la prueba, las habilidades de los consultores y algunos otros factores como la [buena/mala] práctica en seguridad de la información.

  2. Muestra el riesgo real de las vulnerabilidades. Debido al hecho de que los consultores intentan explotar las vulnerabilidades identificadas, la empresa puede ver lo que un atacante podría hacer si esas vulnerabilidades fueran realmente explotadas (por ejemplo, obtener acceso a información sensible, ejecutar comandos del sistema operativo, etc.). En ocasiones, una vulnerabilidad teóricamente clasificada como de alto riesgo puede ser calificada como de riesgo medio o bajo debido a la dificultad de su explotación. Por otro lado, las vulnerabilidades de bajo riesgo pueden tener un alto impacto debido al contexto.

  3. Pone a prueba su capacidad de ciberdefensa. Durante una prueba de penetración, el equipo de seguridad de la empresa objetivo debe ser capaz de detectar múltiples ataques y responder en consecuencia a tiempo. La eficacia de sus dispositivos de protección, como IDS, IPS, WAF, entre otros, también puede comprobarse durante una prueba de penetración. Muchos de los ataques deben ser detectados automáticamente, se deben generar alertas y las personas dedicadas deben actuar de acuerdo con los procedimientos internos de la empresa.

  4. Ofrece la opinión de un experto certificado. Muchas veces, los directivos de una empresa no toman acciones cuando se señalan ciertos problemas desde dentro de la organización. Aunque los responsables de seguridad presenten algunos problemas a la dirección, no reciben el apoyo o la financiación necesaria para reducir riesgos de seguridad de la información; En esta situación, las pruebas de penetración y el informe elaborado por un experto externo puede tener un mayor impacto en la dirección de la empresa y puede determinar la asignación de fondos adicionales para la ciberseguridad.

  5. Ayuda a cumplir con normativas y certificaciones. Algunas leyes nacionales o certificaciones bien conocidas (por ejemplo, ISO27001, PCI DSS, GDPR, CNBV, etc) requieren que las empresas realicen pruebas de penetración en su infraestructura. Es importante que la empresa cliente tome medidas después de recibir el informe de la prueba de penetración. La prueba no tiene ningún valor si la empresa no corrige las vulnerabilidades; los riesgos seguirán estando presentes y probablemente se volverán a encontrar en la próxima prueba de penetración.

  6. Evitar el costo del tiempo de inactividad del sistema/red/aplicativos. Bitshield brinda orientación y recomendaciones específicas para evitar dificultades financieras al identificar y abordar los riesgos antes de que ocurran los ataques o las infracciones de seguridad.
    Uno de los desafíos más críticos para los departamentos de TI y los líderes de todas las industrias es determinar si sus soluciones de ciberseguridad, herramientas, sistemas, y configuraciones funcionan en conjunto y lo suficiente como para prevenir ataques cibernéticos.

    Las pruebas de penetración son necesarias para:

    ⦁ Identificar las brechas entre las herramientas de seguridad
    ⦁ Priorizar los posibles riesgos de ciberseguridad
    ⦁ Descubrir malas prácticas de seguridad
    ⦁ Conocer todos y cada uno de los posibles vectores de ataque
    ⦁ Obtener información sobre el ROI de sus esfuerzos actuales de ciberseguridad
    ⦁ Saber responder a ciberataque real de forma rápida y eficaz
    ⦁ Evaluar los sistemas ante cambios significativos en la infraestructura
    ⦁ Cumplimiento de los estándares de seguridad

Metodologías

Fases

  • Reconocimiento y recopilación de inteligencia
    Recopilamos información disponible públicamente para generar inteligencia que podría usarse para comprometer a su organización.

  • Escaneo y numeración
    Investigamos y recopilamos información detallada sobre los sistemas de destino.

  • Detección de vulnerabilidades
    Realizamos una auditoria en profundidad de las aplicaciones que residen en los hosts de destino para identificar las vulnerabilidades de seguridad para explotar.

  • Explotación
    Atacamos las vulnerabilidades identificadas para obtener acceso a los sistemas y datos de destino.

  • Generación de reporte
    Proporcionamos un informe de pentest escrito manualmente que incluye un resumen ejecutivo y recomendaciones sobre cómo abordar de manera efectiva los riesgos identificados.

Enfoque de Pruebas

Existen tres enfoques para las pruebas de penetración: white-box, gray-box y black-box. Los tres tipos son bastante populares en las pruebas de seguridad.

Whitebox/Caja Blanca:
La prueba de penetración de caja blanca es un tipo de prueba de seguridad en la que la estructura interna de un sistema o red es conocida por el consultor. La prueba de caja blanca es una técnica de prueba en la que el consultor tiene acceso a todas las bases de código internas del sistema. En este tipo de pruebas, el consultor conoce lo que se supone que debe hacer el código. Es un método para probar la seguridad de un sistema examinando lo bien que puede resistir todo tipo de ataques en tiempo real.
Las pruebas de penetración de caja blanca también se conocen como pruebas estructurales. Es la técnica de prueba más utilizada por los consultores de seguridad porque obtienen una imagen clara de la aplicación. La idea detrás de estas pruebas es simular las acciones de los atacantes para tratar de encontrar los agujeros de seguridad en la aplicación para reducir los riesgos de seguridad.

¿Cuáles son las ventajas de las pruebas de penetración de caja blanca?

Menos tiempo: Para probar un sistema, un consultor tiene que tener un buen conocimiento del sistema, como por ejemplo, cómo funciona internamente, y lo que se supone que debe hacer. En las pruebas de caja blanca, tener toda esta información puede ayudar a escribir los casos de prueba más rápidamente.

Pruebas exhaustivas: Las pruebas de caja blanca se basan en un análisis del código del software que permite al consultor determinar los puntos de entrada y salida de cada función. Hace uso de la información sobre la estructura del código que puede encontrarse en los documentos de diseño, las especificaciones del lenguaje de programación, el código fuente, los comentarios del programador, los diagramas, el modelo de objetos o el modelo de lenguaje de alto nivel, lo que hace que las pruebas de penetración de caja blanca sean más extensas.

Detección temprana: SDLC es un acrónimo de Software Development Life Cycle (ciclo de vida del desarrollo de software) y SDLC ha ido evolucionando desde el pasado hasta el presente ayudando a las empresas a desarrollar software de una manera mejor. Las pruebas de penetración de caja blanca se integran en el SDLC temprano, incluso antes de que la aplicación esté disponible para los clientes o usuarios haciendo que las vulnerabilidades sean detectables en una etapa muy temprana.

Blackbox/Caja Negra:
Las pruebas de penetración de caja negra son un estilo de pruebas de penetración que tiene como objetivo encontrar y explotar las vulnerabilidades de un sistema como un atacante. En las pruebas de penetración de caja negra, el experto en seguridad no recibe ninguna información del sistema objetivo antes de la prueba. Excepto la URL. Esto significa que el consultor no tiene acceso al código fuente (aparte del código disponible públicamente), los datos internos, la estructura y el diseño de la aplicación antes de la prueba.
El nombre de "caja negra" sugiere el punto de partida oscuro y sin información de la prueba. Una prueba de penetración de caja negra pone a prueba su aplicación en vivo, en tiempo de ejecución. Por ello, también se denomina Prueba de Seguridad de Aplicaciones Dinámicas (DAST). Un pentest de caja negra es ideal para probar sus activos externos como:

  • Aplicaciones web

  • Aplicaciones SaaS

  • Firewalls

  • VPN, IDS/IPS

  • Servidores web

  • Servidores de aplicaciones

  • Servidores de bases de datos, etc.

¿Cuáles son las ventajas de las pruebas de penetración de caja negra?

  • Pone a prueba su aplicación ante un atacante. En un sentido real.

  • Dado que prueba la aplicación en tiempo de ejecución, puede ayudarle a detectar problemas de implementación y configuración

  • Detecta construcciones incorrectas del producto (por ejemplo, módulos/archivos antiguos o faltantes)

  • Puede detectar problemas de seguridad que surgen como resultado de la interacción con el entorno subyacente (por ejemplo, archivos de configuración inadecuados, sistemas operativos y aplicaciones no reforzadas)

  • Puede detectar problemas como errores de validación de entrada/salida, revelación de información en mensajes de error, etc.

GrayBox/Caja Gris:
La prueba de penetración de caja gris es un método de prueba de penetración que intenta combinar lo mejor de las metodologías de caja negra y caja blanca. Un pentest de caja gris exitoso requiere una sólida comprensión del entorno de destino antes de que se realice cualquier prueba.

Además, las pruebas de caja gris utilizan una combinación de técnicas de pruebas de penetración, incluyendo el escaneo de la red, el escaneo de vulnerabilidades, la ingeniería social y la revisión manual del código fuente. Esto proporciona una valiosa información sobre la cantidad de daño que un hacker o atacante puede crear.

¿Cuáles son las ventajas de las pruebas de penetración de caja gris?

  1. Información privilegiada: Las pruebas de caja gris son una mezcla perfecta de las pruebas de caja negra con el conocimiento de estructuras internas específicas (o "conocimiento interno") del elemento que se está probando. Este conocimiento interno podría estar disponible para el consultor en forma de documentación de diseño o código.

  2. Menos tiempo: Con el conocimiento interno, los consultores pueden planificar y priorizar las pruebas, lo que les llevará menos tiempo que planificar los casos de prueba sin conocer la red o el código base.

  3. No intrusivo y no sesgado: La prueba de caja gris, que también se denomina no intrusiva y justa. Se dice que es la mejor manera de analizar el sistema sin el código fuente. La prueba de caja gris trata la aplicación como una caja negra. El consultor sabrá cómo interactúan los componentes del programa entre sí, pero no sobre las funciones y operaciones detalladas del programa.

Diferencias de enfoques de pruebas:

Pruebas de penetración de red:

Red interna
Simula un ataque en el que un atacante ya está dentro de su red - mientras que la prueba de penetración en la red externa se centra en la obtención de acceso, la prueba de penetración en la red interna se centra en elevar los privilegios (por ejemplo, obtener una cuenta de administrador) y obtener todo el mayor control posible.

Red Externa
Simula un atacante externo que intenta penetrar en su infraestructura de cara al público - en el mundo actual, cada organización tiene servidores, equipos de red, accesos remotos y muchos otros puntos que están expuestos a la vista de todo el mundo.

Pruebas de Penetración en infraestructura en la nube:

Si cuenta con infraestructura en Microsoft Azure, Amazon Web Services (AWS), o cualquier otro proveedor de servicios en la nube, le ayudaremos a realizar pruebas de penetración para garantizar la seguridad de los datos manejados por cualquier proveedor en la nube.

Pruebas de penetración en dispositivos móviles:

Con el altísimo número de aplicaciones móviles en nuestras vidas privadas y corporativa, las pruebas de penetración de aplicaciones móviles se han vuelto cada vez más importante para todas las organizaciones que se preocupan por la seguridad. Nuestros diagnósticos de seguridad tratan de atacar no solo la aplicación (análisis estático y dinámico, ingeniería inversa...) sino también el lado del servidor que maneja las solicitudes de la aplicación/usuario.

Pruebas de penetración Web:

Es la prueba de penetración más común, ya que las aplicaciones web suelen estar entre los componentes más expuestos de la infraestructura de la información. La prueba busca vulnerabilidades como inyección de código, cross-site scripting, falsificación de peticiones, y muchas más, pero se centra especialmente en las vulnerabilidades de negocio que son difíciles de encontrar, pero que pueden ser perjudiciales para el sistema de información en su conjunto.

Pruebas de penetración para cumplimiento normativo y/o certificación:

Bitshield ofrece una variedad de servicios de pruebas de penetración que ayudan a las empresas a cumplir con las agencias y organismos reguladores pertinentes. Esto incluye pruebas de penetración ISO 27001, PCI-DSS, CNBV, GDPR, HIPAA y NIST que ayudan a prevenir cualquier multa o sanción que pueda resultar del incumplimiento.

Pruebas de penetración especializadas:

Algunos dispositivos y/o servicios exigen un especial, un enfoque único en su clase, desde sistemas SCADA sobre medidores digitales de energía y dispositivos IoT (especialmente dispositivos inteligentes), hasta esquemas de pago móviles (por ejemplo, HCE), utilizamos hardware especializado y ataques únicos para exponer las debilidades del diseño o eludir las medidas de seguridad incorporadas.