Gua tcnica de Pruebas y Evaluacin de Seguridad de la Informacin Recomendaciones del Instituto Nacional de Estndares y Tecnologa

El propsito es proporcionar una gua para las organizaciones en la planificacin y la realizacin de las pruebas tcnicas de seguridad de la informacin y las evaluaciones, anlisis de los resultados, y el desarrollo de estrategias de mitigacin. Se ofrece recomendaciones prcticas para el diseo, implementacin y mantenimiento de la informacin tcnica relativa a las pruebas de seguridad y los procesos y procedimientos de evaluacin, que puede ser usado para varios propsitos, tales como la bsqueda de vulnerabilidades en un sistema o red y verificar el cumplimiento de una poltica o de otro tipo.

Pruebas de Penetracin Las pruebas de penetracin son las pruebas de seguridad en el que los evaluadores imitan ataques del mundo real para identificar los mtodos para burlar las medidas de seguridad de una aplicacin, sistema o red. A menudo consiste en lanzar ataques reales en sistemas reales utilizando las herramientas y tcnicas comnmente utilizados por los atacantes. La mayora de las pruebas de penetracin implica la bsqueda de una combinacin de vulnerabilidades en uno o ms sistemas que pueden utilizarse para obtener ms acceso que a travs de una sola vulnerabilidad. Las pruebas de penetracin tambin pueden ser tiles para determinar: Qu tan bien tolera el sistema patrones de ataques de estilo real El nivel de sofisticacin necesario que un atacante necesita para comprometer el sistema con xito Medidas adicionales que podran mitigar las amenazas contra el sistema Capacidad de los defensores para detectar los ataques y responder apropiadamente. Las pruebas de penetracin pueden ser muy valiosas, pero requiere mucho trabajo y gran experiencia para reducir al mnimo el riesgo para los sistemas que entraran en el testeo. Los sistemas pueden ser daados o de otras maneras inoperantes durante el curso de las pruebas de penetracin, a pesar de que la organizacin se beneficia de saber cmo un sistema puede ser inutilizado por un intruso. Sin embargo la penetracin de evaluadores con experiencia puede mitigar este riesgo, nunca puede ser totalmente eliminado. Las pruebas de penetracin deben realizarse solamente despus de una cuidadosa consideracin, notificacin, y la planificacin. Las pruebas de intrusin a menudo incluye mtodos no tcnicos de ataque. Por ejemplo, una prueba de intrusin puede violar los controles fsicos y procedimientos de seguridad para conectarse a una red, robar equipos, captura de informacin sensible (tal vez mediante la instalacin de dispositivos de registro de teclas), o interrumpir las comunicaciones. Se debe tener precaucin al realizar las pruebas de seguridad fsica, los guardias deben ser conscientes de cmo verificar la validez de la actividad de la persona que realiza el testeo, como por ejemplo a travs de un punto de contacto o de la documentacin que el porte. Otros medios no tcnicos de ataque es el uso de ingeniera social, tales como pasar por un analista de mesa de ayuda y llamar para solicitar contraseas de un usuario, o llamando a la mesa de ayuda para hacerse pasar por un usuario y solicitar que una contrasea sea restaurada.

Fases de Pruebas de Penetracin La Figura 1.5 representa las cuatro fases del test de penetracin. En la fase de planificacin, las reglas son identificadas, aprobacin de la direccin se considera terminada y documentada, y los objetivos de la prueba se encuentran ya definidas. La fase de planificacin establece las bases para una prueba de penetracin exitosa. No hay pruebas reales que se produzcan en esta fase.

Principio del formulario

La fase de descubrimiento de pruebas de penetracin consta de dos partes. La primera parte es el comienzo de las pruebas reales, y cubre la recopilacin de informacin y anlisis. Identificacin de puertos de red y de servicios, se llevan a cabo para identificar posibles objetivos. Adems de la identificacin de puertos y servicios, se utilizan otras tcnicas para recoger informacin sobre la red objetivo como: Nombre de host y la informacin de la direccin IP puede ser obtenida a travs de muchos mtodos, incluido el interrogatorio de DNS, las consultas de InterNIC (WHOIS), y la network sniffing (por lo general slo durante las pruebas internas) Nombres de empleados e informacin de contacto se pueden obtener mediante la bsqueda de los servidores Web de la organizacin o de servidores de directorio Informacin del sistema, tales como nombres y accesos compartidos se pueden encontrar a travs de mtodos tales como la enumeracin de NetBIOS (por lo general slo durante las pruebas internas) y el Sistema de Informacin de Red (NIS) (por lo general slo durante las pruebas internas) Aplicaciones y servicios de informacin, como nmeros de versin, se pueden registrar a travs banner grabbing. La segunda parte de la fase de descubrimiento es el anlisis de vulnerabilidad, que consiste en comparar los servicios, aplicaciones y sistemas operativos escaneados de los hosts contra las vulnerabilidades de las bases de datos (un proceso que es automtica para los escneres de vulnerabilidad) y el conocimiento de las vulnerabilidades de los probadores

La ejecucin de un ataque est en el corazn de cualquier prueba de penetracin. La Figura 5.2 representa los distintos pasos de la fase de ataque, el proceso de verificacin de posibles vulnerabilidades previamente identificadas para tratar de explotarlos. Si el ataque tiene xito, la vulnerabilidad se verifica y se identifican las acciones para mitigar los riesgos de seguridad asociados. En muchos casos, los exploits que se ejecutan no conceden el mximo nivel de acceso a un atacante. Esto puede generar en que los evaluadores aprendan ms sobre la red objetivo y sus posibles vulnerabilidades, o inducir a un cambio en la seguridad de la red objetivo. Algunas brechas de seguridad permiten a los evaluadores elevar sus privilegios en el sistema o la red para que puedan acceder a recursos adicionales. Si esto ocurre, el anlisis y pruebas adicionales son necesarias para determinar el verdadero nivel de riesgo de la red, tales como la identificacin de tipos de informacin que pueden ser obtenidas, si es posible cambiarlas o eliminarlas del sistema. En el caso de un ataque contra una vulnerabilidad especfica resulte imposible, el evaluador debe aprovechar otra vulnerabilidad descubierta para continuar con el test. Si los evaluadores son capaces de explotar una vulnerabilidad, ellos podrn instalar ms herramientas en el sistema de destino o de la red para facilitar el proceso de prueba. Estas herramientas se utilizan para acceder a los sistemas o recursos adicionales en la red, y obtener acceso a la informacin sobre la red u organizacin. Pruebas y anlisis en varios sistemas deben ser llevadas a cabo durante una prueba de penetracin para determinar el nivel de acceso que un atacante podra ganar. Este proceso se representa en el circuito de retroalimentacin en la Figura 5-1 entre el ataque y la fase de descubrimiento de un test de penetracin.

Mientras que los escneres de vulnerabilidad slo se ejecutan para comprobar la posible existencia de una vulnerabilidad, la fase de ataque de una prueba de penetracin explota la vulnerabilidad para confirmar su existencia. La mayora de las vulnerabilidades explotadas en las pruebas de penetracin son las siguientes

categoras: Errores de configuracin. Malas configuraciones de seguridad, configuraciones predeterminadas son particularmente inseguras, estas suelen ser fciles de explotar. Defectos del ncleo. El cdigo del kernel es el ncleo de un sistema operativo, el mismo impone el modelo de seguridad global del sistema por lo que cualquier falla de seguridad en el kernel pone todo el sistema en peligro. Desbordamientos de bfer. Un desbordamiento de bfer se produce cuando los programas no responden adecuadamente una longitud adecuada. Cuando esto ocurre, cdigo arbitrario puede ser introducido y ejecutado en el sistema con privilegios, a menudo a nivel administrativo de los programas en ejecucin. Validacin insuficiente de entrada. Muchas aplicaciones fallan al validar totalmente los inputs que reciben de los usuarios. Si el usuario introduce los comandos SQL en lugar de o adems del valor deseado, y la aplicacin Web no filtra los comandos SQL, la consulta se puede ejecutar con cualquier cambio malicioso que el usuario solicit que causan lo que se conoce como ataque de inyeccin SQL. Enlaces simblicos. Un enlace simblico (symlink) es un archivo que apunta a otro archivo. Los sistemas operativos incluyen programas que pueden cambiar los permisos concedidos a un archivo. Si estos programas se ejecutan con permisos privilegiados, un usuario podra crear enlaces simblicos estratgicamente para engaar a estos programas en la modificacin o el listado de archivos crticos del sistema. Ataques archivo descriptor. Los descriptores de fichero son los nmeros que utiliza el sistema de seguimiento de los archivos en lugar de nombres de archivo. Los tipos especficos de descriptores de archivos tienen varios usos. Cuando un programa privilegiado asigna un descriptor de archivo inadecuado, se expone a ese archivo a estar comprometido. Condiciones de carrera. Las condiciones de carrera pueden ocurrir durante el tiempo que un programa o proceso ha entrado en un modo privilegiado. Un usuario puede medir el tiempo de un ataque para tomar ventaja de privilegios elevados, mientras que el programa o proceso est todava en el modo privilegiado. De archivo incorrecto y acceso a un directorio. Archivos y directorios de permisos controlan el acceso asignados a los usuarios y procesos. Permisos pobres podran permitir muchos tipos de ataques, incluyendo la lectura o escritura de archivos de contraseas o adiciones a la lista de hosts de confianza a distancia. La fase de informacin ocurre simultneamente con las otras tres fases de la prueba de penetracin (ver Figura 5-1). En la fase de planificacin, el plan de evaluacin se desarrolla. En el descubrimiento y las fases de ataque, los registros escritos generalmente se mantienen y los informes peridicos se hacen para los administradores de sistemas y/o de gestin. Al trmino de la prueba, un informe general es elaborado para describir las vulnerabilidades identificadas, se presenta un informe de los rates de riesgo, y se da orientacin sobre la manera de mitigar las debilidades descubiertas. Logstica de pruebas de penetracin Las pruebas de penetracin son importante para determinar la vulnerabilidad de la red de una organizacin y el nivel de dao que puede ocurrir si la red se ve comprometida. Es importante tener en cuenta que dependiendo de las polticas de la organizacin, los evaluadores pueden ser prohibidos del uso de determinadas herramientas o tcnicas,

o puede limitarse a ellas utilizando slo durante ciertas horas del da o das de la semana. Las pruebas de penetracin tambin representan un alto riesgo a las redes de la organizacin y sistemas, ya que se utilizan ataques reales y los ataques contra los sistemas de produccin y de los datos. Debido a su alto costo y el impacto potencial de las pruebas, la penetracin de la red de una organizacin y los sistemas deben realizarse sobre una base anual, la cul puede ser suficiente. Adems, las pruebas de penetracin pueden ser diseadas para detenerse cuando el evaluador llega un momento en que una accin adicional puede causar daos. Los resultados de las pruebas de penetracin deben ser tomadas en serio, y las vulnerabilidades descubiertas deben ser mitigados. Los resultados, cuando estn disponibles, deben ser presentados a los gerentes y Directores de la organizacin. Un programa bien diseado de la red regular y escaneo de vulnerabilidades, intercaladas con las pruebas de penetracin peridicas, puede ayudar a prevenir muchos tipos de ataques y reducir el impacto potencial de aquellos exitosos. Ingeniera Social La ingeniera social es un intento de engaar a alguien para revelar informacin (por ejemplo, una contrasea) puede ser utilizado para atacar sistemas o redes. Se utiliza para poner a prueba el elemento humano y la conciencia del usuario respecto a la seguridad de la informacin, la misma puede revelar deficiencias en el comportamiento del usuario, tales como no cumplir con los procedimientos estndar. La ingeniera social se puede realizar a travs de muchos medios, incluyendo de forma analgica (por ejemplo, las conversaciones se realizan en persona o por telfono) y digital (por ejemplo, e-mail, mensajera instantnea). Una forma de ingeniera social digital que se conoce como phishing es donde los atacantes tratan de robar informacin como nmeros de tarjetas de crdito, de dbito, nombres de usuario y contraseas. El phishing utiliza autnticos correos electrnicos de aspecto para solicitar informacin a los usuarios en un sitio Web falso, para recopilar informacin. Otros ejemplos de la ingeniera social digital incluyen la elaboracin de correos electrnicos fraudulentos y envo de archivos adjuntos que podran imitar la actividad de un gusano para recopilar informacin La ingeniera social puede ser usada para destinatarios especficos de alto valor jerrquico o grupos especficos en la organizacin, tales como ejecutivos, o puede tener un conjunto de objetivos generales. Los objetivos especficos se pueden identificar cuando la organizacin tiene conocimiento de una amenaza existente o se siente que la prdida de informacin de una persona o un grupo especfico de personas podran tener un impacto significativo. Por ejemplo, los ataques de phishing pueden ser escogidos en base a la informacin pblica disponible sobre personas concretas (por ejemplo, ttulos, temas de inters, cargo, sueldo). Es importante que los resultados de las pruebas de ingeniera social se utilicen para mejorar la seguridad de la organizacin y no solamente a los individuos afectados. Los evaluadores deben elaborar un informe final detallado que identifica las tcticas exitosas y fallidas utilizadas. Este nivel de detalle ayudar a las organizaciones a adaptar sus programas de formacin de sensibilizacin.

Haz clic para obtener otras posibles traducciones Pulsa la tecla Mays y arrastra las palabras para cambiar el orden.