P T E S

THE PENETRATION TESTING EXECUTION STANDART

Auditoria de Sistemas
Héctor Alvarado| Moisés Bueso | Victor Argueta
CFP 2017-2018
 AGENDA

1. PEN TEST VRS ANAÁ LISIS DE VULNERABILIDAD.

2. ¿QUE ES EL PTES?
3. ETAPAS DEL PTES.
4. CASO PRACTICO.
 PRUEBAS DE INTRUSIÓN
(PEN TEST)

VS

ANÁLISIS DE VULNERABILIDADES
(V.A)
 PRUEBAS DE INTRUSIÓN

1. Una prueba de intrusión (Pen Test) está diseñada para

comprobar si una defensa implementada puede impedir que un
atacante alcance uno o más objetivos específicos.

2. No debe de ser desarrollada por una herramienta automatizada.

3. Simula las acciones de un atacante cibernético externo y/o

interno que pretende explotar sistemas críticos y obtener acceso
a datos sensibles.

4. Valida una configuración cuando se cree segura.

5. El entregable para una prueba de intrusión (Pen Test) es un

informe de cómo se comprometió la seguridad con el fin de
alcanzar el objetivo determinado y la información necesaria
para la remediación.
 ANÁLISIS DE VULNERABILIDADES

1. Un análisis de Vulnerabilidad NO es una prueba de intrusión.

2. Las evaluaciones de vulnerabilidades buscan problemas de seguridad cuando se

sabe / asumen que existen.

3. Diseñada para obtener tantas debilidades o exposiciones presentes en los

sistemas y proporcionar información de remediación clasificada acorde a la
severidad y exposición.

4. Se utiliza mejor cuando se necesita una lista de “todo lo que está mal”, donde la
meta es arreglar el mayor número posible de debilidades, de la manera más
eficiente.

5. Cuantas más cuestiones se identifiquen mejor.

6. Se sabe que se tienen problemas y simplemente se necesita ayuda para

identificarlos y priorizarlos.
 PTES
Es un estáá ndár de ejecucióá n de pruebás de penetrációá n y cónstá de
siete (7) secciónes principáles.
 ETAPA NO. 1
PRE-ENGAGEMENT INTERACTIONS | INTERACCIONES PREVIAS AL
COMPROMISO.

PERSONAL CLAVE | PROVEEDORES

TEMAS CONTRACTUALES Y | ALTA GERENCIA | DRP |
ALCANCE
TÉCNICOS PLAN DE CONTINGENCIA |
PROCESOS CRÍTICOS.
 AUTORIZACIOÁ N
FORMAL Y
ETAPA NO.1
ESCRITA.
PRE-ENGAGEMENT INTERACTIONS |
FECHA DE
INICIO Y CIERRE
CUESTIONARIOS INTERACCIONES PREVIAS AL
DEL PROYECTO
TEC/ADM.
COMPROMISO.
En esta etapa se define los aspectos generales
del PENTEST.

 ALCANCE DEL PENTEST

TOTAL DE LA
INVERSIOÁ N Y PLAN DE
CONDICIONES MITIGACIOÁ N.
DE PAGO.
 METODOLOGÍA A UTILIZAR
CONTRATO DE
CONFIDENCIALIDAD. 1. WHITE BOX
2. GRAY BOX
3. BLACK BOX

TEÁ CNICAS  HERRAMIENTAS NECESARIAS

RELACIOÁ N CON
INGENIERIÁA TERCEROS.
SOCIAL 1. KALI
2. NESSUS
3. ALIEN VAULT
4. OWASP
PRUEBAS LISTADO DE
DóS/DDóS DIRECCIONES IP.

 SERVICIOS CRÍTICOS DE LA ORGANIZACIÓN

 ETAPA NO.2
INTELLIGENCE GATHERING | RECOPILAR INFORMACIÓN

ACTIVIDAD ECONÓMICA DE PROCESOS | USUARIOS FOOTPRINTING

LA ORGANIZACIÓN
 ETAPA NO. 2
HERRAMIENTAS
INTELLIGENCE GATHERING | RECOPILAR
INFORMACIÓN

METADATOS
HUMINT
INFRAESTRUCTURA En está seccióá n se definen lás
TECNOLOÁ GICA
FOOTPRINTING
áctividádes de recópilációá n de
inteligenciá de uná pruebá de
RECOPILAR INFORMACIOÁ N
penetrációá n.

Estó permite que el PENTEST

REUNIOÁ N
CORREO
ELECTROÁ NICO
ENCUBIERTA seá más efectivó
(SECRETA)

INFORMACIOÁ N
PUBLICA/REGISTROS
 ETAPA NO. 3
THREAT MODELING | MODELADO DE AMENAZAS

El estáá ndár PTES nó utilizá un módeló especificó ó estructurádó párá identificár,

cuálificár y ábórdár lás ámenázás.

En está etápá se utilizá tódá lá infórmációá n recópiládá en lá etápá Nó. 2 y se

define definen lás líáneás de negóció existentes, impórtánciá de lós áctivós de IT,
se identificán pósibles vulnerábilidádes de lós sistemás, se determiná el meá tódó
de átáque máá s efectivó, que infórmációá n estámós buscándó y cómó lá
órgánizációá n puede ser cómprómetidá
 ETAPA NO. 3
HERRAMIENTAS
THREAT MODELING | MODELADO DE
AMENAZAS

INFRAESTRUCTURA
USO DE TECNOLOGIA
TECNOLOÁ GICA OBJETIVOS.
IMPORTANTE PARA
EL NEGOCIO

1. ¿Queá átácár?
MODELO DE AMENAZAS
2. ¿Cóá mó hácerló?
3. ¿Cuándó hácerló?
ALIANZAS
ESTRATEGICAS
INFORMACION
PUBLICADA EN 4. ¿Queá Cónsecuenciás
generá?
INTERNET

INFORMACIOÁ N
PUBLICA/REGISTROS
 ETAPA NO. 4
VULNERABILITY ANALYSIS | ANÁLISIS DE VULNERABILIDADES

Es el prócesó mediánte se ánálizá lá infráestructurá tecnólóá gicá de lá

órgánizációá n cón el fin de detectár vulnerábilidádes que póngá en riesgó lá
seguridád, integridád y dispónibilidád de lá infórmációá n, sistemá ó un servició
en especificó.
 • Indentificacion ETAPA NO. 4
• Ping
Device Discovery • SYN SCAN VULNERABILITY ANALYSIS | ANÁLISIS DE
• (SYN ACK) VULNERABILIDADES

• TCP Ports El ánáá lisis de vulnerábilidádes

Service
Enumeration
• UDP Ports puede ser:
• Web Services

1. Pruebá.
• Configuration Issues
• Missing Patches 2. Activó.
Scanning • Dangerous Services.
3. Pásivó.
• Open Ports
4. Válidációá n.
• False Positive 5. Investigációá n
• Removal Manual
Validation • Verification 6. Dócumentációá n
• Review Scan Logic
• Other Tools 7. (Mitigációá n)
 ETAPA NO. 5
EXPLOITATION | EXPLOTACIÓN.

En está etápá el óbjetivó es estáblecer el áccesó á un sistemá ó recursó

evádiendó lós cóntróles de seguridád está fáse debe estár bien
plánificádá y ejecutádá cón precisióá n.
 ETAPA NO. 5
ANALYZER’S RANSOMWARE
EXPLOITATION | EXPLOTACIÓN.

1. ¿Qué vulnerabilidad
genera mayor impacto
para la organización?.

2. ¿Cuál de los métodos de

explotación consume
menos recursos
(Hardware y tiempo)?.

DDoS | DoS SMiShing | Phishing | Farming Malware 3. Definir el tiempo idóneo.

(Díáá y Hórá de máyór impáctó).
 ETAPA NO. 6
POST EXPLOITATION | POST EXPLOTACIÓN.

En está etápá el óbjetivó es determinár el válór del áctivó cómprómetidó

y mántener el cóntról del mismó párá su usó pósteriór.

El válór del áctivó estáá determinádó pór lá sensibilidád de lós dátós

álmácenádós, lá impórtánciá párá lós serviciós y que tán uá til es párá
cómprómeter ótrós áctivós de lá infráestructurá tecnólóá gicá.
 ETAPA NO. 6

POS EXPLOITATION
(POS EXPLOTACIÓN)

1. El tipó de áfectációá n debe

estár ácórde cón ló
DENEGACIÓN
DE UN SERVICIO previámente ácórdádó en lá
etápá Nó 1.

INFORMACIÓN
MANIPULAR COMPROMETER
USUARIOS/CLIENTES
INFORMACIÓN INFRAESTRUCTURA
DE TI
 ETAPA NO. 7
REPORTING| INFORME

En está etápá se dócumentá lás ácciónes reálizádás duránte lá pruebá de

penetrációá n.

El infórme se divide en dós grándes secciónes cón el fin de sátisfácer

ámbás párte de lá órgánizációá n

1. Infórme Ejecutivó (Enfóque Gerenciál).

2. Infórme Teá cnicó (Enfóque párá Persónál de TI).
 ETAPA NO. 7
TEMAS
INFORME EJECUTIVO
CONTRACTUALES

ALCANCE
1. Detálle Geneá ricó de lás
áctividádes reálizádás.
2. Pósturá generál del
PENTESTER.
3. Nivel de Riesgó de lá
Infráestructurá
Tecnólóá gicá.
4. Detálle geneá ricó de lós
hállázgós.
5. Resumen de lós Hállázgós.
6. Rutá Estráteá gicá.
 ETAPA NO. 7
INFORME TECNICO

1. Activós Invólucrádós en lá pruebá.

2. Estructurá de Amenázás.
3. Infórmációá n recópiládá.
4. Inteligenciá Activá, Pásivá, Córpórátivá,
Persónál.
5. Eváluációá n de lá Vulnerábilidád.
6. Pruebas de Confirmación de la
explotación de la Vulnerabilidades.
1. Exitósós.
2. Cóntenidós.
3. Recházádós.

7. Explotación Posterior.
1. Privilegiós Gánádós.
2. Válór de lá Infórmációá n.
3. Cápácidád de Persistenciá.
4. Dátós Cómprómetidós.

8. Riesgós de Expósicióá n.
9. Cónclusióá nes.
¿CONSULTAS?