Del Penetration Test a la realidad Arditaindex-of.co.uk/INFOSEC/DelPTestalarealidadArdita_.pdf ·...

2

Del Penetration Test a la RealidadDel Penetration Test a la Realidad

MSc. Julio C. ArditaMSc. Julio C. [email protected]@cybsec.com

10 – 15 de Mayo de 2004

VII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones

La Habana - CUBA

© 2004 CYBSEC S.A.

3

© 2004 CYBSEC S.A.


TemarioTemario

- ¿Qué es el Penetration Test?

- ¿Cuál es la realidad?

- Vulnerabilidades de seguridad informática.

- Problemas de metodología.

- ¿Qué pasa después del PT?

- Problemáticas actuales.

4

© 2004 CYBSEC S.A.


¿Qué es el Penetration Test?

Es un conjunto de metodologías y técnicas de intrusión que aplicadassobre un sistema en un tiempo determinado cumple con el objetivo de conocer el nivel de seguridad informática real del mismo, detectando y explotando sus vulnerabilidades.

Formalmente el Penetration Test es una parte del proceso de seguridad informática de una organización.

5

© 2004 CYBSEC S.A.


Historia del Penetration Test

- Nacimiento del PT- Nueva rama dentro de la seguridad informática- Primeros PT- Apertura de redes- Internet- Posicionamiento de la seguridad informática- Evolución del PT: complejo y completo- Permanente actualización

6

© 2004 CYBSEC S.A.


¿Cuál es la realidad del PT?

Alta desinformación en las organizaciones.

Las organizaciones no están preparadas para recibir los

resultados.

La valoración del trabajo realizado es muy subjetiva.

Las recomendaciones que surgen en los PT en muchos

casos no son implementadas.

7

© 2004 CYBSEC S.A.


¿Cuál es la realidad del PT?

Existe un desconocimiento general sobre la “calidad” de

un PT.

No hay estándares para “medir” un PT.

Amplia oferta de servicios de diferentes niveles de calidad.

8

© 2004 CYBSEC S.A.


¿Qué incluye el PT?

La mayoría de la documentación se centra en Internet.

ArinWhois

PingTraceroute

NmapNessus

BID securityfocusInforme

9

© 2004 CYBSEC S.A.



Módems.

Centrales telefónicas.

Accesos remotos.

PT Externos Internet.

Conexión con sucursales.

Otras conexiones externas.

Redes wireless.

10

© 2004 CYBSEC S.A.



Infraestructura de red.

Servidores.

PT Internos Aplicaciones.

Estaciones de trabajo.

Conexión con sucursales.

11

© 2004 CYBSEC S.A.



PT más abarcativos: Aplicaciones Web, ERP, SAN, Cámaras, etc.

Nuevas técnicas: cross-site-scripting

sql-injection

buffer-overflow

format-strings

técnicas anti-IDS

etc.

12

© 2004 CYBSEC S.A.


Vulnerabilidades de seguridad y PT

Relación entre vulnerabilidades de seguridad informática y los PT.

- PT exitosos

- ¿Cada cuánto se deben hacer?

- Minimizar brecha de seguridad

- Aporte de los PT

© CERT

13

© 2004 CYBSEC S.A.


Justificación del PT

¿Por qué una organización decide realizar un PT?

Conocer la situación real de un sistema y mejorarlo.Demostrar los riesgos existentes.Justificar la obtención de más recursos económicos.Verificar que los mecanismos de seguridad se encuentren funcionando correctamente.Por regulaciones y/o obligación.Como un seguro para poder cubrirse ante auditorías.Para poder dormir a la noche.

14

© 2004 CYBSEC S.A.


¿Qué es lo que la organización espera del PT?

Formalmente la organización espera conocer los riesgos a los cuales se ven sometidos sus sistemas informáticos.

Maduración en relación a la seguridad informática.

Salvo algunos casos, las organizaciones esperan que los resultados del PT sean positivos para ellos.

La mayoría de las veces las organizaciones no están preparadas para recibir malos resultados.

15

© 2004 CYBSEC S.A.


¿Cómo es visto el PT dentro de la organización?

Diferentes visiones.

Area que contrató el PT.

Normalmente se genera una “competencia” entre la

organización y la empresa que realiza el PT.

“Medición de conocimientos”.

La gran mayoría de las veces, el PT genera “mucho” nuevo

trabajo.

16

© 2004 CYBSEC S.A.


¿Qué pasa luego del PT?

Nueva problemática: la correcta aplicación de las recomendaciones emanadas de los informes. “Del dicho al hecho hay un gran trecho”.

Redacción de recomendaciones fuera de contexto.

área de Seg. Inf. implementa.Implementación

área de Seg. Inf. controla al área técnica.

Plan de implementación.

17

© 2004 CYBSEC S.A.



Meses despúes, ¿se han aplicado las recomendaciones propuestas?

Excusas reales: No hay recursos humanos suficientes.

No se pueden probar los cambios en entorno de prueba (porque no existe).

No se puede realizar un upgrade de versiones (el

proveedor confirmó que la aplicación deja de funcionar).No hay recursos económicos.

Etc.

El resultado final es que sólo se aplican los cambios que implican

un alto riesgo.

18

© 2004 CYBSEC S.A.



Clasificación de todos los problemas encontrados con dos variables:

Nivel de riesgo Posibilidad de resolución

Alto InmediataMedio A corto plazoBajo A mediano plazo

A largo plazo

Jugando con estas dos variables para cada problema detectado en el

PT, se puede hacer una clasificación y un orden de implementación.

19

© 2004 CYBSEC S.A.


¿Cómo medir la calidad de un PT?

Es muy difícil. No existen estándares ni organismos controlantes.

Los factores principales que inciden en la calidad son: Conocimiento del equipo que realiza el PT.Experiencia en la realización del PT.Forma de redacción de los informes.Presentación e interacción con la organización.

Problema para la organización que debe contratar un PT.

20

© 2004 CYBSEC S.A.


Empresa proveedora del PT

Las organizaciones deben hacer PT continuos. ¿Conviene entonces utilizar siempre la misma empresa para realizar los PT?

Utilizar la misma empresaVentaja: Confianza y conocimiento. Desventaja: Pérdida de objetividad.

Utilizar diferentes empresas. Ventaja: Se comienza desde cero. Desventaja: Establecimiento de nuevas relaciones y desconfianza inicial.

21

© 2004 CYBSEC S.A.


Costo del PT

Los PT cuestan dinero, es un hecho y hay que aceptarlo.

Existen muchas diferencias de costos basadas en varios factores:Lugar.Recursos técnicos involucrados.Conocimiento y experiencia del equipo humano.Correcta definición del alcance.

La suma de todos estos factores definirá el costo final del PT; igualmente el mercado mediante la ley de oferta/demanda también determina estos factores.

22

© 2004 CYBSEC S.A.


¿Cuál es el resultado ideal de un PT?

Todo depende del punto de vista con el que se mire.

El éxito desde la perspectiva del equipo que lleva adelante el PT puede no equivaler al éxito desde la perspectiva de la organización.

Perspectiva de la empresa que realiza el PT.

Perspectiva de la organización.

Generalmente alguien no termina feliz. Estos casos se deben detectar y se debe trabajar en el proceso de sensibilización.

23

© 2004 CYBSEC S.A.


Metodología del PT

Formalmente no existen metodologías; pero en la práctica, existen tantas metodologías como empresas de seguridad informática.

Las metodologías abarcan desde la clásica tres fases: identificación,scanning y explotación, hasta las de múltiples fases.

A nivel metodología no formal, existe el OSSTMM (Open Source Testing Methodology Manual) que describe metodologías, técnicas y herramientas a utilizar en las diversas fases de un PT.

24

© 2004 CYBSEC S.A.


Metodología del PT

1. Reconocimiento Obtención de información.Análisis y planificación.

2. ScanningEnumeración de vulnerabilidades.Detección de vulnerabilidades.

3. Penetración Explotación de vulnerabilidades.Escalada de privilegios.

4. Obtención de información5. Informes

Análisis de los resultados.Desarrollo de informes.Presentación.

6. Limpieza

25

© 2004 CYBSEC S.A.


Utilización de vulnerabilidades

Las fases más críticas de un PT son la detección, verificación y explotación de posibles vulnerabilidades.

Proceso de detecciónConfianza en los elementos utilizados.Conocimiento.

Proceso de verificaciónEvitar falsos positivos.Forma de verificación: banner, fingerprint o suposición.

26

© 2004 CYBSEC S.A.


Utilización de vulnerabilidades

Proceso de explotaciónObtención de exploits: en bases de datos de exploits (Securityfocus BID, PacketStorm, etc), mailing lists (pen-test de Securityfocus), sites underground (Zer0 days xploits), chats, etc. Prueba y lanzamiento del exploit.Desarrollo de exploits.Investigación de nuevas vulnerabilidades.

¿Qué pasa con los falsos negativos (vulnerabilidades que existen y no se detectaron) en un PT?.

27

© 2004 CYBSEC S.A.


PT, ¿artesanal o automático?

Automatización actualDetección de vulnerabilidades

Verificación de vulnerabilidades

Explotación de vulnerabilidades

La realidad demuestra que por un largo tiempo seguirá siendo una práctica artesanal, aunque cada vez más se soportará en herramientas que automatizarán ciertos procesos.

Alta

Media

Baja

28

© 2004 CYBSEC S.A.


Equipo que realiza el PT

Una gran parte del éxito depende de la composición del equipo humano.

Las claves de un buen equipo:

Conocimiento multidisciplinario.Máximo cuatro personas.Experiencia de campo. Elevado nivel de conocimiento en redes, protocolos, sistemas operativos, aplicaciones, programación, etc.Perspectiva. Elevado interés y pasión por la investigación. Sentido ético y profesional.

29

© 2004 CYBSEC S.A.


Duración del PT

Normalmente la duración de un PT se encuentra atada al alcance del mismo. El tiempo que consumirá se calcula en base a experiencias anteriores.

En la realidad los PT suelen durar poco tiempo.

¿Se habrán realizado todas las pruebas posibles?¿Se habrá llegado a ver todo?¿El equipo que realizó el PT trabajó?Si no se detectó nada crítico, ¿con más tiempo podrían hacer más cosas?

30

© 2004 CYBSEC S.A.


Problemáticas del PT

Existe un gran desconocimiento por parte de los clientes sobre qué se espera de un PT.

Es muy difícil calcular los tiempos que puede insumir un PT.

Se requiere formar un equipo que posea experiencia y profundos conocimientos.

Existe una sobreabundancia de herramientas de seguridad que ayudan en algunas fases, pero también existe una falta de herramientas en otras fases críticas.

31

© 2004 CYBSEC S.A.


Problemáticas del PT

La fase de explotación de vulnerabilidades no se encuentra madura.

No existen estándares de nivel de riesgos sobre los problemas que se detectan en un PT. Varios elementos de bajo riesgo pueden implicar en su conjunto, un alto riesgo.

32

© 2004 CYBSEC S.A.


Conclusiones

Hoy las organizaciones están utilizando los PT con variados objetivos y el propio mercado los está convirtiendo en una obligación.

Existen estándares no formales, que seguramente en los próximos años desembocarán en estándares internacionales formalmente aceptados.

Existe una superpoblación de empresas de seguridad que realizan PT con variados grados de calidad. El mercado es quien se encarga de manejar la balanza.

El PT ha tenido un gran avance en los últimos años, pero todavía existen ciertas áreas y zonas grises donde poco se ha investigado y queda mucho por hacer.

33

¿Preguntas?

www.cybsec.com

34

Muchas gracias por acompañarnos . . .

www.cybsec.com

Del Penetration Test a la realidad Arditaindex-of.co.uk/INFOSEC/DelPTestalarealidadArdita_.pdf ·...

Documents

Transcript of Del Penetration Test a la realidad Arditaindex-of.co.uk/INFOSEC/DelPTestalarealidadArdita_.pdf ·...