Del Penetration Test a la realidad Arditaindex-of.co.uk/INFOSEC/DelPTestalarealidadArdita_.pdf ·...
Transcript of Del Penetration Test a la realidad Arditaindex-of.co.uk/INFOSEC/DelPTestalarealidadArdita_.pdf ·...
1
2
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
MSc. Julio C. ArditaMSc. Julio C. [email protected]@cybsec.com
10 – 15 de Mayo de 2004
VII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones
La Habana - CUBA
© 2004 CYBSEC S.A.
3
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
TemarioTemario
- ¿Qué es el Penetration Test?
- ¿Cuál es la realidad?
- Vulnerabilidades de seguridad informática.
- Problemas de metodología.
- ¿Qué pasa después del PT?
- Problemáticas actuales.
4
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Qué es el Penetration Test?
Es un conjunto de metodologías y técnicas de intrusión que aplicadassobre un sistema en un tiempo determinado cumple con el objetivo de conocer el nivel de seguridad informática real del mismo, detectando y explotando sus vulnerabilidades.
Formalmente el Penetration Test es una parte del proceso de seguridad informática de una organización.
5
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Historia del Penetration Test
- Nacimiento del PT- Nueva rama dentro de la seguridad informática- Primeros PT- Apertura de redes- Internet- Posicionamiento de la seguridad informática- Evolución del PT: complejo y completo- Permanente actualización
6
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Cuál es la realidad del PT?
Alta desinformación en las organizaciones.
Las organizaciones no están preparadas para recibir los
resultados.
La valoración del trabajo realizado es muy subjetiva.
Las recomendaciones que surgen en los PT en muchos
casos no son implementadas.
7
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Cuál es la realidad del PT?
Existe un desconocimiento general sobre la “calidad” de
un PT.
No hay estándares para “medir” un PT.
Amplia oferta de servicios de diferentes niveles de calidad.
8
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Qué incluye el PT?
La mayoría de la documentación se centra en Internet.
ArinWhois
PingTraceroute
NmapNessus
BID securityfocusInforme
9
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Qué incluye el PT?
Módems.
Centrales telefónicas.
Accesos remotos.
PT Externos Internet.
Conexión con sucursales.
Otras conexiones externas.
Redes wireless.
10
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Qué incluye el PT?
Infraestructura de red.
Servidores.
PT Internos Aplicaciones.
Estaciones de trabajo.
Conexión con sucursales.
11
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Qué incluye el PT?
PT más abarcativos: Aplicaciones Web, ERP, SAN, Cámaras, etc.
Nuevas técnicas: cross-site-scripting
sql-injection
buffer-overflow
format-strings
técnicas anti-IDS
etc.
12
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Vulnerabilidades de seguridad y PT
Relación entre vulnerabilidades de seguridad informática y los PT.
- PT exitosos
- ¿Cada cuánto se deben hacer?
- Minimizar brecha de seguridad
- Aporte de los PT
© CERT
13
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Justificación del PT
¿Por qué una organización decide realizar un PT?
Conocer la situación real de un sistema y mejorarlo.Demostrar los riesgos existentes.Justificar la obtención de más recursos económicos.Verificar que los mecanismos de seguridad se encuentren funcionando correctamente.Por regulaciones y/o obligación.Como un seguro para poder cubrirse ante auditorías.Para poder dormir a la noche.
14
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Qué es lo que la organización espera del PT?
Formalmente la organización espera conocer los riesgos a los cuales se ven sometidos sus sistemas informáticos.
Maduración en relación a la seguridad informática.
Salvo algunos casos, las organizaciones esperan que los resultados del PT sean positivos para ellos.
La mayoría de las veces las organizaciones no están preparadas para recibir malos resultados.
15
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Cómo es visto el PT dentro de la organización?
Diferentes visiones.
Area que contrató el PT.
Normalmente se genera una “competencia” entre la
organización y la empresa que realiza el PT.
“Medición de conocimientos”.
La gran mayoría de las veces, el PT genera “mucho” nuevo
trabajo.
16
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Qué pasa luego del PT?
Nueva problemática: la correcta aplicación de las recomendaciones emanadas de los informes. “Del dicho al hecho hay un gran trecho”.
Redacción de recomendaciones fuera de contexto.
área de Seg. Inf. implementa.Implementación
área de Seg. Inf. controla al área técnica.
Plan de implementación.
17
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Qué pasa luego del PT?
Meses despúes, ¿se han aplicado las recomendaciones propuestas?
Excusas reales: No hay recursos humanos suficientes.
No se pueden probar los cambios en entorno de prueba (porque no existe).
No se puede realizar un upgrade de versiones (el
proveedor confirmó que la aplicación deja de funcionar).No hay recursos económicos.
Etc.
El resultado final es que sólo se aplican los cambios que implican
un alto riesgo.
18
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Qué pasa luego del PT?
Clasificación de todos los problemas encontrados con dos variables:
Nivel de riesgo Posibilidad de resolución
Alto InmediataMedio A corto plazoBajo A mediano plazo
A largo plazo
Jugando con estas dos variables para cada problema detectado en el
PT, se puede hacer una clasificación y un orden de implementación.
19
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Cómo medir la calidad de un PT?
Es muy difícil. No existen estándares ni organismos controlantes.
Los factores principales que inciden en la calidad son: Conocimiento del equipo que realiza el PT.Experiencia en la realización del PT.Forma de redacción de los informes.Presentación e interacción con la organización.
Problema para la organización que debe contratar un PT.
20
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Empresa proveedora del PT
Las organizaciones deben hacer PT continuos. ¿Conviene entonces utilizar siempre la misma empresa para realizar los PT?
Utilizar la misma empresaVentaja: Confianza y conocimiento. Desventaja: Pérdida de objetividad.
Utilizar diferentes empresas. Ventaja: Se comienza desde cero. Desventaja: Establecimiento de nuevas relaciones y desconfianza inicial.
21
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Costo del PT
Los PT cuestan dinero, es un hecho y hay que aceptarlo.
Existen muchas diferencias de costos basadas en varios factores:Lugar.Recursos técnicos involucrados.Conocimiento y experiencia del equipo humano.Correcta definición del alcance.
La suma de todos estos factores definirá el costo final del PT; igualmente el mercado mediante la ley de oferta/demanda también determina estos factores.
22
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
¿Cuál es el resultado ideal de un PT?
Todo depende del punto de vista con el que se mire.
El éxito desde la perspectiva del equipo que lleva adelante el PT puede no equivaler al éxito desde la perspectiva de la organización.
Perspectiva de la empresa que realiza el PT.
Perspectiva de la organización.
Generalmente alguien no termina feliz. Estos casos se deben detectar y se debe trabajar en el proceso de sensibilización.
23
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Metodología del PT
Formalmente no existen metodologías; pero en la práctica, existen tantas metodologías como empresas de seguridad informática.
Las metodologías abarcan desde la clásica tres fases: identificación,scanning y explotación, hasta las de múltiples fases.
A nivel metodología no formal, existe el OSSTMM (Open Source Testing Methodology Manual) que describe metodologías, técnicas y herramientas a utilizar en las diversas fases de un PT.
24
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Metodología del PT
1. Reconocimiento Obtención de información.Análisis y planificación.
2. ScanningEnumeración de vulnerabilidades.Detección de vulnerabilidades.
3. Penetración Explotación de vulnerabilidades.Escalada de privilegios.
4. Obtención de información5. Informes
Análisis de los resultados.Desarrollo de informes.Presentación.
6. Limpieza
25
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Utilización de vulnerabilidades
Las fases más críticas de un PT son la detección, verificación y explotación de posibles vulnerabilidades.
Proceso de detecciónConfianza en los elementos utilizados.Conocimiento.
Proceso de verificaciónEvitar falsos positivos.Forma de verificación: banner, fingerprint o suposición.
26
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Utilización de vulnerabilidades
Proceso de explotaciónObtención de exploits: en bases de datos de exploits (Securityfocus BID, PacketStorm, etc), mailing lists (pen-test de Securityfocus), sites underground (Zer0 days xploits), chats, etc. Prueba y lanzamiento del exploit.Desarrollo de exploits.Investigación de nuevas vulnerabilidades.
¿Qué pasa con los falsos negativos (vulnerabilidades que existen y no se detectaron) en un PT?.
27
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
PT, ¿artesanal o automático?
Automatización actualDetección de vulnerabilidades
Verificación de vulnerabilidades
Explotación de vulnerabilidades
La realidad demuestra que por un largo tiempo seguirá siendo una práctica artesanal, aunque cada vez más se soportará en herramientas que automatizarán ciertos procesos.
Alta
Media
Baja
28
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Equipo que realiza el PT
Una gran parte del éxito depende de la composición del equipo humano.
Las claves de un buen equipo:
Conocimiento multidisciplinario.Máximo cuatro personas.Experiencia de campo. Elevado nivel de conocimiento en redes, protocolos, sistemas operativos, aplicaciones, programación, etc.Perspectiva. Elevado interés y pasión por la investigación. Sentido ético y profesional.
29
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Duración del PT
Normalmente la duración de un PT se encuentra atada al alcance del mismo. El tiempo que consumirá se calcula en base a experiencias anteriores.
En la realidad los PT suelen durar poco tiempo.
¿Se habrán realizado todas las pruebas posibles?¿Se habrá llegado a ver todo?¿El equipo que realizó el PT trabajó?Si no se detectó nada crítico, ¿con más tiempo podrían hacer más cosas?
30
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Problemáticas del PT
Existe un gran desconocimiento por parte de los clientes sobre qué se espera de un PT.
Es muy difícil calcular los tiempos que puede insumir un PT.
Se requiere formar un equipo que posea experiencia y profundos conocimientos.
Existe una sobreabundancia de herramientas de seguridad que ayudan en algunas fases, pero también existe una falta de herramientas en otras fases críticas.
31
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Problemáticas del PT
La fase de explotación de vulnerabilidades no se encuentra madura.
No existen estándares de nivel de riesgos sobre los problemas que se detectan en un PT. Varios elementos de bajo riesgo pueden implicar en su conjunto, un alto riesgo.
32
© 2004 CYBSEC S.A.
Del Penetration Test a la RealidadDel Penetration Test a la Realidad
Conclusiones
Hoy las organizaciones están utilizando los PT con variados objetivos y el propio mercado los está convirtiendo en una obligación.
Existen estándares no formales, que seguramente en los próximos años desembocarán en estándares internacionales formalmente aceptados.
Existe una superpoblación de empresas de seguridad que realizan PT con variados grados de calidad. El mercado es quien se encarga de manejar la balanza.
El PT ha tenido un gran avance en los últimos años, pero todavía existen ciertas áreas y zonas grises donde poco se ha investigado y queda mucho por hacer.
33
¿Preguntas?
www.cybsec.com
34
Muchas gracias por acompañarnos . . .
www.cybsec.com