Evaluar el estado de los sistemas, las medidas de protección de una organización y los servicios expuestos a Internet frente a los ataques de carácter intrusivo es uno de los principales objetivos del denominado test de intrusión.
La alternativa más eficaz para probar la fortaleza de los sistemas de seguridad es atacándolos, razón por la cual juegan un papel tan relevante los profesionales que auditan los sistemas de seguridad desde el punto de vista de los ataques externos por parte de los hackers con malévolas intenciones. En este sentido, el test de intrusión será de utilidad para vulnerar la seguridad de los mecanismos implantados para conseguir, por ejemplo, un acceso no autorizado a la organización, obtener información más sensible o interrumpir un servicio, todo ello dependerá del alcance del propio test.
Aplicar test de intrusión
La puesta en marcha de este tipo de acciones se desarrolla en tres fases bien diferenciadas. En primer lugar, se deberán definir e identificar los sistemas a auditar para, posteriormente, proceder a la realización de las pruebas de manera progresiva hasta alcanzar la intrusión propiamente dicha, y, una vez conseguida, proceder al escalado en los sistemas. Finalmente, todo este proceso culminará con la redacción de los resultados obtenidos.
Precisamente, para la puesta en marcha de todos estos ataques se hará uso tanto de técnicas como herramientas de hacking. Tales herramientas serán las mismas que las utilizadas en el ámbito underground por los propios hackers para llevar a cabo ataques. Lógicamente, el éxito de una intrusión estará en función del nivel de conocimiento que tiene el propio atacante sobre los sistemas objetivo. Para lograrlo se estudiarán webs corporativas, redes sociales, metadatos, ofertas de trabajo, listas negras y reputación, foros y webs externas a la propia entidad.
Igualmente se debería tener en cuenta el análisis de seguridad a nivel de red para nuestro test de intrusión, consistente en la recolección de datos, obtención de información y políticas de control de los sistemas analizados en aras de obtener la máxima información sobre los componentes hardware y software. Junto a esto último también se puede llevar a cabo un análisis de seguridad a nivel de aplicaciones limitado a aquellas herramientas accesibles desde Internet. En estos casos no se dispone de una información privilegiada sobre la propia aplicación y no se incluye en el alcance el análisis del código fuente de la herramienta en cuestión. En cuanto a los análisis sobre sistemas de seguridad se tendrá en cuenta el estudio pormenorizado de los firewalls, WAFF (Web Application Firewall), IDS/IPS, Antivirus / Antimalware.
En el informe final del test de intrusión se ha de incluir un resumen ejecutivo con la clasificación de los resultados, así como el detalle de todas las pruebas realizadas concretando su objetivo. Al mismo tiempo, se deberían introducir los resultados alcanzados en los diferentes tests realizados con descripciones paso a paso sobre todo el proceso de detección y explotación de las posibles vulnerabilidades. Igualmente, resulta esencial incluir recomendaciones para resolver de la manera más acertada posible todos los problemas de seguridad encontrados por el camino.
En Prakmatic consideramos que la seguridad TI debe abordarse desde una aproximación de 360ºC como si se tratase de un proceso continuo e integral. Nosotros apostamos por el test de intrusión para evaluar el estado de los sistemas frente a los posibles ataques que puedan amenazar los sistemas informáticos. Para más información, llámanos y te asesoraremos al respecto.