Saltar al contenido

Lección de prueba de penetración: ¿Qué es PenTest?

Prueba de penetración

Prueba de penetración o es un tipo de prueba de lápiz Prueba de seguridad se utiliza para exponer vulnerabilidades, amenazas y riesgos que un atacante puede aprovechar en aplicaciones de software, redes o aplicaciones web. El propósito de la prueba de penetración es identificar y probar todas las vulnerabilidades de seguridad que pueden estar presentes en la aplicación de software. La prueba de penetración también se llama prueba de pluma.

La vulnerabilidad es el riesgo de que un atacante pueda interferir o obtener acceso autorizado al sistema o cualquier dato contenido en él. Las vulnerabilidades generalmente se identifican durante la fase de desarrollo e implementación del software. Las vulnerabilidades comunes incluyen errores de diseño, errores de configuración, errores de software, etc. El análisis de penetración se basa en dos mecanismos, a saber, evaluación de vulnerabilidades y pruebas de penetración (VAPT).

¿Por qué pruebas de penetración?

La penetración es esencial en una empresa porque:

  • Los sectores financieros como los bancos, la banca de inversión y las bolsas de valores quieren proteger sus datos, y las pruebas de penetración son esenciales para garantizar la seguridad.
  • Donde el sistema de software ya ha sido pirateado y la organización está tratando de determinar si todavía hay amenazas en el sistema para evitar futuros ataques.
  • La prueba de penetración proactiva es la mejor protección contra los piratas informáticos

Tipos de prueba de penetración:

El tipo de prueba de penetración elegida generalmente depende del alcance y si la organización desea simular un ataque de un empleado, Administración de red (Fuentes internas) o Fuentes externas. Hay tres tipos de pruebas de penetración y son

En una prueba de penetración de caja negra, un evaluador no tiene conocimiento de los sistemas que se van a probar. Es responsable de recopilar información sobre la red o el sistema de destino.

En una prueba de penetración de caja blanca, el probador generalmente recibe información completa sobre la red o los sistemas que se probarán, incluido el esquema de la dirección IP, el código fuente, los datos del sistema operativo, etc. Esto puede considerarse como una simulación de un ataque de cualquier Fuente interna (Organización de Empleados).

En una prueba de penetración de caja gris, un evaluador recibe un conocimiento parcial del sistema. Puede considerarse un ataque de un pirata informático externo que obtuvo acceso ilegítimo a los documentos de la infraestructura de red de una organización.

Cómo hacer una prueba de penetración

Las siguientes son acciones que deben tomarse para realizar una prueba de penetración:

Paso 1) La etapa de planificación

  1. Se determina el alcance y la estrategia de la tarea
  2. Las políticas de seguridad existentes, los estándares se utilizan para definir el alcance.

Paso 2) Fase de descubrimiento

  1. Reúna la mayor cantidad de información posible sobre el sistema, incluidos datos del sistema, nombres de usuario e incluso contraseñas. Dado HUELLAS DIGITALES
  2. Escanear y sondear en los puertos
  3. Verifique las vulnerabilidades del sistema

Etapa 3) Etapa de ataque

  1. Obtenga beneficios para diversas vulnerabilidades Necesita privilegios de seguridad esenciales para operar el sistema

Paso 4) Paso de informe

  1. Un informe debe contener hallazgos detallados
  2. Riesgos de vulnerabilidades detectadas y su impacto en el negocio
  3. Sugerencias y soluciones, si las hay

La tarea principal de las pruebas de penetración es recopilar información del sistema. Hay dos formas de recopilar información:

  • Modelo ‘uno a uno’ o ‘uno a muchos’ para un host: un evaluador realiza técnicas de forma lineal contra un host de destino único o agrupación lógica de un host de destino (por ejemplo, subred).
  • Modelo ‘Suficiente para uno’ o ‘Suficientemente suficiente’: el evaluador utiliza varios hosts para ejecutar técnicas de recopilación de información aleatorias, limitadas y no lineales.

Ejemplos de herramientas de prueba de penetración

Se utiliza una amplia gama de herramientas en las pruebas de penetración y las herramientas clave son:

  1. NMap– Esta herramienta se utiliza para escaneo de puertos, identificación de SO, búsqueda de rutas y escaneo de vulnerabilidades.
  2. Nessus– Esta es una herramienta de vulnerabilidad tradicional basada en la web.
  3. Pass-The-Hash: esta herramienta se utiliza principalmente para descifrar contraseñas.

Papel y responsabilidades de los probadores de penetración:

El trabajo de los probadores de penetración es:

  • Los probadores deben recopilar la información necesaria de la Organización para permitir las pruebas de penetración.
  • Encuentre fallas que podrían permitir a los piratas informáticos atacar una máquina objetivo
  • Los Pen Testers deben pensar y actuar como verdaderos piratas informáticos, aunque éticamente.
  • El trabajo realizado por los probadores de penetración debe ser reproducible para que sea fácil para los desarrolladores corregirlo.
  • La fecha de inicio y la fecha de finalización de la ejecución de la prueba deben definirse de antemano.
  • Un probador debe ser responsable de cualquier pérdida de sistema o información durante la prueba de software.
  • Un evaluador debe mantener la confidencialidad de los datos y la información.

Prueba de penetración manual frente a prueba de penetración automatizada:

Prueba de penetración manualPrueba de penetración automatizada
Prueba manual las pruebas requieren profesionales expertos para ejecutarLas herramientas de prueba automatizadas brindan informes claros a los profesionales menos experimentados
La prueba manual requiere Excel y otras herramientas para rastrearlaPruebas automatizadas hay herramientas centralizadas y estándar
En una prueba manual, los resultados de las muestras varían de una prueba a otra.Para las pruebas automatizadas, los resultados varían de una prueba a otra.
Los usuarios deben recordar la limpieza de memoriaLas pruebas automatizadas tendrán limpiezas completas.

Las desventajas de las pruebas de penetración

Las pruebas de penetración no pueden detectar todas las vulnerabilidades del sistema. Los examinadores de penetración tienen límites de tiempo, presupuestos, alcance, habilidades

Los siguientes son efectos secundarios al realizar una prueba de penetración:

  • Pérdida y corrupción de datos
  • Tiempo de inactividad
  • Costos crecientes

Conclusión:

Los probadores deben actuar como un verdadero hockey y probar la aplicación o el sistema y deben verificar que el código esté escrito de manera segura. Las pruebas de penetración serán eficaces si se implementa correctamente una política de seguridad. La política y la metodología de las pruebas de penetración deben ser un lugar para que las pruebas de penetración sean más efectivas. Aquí hay una guía completa para principiantes sobre pruebas de penetración.

Consulte nuestro Proyecto de prueba de penetración en vivo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *