Ejecutar una Prueba de Penetración

  • Posted on: 16 July 2018
  • By: ReYDeS

Cuando ya se ha realizado toda la planificación y papeleo relacionada a la Prueba de Penetración, es momento de comenzar a lanzar paquetes; bueno casi. Pues primero se necesitan aclarar algunos temas con el cliente.

Reunión Inicial

A menos se requiere una Prueba de Penetración de tipo caja negra, es importante agendar y asistir a una reunión inicial, antes del contrato con el cliente. Esta es una oportunidad no solo para confirmar las necesidades y requisitos del cliente, sino también empezar con el pie de derecho con él.

El útil recordar al cliente el propósito de la prueba de penetración; encontrar tantos problemas en el tiempo asignado como sea posible, y hacer las recomendaciones para arreglarlas, antes de los chicos malos los encuentren. Este punto no debe ser exagerado. Debe ser seguido con una explicación de; esto no es un juego del gato y el ratón con los administradores del sistema, y el equipo de operaciones en seguridad. La peor cosa la cual puede ocurrir es; los administradores del sistema noten algo extraño en la mitad de la noche, y empiecen a tomar acciones para cerrar el equipo. Aunque los administradores del sistema deben ser elogiados por sus observaciones y deseos de proteger los sistemas, esto es de hecho contraproducente para la prueba de penetración, por la cual se está pagando un buen dinero.

El punto es; debido a las limitaciones de tiempo y dinero para las evaluaciones, el equipo de pruebas podría frecuentemente tomar riesgos y moverse más rápido a comparación de un adversario real. Nuevamente, el propósito es encontrar tantos problemas como sea posible. Si existiesen 100 problemas factibles de ser encontrados, el cliente podría desear se encuentren todos. Esto no sucederá si el equipo se atasca, ocultándose de los empleados de la compañía.

Acceso durante una Prueba de Penetración

Durante la fase de planificación, se debe desarrollar una lista de recursos requeridos desde el cliente. Tan pronto como sea posible después de la reunión inicial, se deben recibir estos recursos desde el cliente. Por ejemplo, se puede requerir un cuarto de reuniones adecuado para todo el equipo de pruebas, y este recinto debería estar cerrado en las noches con el equipo dentro. También se podría requerir acceso hacia la red. Se podría requerir conectores de red, uno hacia la red interna y otro para el acceso e investigación hacia Internet. Se podría necesitar obtener credenciales de identificación para acceder a ciertas facilidades. El líder del equipo de pruebas debe trabajar con el punto de contacto del cliente, para ganar el acceso como sea requerido.

Manejar Expectativas

A lo largo de una Prueba de Penetración, existirá una montaña rusa de emociones (tanto para el equipo de pruebas y el cliente). Si las luces parpadean o se produce un coste en el centro de datos, el equipo de pruebas de penetración será culpado. Es imperativo el líder del equipo permanezca en comunicación constante con el punto de contacto del cliente y gestione las expectativas. Se debe tener en consideración el axioma: las primeras impresiones son frecuentemente incorrectas. Conforme el equipo de pruebas descubre potenciales vulnerabilidades, se debe ser cuidadoso sobre como se revelan al cliente, porque puede ser incorrecto.

Manejar Problemas

De vez en cuando, surgirán problemas durante las pruebas. El equipo podría accidentalmente causar un problema, o algunas veces algo lo cual esté fuera de control del equipo, puede interferir con la evaluación. En esos momentos, el líder el equipo debe tomar control de la situación y trabajar con el punto de contacto del cliente para resolver el inconveniente. Hay otro principio a tener en consideración, las malas noticias no mejoran con el tiempo. Si el equipo de pruebas rompe algo, es mejor divulgarlo rápidamente y trabajar para no vuelva a suceder.

Estable es Rápido

Existe un viejo dicho “Estable es Rápido”. Esto ciertamente es verdadero en pruebas de penetración. Cuando se realizan muchas tareas simultáneamente, a veces parecerá se está atrapado en arenas movedizas. En esos momentoa, mantenerse ocupado, avanzando constantemente hasta completarlo. Intentar evitar apresurarse para ponerse al día, pues se podrían cometer errores, y volver a hacer las cosas.

Coordinación Externa e Interna

Se debe estar seguro de obtener los puntos de contacto del cliente para preguntas o consultas. Por ejemplo, después de parar un par de días, puede ser útil tener el número del administrador de red o cortafuego. Fuera del horario de atención, si el punto de contacto del cliente se ha ido a su casa, enviarles un correo electrónico o un mensaje de texto de vez en cuando, hará mucho para mantenerlos informados sobre el avance. De otro lado, la coordinación dentro del equipo es crítico para evitar redundancias, y asegurarse el equipo no se pierda en algo crítico. Los resultados se deben compartir con todo el equipo, en tiempo real.

Fuentes:

https://www.crest-approved.org/wp-content/uploads/CREST-Penetration-Test...
http://www.pentest-standard.org/index.php/Pre-engagement

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1