Para protegerse a si mismas, las organizaciones deben entender el impacto y capacidad de un atacante. En este caso pueden emplear un hacker ético, también conocido como profesional en pruebas de penetración, para simular un ataque contra el entorno. Las técnicas utilizadas por los profesionales, están diseñadas para emular estos ataques reales pero sin causar daño; lo cual permite a las organizaciones protegerse mejor contra los ataques. Pero los clientes y los hackers necesitan entender como este proceso funciona. Definir las actividades, etapas, y fases de una prueba de penetración, permite establecer las expectativas entre el cliente y el equipo de pruebas. Los clientes pueden no ser externos hacia una organización; podrían ser internos también. Independientemente de ello, a quien se esté evaluando y porque, se debe establecer el alcance y un lenguaje común el cual ayude a los afectados a entender aquello a realizar y el porque. Esto suaviza el proceso y reduce los malentendidos.

Antes de describir el proceso de pruebas de penetración, se necesita discutir las diferencias entre una prueba de penetración y una evaluación de vulnerabilidades. Estas actividades tienen diferentes objetivos, pero frecuentemente se los confunde. Durante una evaluación de vulnerabilidades, algunos tipos de productos automáticos para el escaneo son utilizados para probar los puertos y servicios en un rango de direcciones IP. Muchos de estos productos pueden también evaluar por tipo de sistema operativo y aplicaciones de software ejecutándose, sus versiones, nivel de parche, cuentas de usuario, y servicios también en ejecución. Estos hallazgos se comparan con una base de datos del producto sobre vulnerabilidades. El resultado final es una gran pila de datos, lo cual básicamente sentencia; “Aquí hay una lista de vulnerabilidades, y aquí hay una lista de cosas necesarias a arreglar”.

El problema con la mayoría de escaneos de vulnerabilidades es; aunque indican la severidad de las vulnerabilidades, raramente indican su impacto. Es aquí donde entre la prueba de penetración. Un escaneo de vulnerabilidades permite identificar una pieza de software siendo vulnerable a una explotación; una prueba de penetración toma esto más profundamente explotando esta vulnerabilidad, y por ejemplo, accediendo hacia información sensible. Muchos escaners de vulnerabilidades indican la posibilidad de ser vulnerable en base a la versión y algunas verificaciones más invasivas, pero una prueba de penetración indica si el hallazgo del escaner de vulnerabilidades es real o un falso positivo.

Cuando un profesional en pruebas de penetración ataca, su objetivo final es usualmente irrumpir en el sistema, y saltar de sistema en sistema hasta apropiarse del dominio o el entorno. A diferencia de una evaluación de vulnerabilidades, una prueba de penetración no se detiene en la identificación de posibles vulnerabilidades. Los profesionales en pruebas de penetración se aprovechan de las vulnerabilidades identificadas hasta apropiarse de todo el dominio o el entorno de evaluación. El “apropiarse” significa tener ya sea los permisos de root en un sistema Linux, o una cuenta de administrador de dominio en sistemas Windows, lo cual permite acceder y controlar todos los recursos de la red. Los profesionales hacen esto para mostrar a la empresa cliente, aquello lo cual un atacante real pueden hacer bajo las circunstancias y postura de seguridad actual de la red.

Muchas veces, mientras un profesional en pruebas de penetración realiza su procedimiento para ganar control total de la red, se recogerán trofeos significativos en el camino. Estos trofeos pueden incluir contraseñas del CEO, documentación secreta de la empresa, contraseñas administrativas de todos los encaminadores, documentos marcados como confidenciales, las cuales están guardados en las computadoras personales o laptops del CFO o CIO, o la combinación de la caja fuerte de la compañía. Estos trofeos son recolectados en el camino, para los responsables de la toma de decisiones puedan comprender las ramificaciones de estas vulnerabilidades. Un profesional en seguridad puede hablar por horas con el CEO, CIO o COO sobre servicios, puertos abiertos, malas configuraciones, y vulnerabilidades potenciales sin relevancia en la audiencia lo comprenda o importe. Pero mostrarle al CFO los proyectos del próximo año, mostrarle al CIO todos los planos de la linea de producción para el próximo año, o decirle al CEO su contraseña es “YoUsoPanties10”, probablemente los inspire a aprender más sobre los cortafuegos y otros mecanismos a implementar en el lugar.

Importante: Ningún profesional en seguridad debería tratar de avergonzar a los clientes o hacerlos sentir incómodos por su falta de seguridad. Esta es la razón por la cual un profesional en seguridad ha sido invitado dentro del entorno. Es un invitado y está allí para resolver un problema, no para señalar con el dedo. También en muchos casos, cualquier dato sensible no deberá ser leído por el equipo de pruebas de penetración, porque existen posibilidades futuras de demandas relacionadas a la utilización de información confidencial.

Fuentes:

https://www.sans.org/reading-room/whitepapers/auditing/red-teaming-art-e...
https://www.sans.org/reading-room/whitepapers/hackers/shades-ethical-hac...