Estándar para la Ejecución de Pruebas de Penetración

  • Posted on: 29 November 2016
  • By: ReYDeS

El Estándar para la Ejecución de Pruebas de Penetración (Penetration Testing Execution Standard) está constituida de siete secciones principales. Estas abarcan todo lo relacionado a las pruebas de penetración; desde las comunicaciones iniciales y razones detrás de la prueba de penetración, pasando por las fases sobre captura de inteligencia y modelamiento de amenazas, donde los profesionales trabajan para obtener una mejor comprensión de la organización a evaluar. Siguiendo con la investigación sobre vulnerabilidades, explotación y explotación posterior, donde la experiencia técnica en seguridad de los profesionales entra en juego y se combina con el negocio para comprender la evaluación. Finalizando con el reporte, en el cual se captura el proceso completo, de una manera la cual tenga sentido para el cliente y le proporcione lo más valioso.

La versión actual al momento de redactar la presente publicación puede ser considerada como la versión 1.0, pues los elementos fundamentales del estándar están solidificados, y han sido probados por muchos años a través de la industria. Una versión 2 está pronto en trabajo, y proporcionará un trabajo más granular en terminos de “niveles”, como en niveles de intensidad en el cual cada uno de los elementos de una prueba de penetración puede ser realizada. Dado el hecho de ninguna prueba de penetración ser como otra, y las pruebas van desde las más mundanas pruebas a aplicaciones web o red, hasta una evaluación completa de “red team”, estos niveles permitirán a una organización definir cuanta sofisticación se espera el adversario exhiba, y permita al profesional intensificar aquellas áreas donde la organización lo necesita más. Algunos de los trabajos iniciales sobre “niveles” pueden ser encontradas en la sección sobre captura de inteligencia.

A continuación se detallan las secciones principales definidas por el estándar como las bases para la ejecución de una prueba de penetración.

  • Interacciones previas al contrato
  • Captura de inteligencia
  • Modelar amenazas
  • Análisis de vulnerabilidades
  • Explotación
  • Explotación posterior
  • Reportar


Como el estándar no proporciona ninguna directriz técnica sobre como ejecutar una prueba de penetración, también se ha creado una guía técnica para acompañar el estándar.

Fuentes:

http://www.pentest-standard.org/index.php/Main_Page
http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Curso de Informática Forense