Pruebas de Penetración para Cumplimiento y Kali Linux

  • Posted on: 24 September 2020
  • By: ReYDeS

Estas son las pruebas más comunes, pues son requisitos obligatorios en la industria y el gobierno, los cuales se basan en un marco de trabajo para cumplimiento bajo el cual opera toda la organización.

Aunque existen muchos otros marcos de trabajo específicos para cumplimiento, el más común probablemente utilizado es PCI DSS (Payment Card Industry Standard), un marco de trabajo dictado por las compañías de tarjetas de pago, lo cual debe ser cumplido por los minoristas quienes procesan pago con tarjetas. Sin embargo un número de otros estándares existen, como DISA STIG (Defense Information Systems Agency Security Technical Implementation Guides), FedRAMP (Federal Risk and Authorization Management Program), FISMA (Federal Information Security Management Act), y otros. En algunos casos un cliente corporativo puede requerir una evaluación, o consultar visualizar los resultados de la evaluación más reciente por varias razones. Ya sea ad-hoc o por mandato este tipo de evaluaciones son colectivamente llamados pruebas de penetración basada en cumplimiento, o “simplemente evaluaciones para cumplimiento” o “verificaciones de cumplimiento”.

Una prueba para cumplimiento frecuentemente inicia con una evaluación de vulnerabilidades. En el caso de la auditoría de cumplimiento PCI, una evaluación de vulnerabilidades, cuando es realizada adecuadamente, puede satisfacer muchos de los requerimientos base, incluyendo “2. No utilizar contraseñas proporcionadas por defecto del proveedor en los sistemas u otros parámetros de seguridad” (por ejemplo, con las herramientas incluidas en la categoría del menú “Ataques a Contraseñas”)”. “11. Probar regularmente la seguridad de los procesos y sistemas” (con las herramientas de la categoría Evaluación de Bases de Datos), u otras. Algunos requerimientos como el “9. Restringir el acceso físico hacia los datos de los titulares de las tarjetas” y “12- Mantener una política la cual abarque a todo el personal de seguridad de información”, no parece tolerar por si mismo las herramientas tradicionales para la evaluación de vulnerabilidades, y requiere creatividad además de pruebas adicionales.

Más allá del hecho podría no parecer sencillo utilizar Kali Linux para algunos elementos de una prueba para cumplimiento, el hecho es Kali Linux encaja perfectamente en este entorno, no solo por el amplio rango de herramientas relacionadas con la seguridad, sino también por el entorno Debian sobre el cual se construye, permitiendo la instalación de un amplio rango de herramientas.

El buscar el gestor de paquetes con palabras claves cuidadosamente seleccionadas, desde cualquier marco de trabajo para cumplimiento utilizado, generará ciertamente múltiples resultados. Tal como es, muchas organizaciones utilizan Kali Linux como una plataforma estándar para este tipo exacto de evaluaciones.

Fuentes:

https://www.pcisecuritystandards.org/
https://www.fedramp.gov/
https://csrc.nist.gov/projects/risk-management

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1