Relación con Terceros Previo al Contrato de una Prueba de Penetración

  • Posted on: 22 June 2021
  • By: ReYDeS

Existen una serie de situaciones donde el contrato incluirá probar un servicio o aplicación el cual se hospedada en un tercero. Esto se torna más frecuente en los recientes años, conforme los servicios en la “nube” se han convertido en algo más popular. Lo más importante es recordar, si bien el cliente ha otorgado el permiso, este no habla por sus proveedores externos. Por lo tanto se debe obtener permiso explicito de estos para probar los sistemas hospedados. Fallar en la obtención del permiso adecuado, como siempre puede traerá consigo la posibilidad de violar la ley, lo cual puede causar muchos dolores de cabeza.

Servicios en la Nube

El más grande problema con probar servicios en la nube, son los datos de múltiples organizaciones almacenándose en un medio físico. Frecuentemente la seguridad entre estos diferentes dominios de datos es muy laxa. El proveedor de servicios en la nube necesita estar alerta sobre las pruebas, y necesita conocer las pruebas suscitándose, además de otorgar el permiso a la organización para realizar las pruebas. Además necesita existir un contacto directo de seguridad dentro del proveedor de servicios de la nube, el cual pueda ser contactado en caso se descubra una vulnerabilidad de seguridad, el cual impacte a otros clientes de la nube. Algunos proveedores de la nube tienen procedimientos específicos a seguir para las pruebas de penetración, además de requerir formularios de petición, programación, o permiso explícito de ellos antes de iniciar las pruebas.

ISP

Verificar los terminos del servicio correspondiente al ISP (Proveedor de Servicio de Internet) con el cliente. En muchas situaciones comerciales el ISP tiene disposiciones específicas para las pruebas. Revisar estos terminos cuidadosamente antes de lanzar los ataques. Existen situaciones donde el ISP podría evitar o bloquear cierto tráfico el cual se considera malicioso. El cliente puede aprobar este riesgo, pero siempre debe ser comunicado claramente antes de empezar. El hospedaje web al igual de todos los demás terceros, el alcance y el tiempo de las pruebas necesita ser claramente comunicado con el proveedor del hospedaje web. También cuando se comunique con el cliente, asegurarse de claramente articular la prueba únicamente buscará vulnerabilidades web. Las pruebas podrían no descubrir vulnerabilidades en la infraestructura subyacente , el cual podría proporcionar una vía para comprometer la aplicación.

MSSPs

Los MSSP (Proveedores de Servicios para Seguridad Gestionada) también necesitan ser notificados de las pruebas. Especialmente ellos necesitan ser notificados cuando los sistemas y servicios bajo su posesión sean probados. Sin embargo existen circunstancias bajo las cuales el MSSP podría no ser noticiado. Si parte de la prueba es probar el tiempo de respuesta del MSSP, ciertamente no es lo mejor para la integridad de la prueba notificar al MSSP. Como una regla general, cada vez se pruebe un dispositivo o servicio explícitamente perteneciente al MSSP, será necesario notificarlo.

Países donde se Hospedan los Servidores

También entre los mejores intereses del profesional, está el verificar los países donde los servidores están hospedados. Después de validar el país, revisar las leyes específicas del país antes de iniciar las pruebas. No se debe asumir el equipo legal de la empresa proporcionará al equipo de pruebas una completa sinopsis de las leyes locales. Tampoco se debe asumir la empresa asumirá responsabilidad legal por cualquier violación de la ley realizado por los profesionales. Es responsabilidad de cada profesional verificar las leyes para cada región donde se realizarán las pruebas antes de iniciarlas, pues será el profesional quien finalmente deberá responder por cualquier transgresión.

Fuentes:

http://www.pentest-standard.org/index.php/Pre-engagement#Dealing_with_Th...
https://aws.amazon.com/es/security/penetration-testing/
https://docs.microsoft.com/en-us/azure/security/fundamentals/pen-testing
https://support.google.com/cloud/answer/6262505?hl=en

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete