Información para Contacto de Emergencia Previo al Contrato de una Prueba de Penetración
Obviamente el ser capaz de contactarse con el cliente o la organización en una emergencia es vital. Las emergencias pueden surgir, y un punto de contacto debe ser establecido para poder manejarlas. Crear una lista de contacto para emergencias. Esta lista debe incluir información de contacto para todas las partes dentro del alcance de las pruebas. Una vez creada, la lista de contactos para emergencia debe ser compartida con todos aquellos incluidos en la lista. Tener en consideración la organización en evaluación puede no ser el cliente.
Obtener la siguiente información sobre cada contacto para emergencia:
- Nombre completo
- Título y responsabilidad operacional
- Autorización para discutir los detalles sobre las actividades de las pruebas, si aún no se ha especificado
- Dos formas para contacto inmediato 24/7, como un teléfono celular, o teléfono de hogar si es posible
- Una forma para transferencia segura masiva de datos, como SFTP, o correo electrónico encriptado
Anotar: El número para un grupo como la mesa de ayuda o centro de operaciones puede reemplazar un contacto para emergencia, pero únicamente si este tiene personal 24/7. La naturaleza de cada prueba de penetración incluye quien debe estar en la lista para contactos de emergencia. No únicamente debería estar disponible la información de contacto para el cliente y aquello a evaluar, sino también es posible se requiera comunicar a los profesionales en caso de una emergencia. Esta lista debe incluir preferiblemente a las siguientes personas:
- Todos los profesionales en pruebas de penetración quienes realiza las evaluaciones
- El gerente del grupo para pruebas
- Dos contactos técnicos para cada organización en evaluación
- Dos contactos técnicos en el cliente
- Un contacto de la alta gerencia o contacto empresarial en el cliente
Es posible haya alguna superposición en el listado anterior. Por ejemplo, la organización en evaluación puede ser el cliente, el gerente del grupo para pruebas puede también realizar la prueba de penetración, o un contacto técnico del cliente puede estar en la alta gerencia. También se recomienda definir una persona para contacto único por cada parte involucrada, quien lo lidere y asuma responsabilidad en su nombre.
Proceso para Reportar Incidentes
Es importante por varias razones, discutir las capacidades actuales para la respuesta de incidentes en la organización, antes de realizar una evaluación. Una prueba de penetración no únicamente evalúa la seguridad de una organización, sino también sus capacidades para respuesta ante incidentes.
Si se puede realizar una evaluación completa, sin los equipo de seguridad interna lo perciban, se ha identificado una brecha importante en la seguridad. Es también importante asegurarse antes de la prueba inicie, alguien en la organización es consciente de donde las pruebas están siendo realizadas, de tal manera el equipo para respuesta de incidentes no empiece a llamar a cada miembro de la alta gerencia en el medio de la noche, porque creyó fueron atacados o comprometidos.
Definición de Incidente
El Intituto Nacional de Estándares y Tecnologías (NIST), define un incidente como; “una violación o amenaza inminente de violación a las políticas de seguridad en computadoras, políticas de uso aceptable, o prácticas estándar de seguridad”. Un incidente también puede ocurrir sobre un nivel físico, en el cual una persona gana acceso físico no autorizado hacia un área por cualquier medio. La organización en evaluación debe tener diferentes categorías y niveles para diferentes tipos de incidentes.
Frecuencia para Reportar el Estado
La frecuencia para reportar los estados puede variar ampliamente. Algunos factores influenciando en la programación de los reportes, incluyen la duración total de la evaluación, al alcance de la prueba, la madurez en seguridad de aquello en evaluación. Una programación efectiva permite al cliente sentirse comprometido. Un cliente ignorado es un cliente antiguo.
Una vez se establece la frecuencia y programación para los reportes de estado, se debe cumplir. Posponer o retrasar los reportes de estado puede ser necesario, pero no debe volverse crónico. El cliente puede ser consultado para este de acuerdo en una nueva programación si es necesario. Saltarse un reporte del estado por completo no es profesional, y debe evitarse si es posible.
PGP y Otras Alternativas
La encriptación no es opcional. La comunicación con el cliente es una parte absolutamente necesaria en cualquier prueba de penetración, además debido a su naturaleza sensible de la evaluación, las comunicaciones de información sensible deben ser encriptadas, especialmente en el reporte final. Antes de iniciar las pruebas debe ser establecido un medio seguro para la comunicación con el cliente. Algunos medios comunes para encriptación son los siguientes:
- PGP/GPG puede ser utilizado para comunicarse ya sea a través de correo electrónico, y para encriptar el reporte final (recordar las lineas del asunto son pasadas en texto plano)
- Un buzón de correo seguro hospedado en la red del cliente
- Teléfono
- Reuniones cara a cara
- Al entregar el reporte final, se puede también almacenar el reporte en un archivo encriptado con AES, pero asegurarse de la utilidad para archivo soporte encriptación AES utilizando CBC.
Preguntar también cual tipo de información puede ser puesto en escrito, y cual debe ser comunicado solo verbalmente. Algunas organizaciones tienen muy buenas razones para limitar cual información de seguridad es transmitida hacia ellos por escrito.
Fuentes:
http://www.pentest-standard.org/index.php/Pre-engagement#Emergency_Conta...
https://csrc.nist.gov/publications/detail/sp/800-86/final
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/