Selección del Destino para la Captura de Inteligencia en una Prueba de Penetración

  • Posted on: 5 August 2021
  • By: ReYDeS

Identificar y Nombrar el Destino

Cuando se aproxima hacia la organización a evaluar, es importante entender la compañía puede tener diversos dominios de nivel superior (TDL), y empresas auxiliares. Aunque esta información debería haber sido descubierta durante la etapa del alcance, no es inusual identificar dominios con servidores adicionales, además de compañías las cuales no hayan sido parte del alcance inicial. Por ejemplo una compañía puede tener un TDL .com. Sin embargo también podría tener .net .co y .xxx. De cualquier manera estas necesitan ser clarificadas con el cliente antes de empezar las pruebas. Es también común para una empresa tener diversas subcompañías debajo. Por ejemplo General Electric y Procter and Gamble tienen una gran cantidad de empresas más pequeñas

Considerar cualquier Regla sobre Limites del Contrato

En este punto es una buena idea revisar las Reglas del Contrato. Es común estos se olviden durante una prueba. Algunas veces como profesionales en Hacking Ético y Pruebas de Penetración, nos sumergimos tanto en lo encontrado, además de las posibilidades para un ataque, lo cual hace olvidar cuales direcciones IP, dominios, y redes son factibles de atacar. Siempre se debe referenciar hacia las Reglas del Contrato para mantener las pruebas enfocadas. Estaono solo es importante desde la perspectiva legal, sino también es importante desde la perspectiva del alcance. Cada vez se desvía de las metas centrales de las pruebas, esto consume tiempo. Y consecuentemente esto puede costarle dinero a la empresa.

Considerar la Duración para las Pruebas

La cantidad de tiempo para toda la prueba directamente impactará en la cantidad de Captura Inteligencia realizada. Existen algunas pruebas donde el tiempo total es de dos hasta tres meses. En estos contratos una compañía podría invertir una tremenda cantidad de tiempo buscando en cada una de las unidades de la empresa, además del personal de la compañía. Sin embargo para pruebas de estilo caja de cristal, las metas pueden ser más tácticas. Por ejemplo probar una aplicación web específica puede no requerir investigar los registros financieros del CEO de la compañía.

Considerar la Meta Final de la Prueba

Cada prueba tiene una meta final en mente, un activo o proceso particular la cual la organización considera crítica. Teniendo en consideración el resultado final en mente, la etapa para la captura de inteligencia debe asegurarse de incluir todos los elementos secundarios y terciarios alrededor de la meta final. Ya sean tecnologías de soporte, terceras entidades, personal relevante, etc. Asegurarse el enfoque se mantenga sobre los activos críticos, asegura los elementos menos relevantes para inteligencia no sean priorizados y categorizados como tales, para no intervengan en el proceso de análisis.

Fuentes:

http://www.pentest-standard.org/index.php/Intelligence_Gathering#Target_...
https://www.icann.org/resources/pages/tlds-2012-02-25-en

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete