• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Novis Euforia

Novis Euforia

Un nuevo proyecto
 con más de 20 años de experiencia en tecnología SAP

  • Inicio
  • Sobre Novis
  • Servicios
    • S4 Conversion
    • Suite On Hana
    • Cloud Adoption & Operations
    • Landscape Transformation
    • SAP Licensing
    • SAP DevOps
    • SAP BTP
    • Cybersecurity for SAP
    • SAP Managed Services
  • Soluciones
    • Chameleon – Multicloud ArchiveLink
    • euKaria – Automatización en la Seguridad SAP
    • euGenie – Solución RPA para Automatización de tareas IT enfocada a Operaciones SAP
  • Noticias
  • Contacto
  • We’re Hiring
  • English

Hacking Ético – Penetration Tests

07/09/2021

Según la definición del EC-Council, “Los penetration tests son un procedimiento legal y estructurado para evaluar la postura de seguridad de una organización. Esta práctica simula un ataque contra la infraestructura de seguridad de la empresa, como su red, aplicaciones y usuarios, para identificar las vulnerabilidades explotables. Determina la eficacia de las políticas, controles y estrategias de seguridad de la empresa”. Por tanto, podemos decir que el Penetration Test (en corto, “pentest”) es el procedimiento que utilizan los hackers éticos para evaluar la eficacia de la seguridad del cliente.

Existen varias metodologías que incluyen diferentes procedimientos de Penetration

Metodologías y Procedimientos Penetration Tests

  • OSSTMM (manual de metodología de pruebas de seguridad de código abierto)
  • OWASP (Proyecto de seguridad de aplicaciones web abiertas)
  • ISSAF (Marco de evaluación de la seguridad de los sistemas de información)
  • NIST (Instituto Nacional de Estándares y Tecnología USA)
  • LPT (Licencia de Penetration Test del EC-Council)

Penetration Tests - Hacking Etico

Sin embargo, no existen grandes diferencias en cómo estas metodologías estructuran la Penetration tests. En general, podemos diferenciar diferentes fases.

Fases Penetration Tests

  1. Alcance y planificación: definir el objetivo del Penetration Test y la planificación de su ejecución.
  2. Reconocimiento: primera búsqueda de información sobre las organizaciones y sistemas en el ámbito del proyecto, normalmente basada en datos públicos.
  3. Escaneo: en base a la información recopilada en el reconocimiento, se utilizan escáneres para obtener detalles y descubrir vulnerabilidades.
  4. Obtener y escalar accesos: intentar aprovechar las vulnerabilidades detectadas, acceder al sistema y, una vez dentro, obtener tantos privilegios como sea posible.
  5. Mantener el acceso: mantener una puerta abierta para acceder a los sistemas de destino en la función. Implica borrar los rastros, para que no se detecte el acceso no autorizado.
  6. Documentación de los resultados: los resultados del Penetration Test deben estar debidamente documentados para que el cliente comprenda los problemas. No solo debe revelar las vulnerabilidades, sino también abordar las soluciones e incluir recomendaciones para mejorar la seguridad. Con frecuencia, el informe incluye un plan de acción, que incluso se verifica después de cierto tiempo.

No todos los Penetration Tests pasan por todas las fases: es posible que, dentro del alcance definido, no sea posible acceder a los sistemas, por lo que las fases 4 y 5 no aplican. Como cada fase se basa en los resultados de la anterior, los primeros pasos son realmente importantes.

El alcance es clave en el proceso, ya que determina la extensión del test así como delimita responsabilidades y protege legalmente tanto al cliente como al hacker. El reconocimiento y el escaneo están condicionados por el alcance acordado, y la obtención de acceso también depende en gran medida del alcance del tiempo, ya que muchas herramientas y procedimientos requieren mucho tiempo (por ejemplo, para un ataque de fuerza bruta, cuanto más tiempo, mejor).

Una parte importante del alcance es la decisión sobre el tipo de prueba Penetration test a realizar:

  • Test externo: el hacker no tiene acceso normal a los sistemas, de modo que está en la misma situación de un black-hat no vinculado con el cliente.
  • Test interno: el hacker tiene cierto nivel de acceso a los sistemas, como si fuera un empleado o trabajador externo.
  • Test de caja negra: el cliente no proporciona ninguna información específica al hacker, por lo que debe obtener toda la inteligencia mediante los procesos de exploración y reconocimiento.
  • Test de caja gris / caja blanca: el cliente proporciona alguna información o, en caso de prueba de caja blanca, documentación completa de los sistemas y procesos involucrados en el alcance.

En la imagen podemos ver un resumen del alcance de un informe de prueba de penetración real:

ethicalHackingReport

En este ejemplo, podemos ver el número de certificación del hacker ético que realizó la prueba, así como las herramientas que utilizó. En la metodología, se especifica que la prueba fue externa y de caja gris. También se detallan algunos detalles relevantes sobre la metodología y el contexto:

  • El reconocimiento y el escaneo activos implican que el hacker interactuará con los sistemas para extraer información. Esa interacción podría impactar en el rendimiento y podría ser detectada por los sistemas de defensa. Como se explica en el contexto, el proveedor de hosting no está informado acerca de la prueba, por lo que el firewall perimetral permanecerá activo y se podrá detectar la intrusión.
  • Sin ingeniería social, sesión hijacking o ataques de “man-in-the-middle” significa que los empleados no serán molestados ni involucrados en la prueba de ninguna manera. Eso es muy habitual en las pruebas de penetración regulares, a menos que exista un interés específico en evaluar estos riesgos.
  • Sin ataque de denegación de servicio, para evitar un impacto en el negocio.

Puedes leer en el siguiente enlace el primer artículo que publicamos sobre hacking ético. En el próximo post, hablaremos sobre hacking ético y Penetration Tests para sistemas SAP, que como veremos, presenta algunas peculiaridades significativas.

NovisEuforia colabora con Santa Marta AB para ofrecer una ambiciosa iniciativa respecto a la mejora de la Ciberseguridad en entornos SAP.

Primary Sidebar

Servicios

S4 Conversion

Cloud Adoption & Operations

Landscape Transformation

SAP DevOps

Cybersecurity for SAP

SAP Managed Services

Newsletter

Generamos contenido de alto valor alrededor de SAP. ¿Quieres recibirlo?

SUSCRIBIRSE

Footer

Novis Euforia

Calle de Martínez Villergas, 49, Edificio V, Planta 1, 28027 Madrid

CONTACTAR

Newsletter

Generamos contenido de alto valor alrededor de SAP. ¿Quieres recibirlo?

SUSCRIBIRSE

Redes sociales

  • Facebook
  • LinkedIn
  • Twitter
  • Política de Privacidad
  • Política de Cookies

Copyright Novis Euforia 2022

Usamos cookies para mejorar tu experiencia en la web. Si lo deseas puedes revisar nuestra política de cookies. ACEPTAR
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Siempre activado
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
GUARDAR Y ACEPTAR
Suscribirse a la Newsletter

Generamos contenido de alto valor alrededor de SAP. ¿Quieres recibirlo?