Estándar de ejecución de pentesting versión 1.0

No sé vosotros, pero yo según voy auditando labs o entornos reales voy añadiendo contínuamente a mis procedimientos de pentesting nuevas técnicas y herramientas. Pienso que cada auditor tiene que tener su propio "librillo" basado en su experiencia que determinará de una u otra forma cómo se harán las pruebas en los sistemas auditados. Pero hay que tener en cuenta que la ejecución en número y forma de estas pruebas pueden derivar en la detección de vulnerabilidades o, lo que es peor, en la NO detección o falsos negativos. Por eso, a parte de tener cada uno su propia guía personalizada según las herramientas con las que mejor se desenvuelve, es fundamental sobretodo en ambientes profesionales seguir un procedimiento de mínimos con un checklist de comprobaciones de "obligatoria" ejecución, básicamente para no dejarnos nada.

Sin embargo a parte de OSSTMM, OWASP (éste último sobretodo para auditoría web) o incluso el proceso "Kill Chain" traído de ambientes militares, no hay todavía demasiados procedimientos o metodologías de pentesting que se puedan oficializar en el mundo empresarial.

Precisamente a principios de 2009 un grupo de investigadores y profesionales discutieron sobre el valor (o la falta de) pruebas de intrusión en la industria y crearon "Penetration Testing Execution Standard".

"Penetration Testing Execution Standard" es un nuevo estándar diseñado para ofrecer tanto a las empresas como a los proveedores de servicios de seguridad un lenguaje y un ámbito comunes para realizar pruebas de intrusión (yo prefiero decir "intrusión" a "penetración" pero al fin y al cabo se trata de evaluaciones de seguridad).

El estándar consta de siete secciones principales. Estas cubren todo lo relacionado con un test de intrusión - desde la comunicación inicial y el razonamiento detrás de un pentest, a través de la recopilación de inteligencia y las fases de modelado de amenazas donde los auditores están trabajando entre bastidores para comprender mejor la organización que están testando, pasando por la investigación de vulnerabilidades, la explotación y post-explotación, donde la experiencia técnica de los auditores entran en juego y se combinan con la comprensión del negocio, y finalmente al reporting, que captura todo el proceso, de manera que tenga sentido para el cliente y le proporcione más valor.

Esta versión se puede considerar una versión 1.0 donde se asientan los elementos del core de la norma, y ha sido probada durante más de un año en la industria. Ya se está trabajando en una versión 2.0 para proporcionar un trabajo más granular en términos de "niveles" - como en los niveles de intensidad en los cuales cada uno de los elementos de un pentest se pueden realizar. Como ningún pentest es igual a otro, y las pruebas van desde la más mundana aplicación web o prueba de red, hasta un compromiso completo tipo red team, dichos niveles permitirán a una organización definir cuánta sofisticación esperan que exhiba su adversario y permitir al auditor intensificar las áreas donde la organización lo necesite más. Algunos de los trabajos iniciales sobre "niveles" se pueden ver en la sección de recolección de inteligencia.

A continuación se presentan las secciones principales definidas por la norma como base para la ejecución de pruebas de intrusión:
Y luego, como la norma no proporciona ninguna guía técnica en cuanto a la forma de ejecutar un pentest real, también han creado una guía técnica para acompañar a la propia norma, que fundamentalmente es lo que más nos interesa en Hackplayers ;):


Contents


Para obtener más información sobre lo que es este estándar, visita:

http://www.pentest-standard.org/index.php/Main_Page

Comentarios

  1. Hola Vicente gracias por la información. Es posible que nos compartas tu "librillo"? :)

    ResponderEliminar
    Respuestas
    1. Jajaja está difícil porque no está completo y sobretodo porque tengo resultados de la ejecución de herramientas sobre sitios reales que no puedo mostrar y, por lo tanto, tendría que limpiar. Quizás en un futuro cuando tenga más contenido y tiempo público algo...Saludos!

      Eliminar
    2. OCB Slim, seguro!

      Eliminar

Publicar un comentario