Metodología PTES (Penetration Testing Execution Standard).

PTES

PTES (Penetration Testing Execution Standart) consta de siete (7)
secciones principales. Pretende unir esfuerzos de analistas y expertos en seguridad para hacer un estándar que pueda completar una auditoría en todos sus procesos más habituales. Estos cubren todo lo relacionado con una prueba de penetración:



  • Herramientas requeridas


Son esos programas, aplicaciones o simplemente instrucciones usadas para efectuar otras tareas de modo más sencillo. En un sentido amplio del término, podemos decir que una herramienta es cualquier programa o instrucción que facilita una tarea, pero también podríamos hablar del hardware o accesorios como herramientas.


  • Recolección de información


Recopilación de información de inteligencia competitiva publicada en motores de búsqueda que
nos dará una idea del objetivo que estamos estudiando y de las personas que trabajan dentro dela empresa..


  • Análisis de vulnerabilidades


Como su propio nombre indica entramos en materia. De forma activa y ya 'tocando' el objetivo, se identifican puertos y servicios existentes en busca, de forma manual y automática vulnerabilidades existentes.

En este apartado básicamente se define el ámbito y alcance del test de intrusión. Se llega a un acuerdo con el cliente acotando la profundidad
de las pruebas a realizar, permisividad de ataques (ataques DOS, fuerza bruta....), enfoque del test (caja negra, gris o blanca) presentación de evidencias (goals), etc.

  • Explotación

Con la información proporcionada por las dos fases anteriores, se definen líneas de negocios existentes, importancia de los activos IT (accesibles) visibles en nuestro estudio para definir vectores de ataques posteriores

  • Post-explotación


Esta fase se centra en la recopilación de evidencias y en cómo valorar el impacto real de la intrusión y hasta donde podemos llegar desde el sistema comprometido. Se contempla borrado de huellas y hacer persistente el ataque (puertas traseras, conexión inversa o rootkits)


  • Informes


Explica qué deben contener los reportes (ejecutivo y técnico) que entreguemos como conclusión de nuestro estudio


Esta metodología maneja niveles de riesgo dirigidos a un lenguaje para el negocio y maneja una descripción cualitativa, lo que permite la fácil comunicación con el cliente. Las razones para las que se solicitó el test deben ser los primeros aspectos relevantes del informe final. Seguido de los posibles riesgos y su valoración. Las métricas utilizadas y las contra medidas propuestas para los riesgos analizados.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Auditoría tipo Black box, White box y Gray box.

Imagen
Básicamente existen tres tipos de auditorías a realizar para un testing de penetración  cuando llega a una empresa para comprobar la seguridad de su infraestructura, de su sitio web, software o mapa de red, son conocidas por tres nombres comunes: Auditoría de “Caja blanca”: son las auditorías que se realizan con acceso a la información interna de la empresa, por ejemplo: detalles de la red como: segmentos de red, mapa de red, firewall, impresora en red, sistemas operativos utilizados, tipo de autenticación, usuarios, tecnología del sitio web, etc. Se puede utilizar para simular un ataque a la infraestructura de una persona que pertenece a la organización, por ejemplo un trabajador cabreado. Es útil porque no se invierte tiempo en el “fingerprint” (descubrimiento) de la infraestructura, sistemas utilizados, etc. Auditoría de “Caja negra”: es la auditoría que se realiza sin dar ningún tipo de información al auditor y es el quien debe descubrir el segmento de red, los s
Leer más

Herramientas (LanGuard, Nessus, OpenVAS, NeXpose, McAfee Vulnerability Manager)

Imagen
LanGuard: Es una galardonada solución de escáner de red y de seguridad, que le permite analizar su red y puertos para detectar, evaluar y corregir vulnerabilidades de seguridad con el mínimo esfuerzo administrativo, ofreciendo: Administración de actualizaciones. Evaluación de vulnerabilidad. Auditoría de red. Principales características: Administración de actualizaciones para sistemas operativos y aplicaciones Microsoft® y Max OS X. Implementa software a medida y de terceros y actualizaciones en toda la red. Administración de actualizaciones para otras aplicaciones (no Microsoft). Corrección automática de aplicaciones no autorizadas. Conexión a escritorio remoto. Nessus: Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en un demonio o diablo, nessusd, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance e informa sobre el estado de los escaneos. De
Leer más