• +34 634 489 889
  • info@allciber.com

Archivo de la etiqueta pentesting

Evaluaciones de vulnerabilidad

Fundamentos del RED TEAM.

Esta es la forma más simple de evaluación de seguridad, y su objetivo principal es identificar tantas vulnerabilidades en tantos sistemas de la red como sea posible. Con este fin, se pueden hacer concesiones para alcanzar este objetivo de manera efectiva. Por ejemplo, la máquina del atacante puede aparecer en la lista de permitidos en las soluciones de seguridad disponibles para evitar interferir con el proceso de detección de vulnerabilidades. Esto tiene sentido ya que el objetivo es mirar a cada host en la red y evaluar su postura de seguridad individualmente mientras se proporciona la mayor cantidad de información a la empresa sobre dónde enfocar sus esfuerzos de remediación.

Para resumir, una evaluación de vulnerabilidades se centra en analizar los hosts en busca de vulnerabilidades como entidades individuales para que se puedan identificar las deficiencias de seguridad y se puedan implementar medidas de seguridad efectivas para proteger la red de manera priorizada. La mayor parte del trabajo se puede realizar con herramientas automatizadas y realizadas por operadores sin requerir muchos conocimientos técnicos.

Por ejemplo, si tuviera que ejecutar una evaluación de vulnerabilidades en una red, normalmente intentaría escanear tantos hosts como sea posible, pero en realidad no intentaría explotar ninguna vulnerabilidad en absoluto:

Pruebas de penetración

Además de escanear cada host en busca de vulnerabilidades, a menudo necesitamos comprender cómo afectan a nuestra red en su conjunto. Las pruebas de penetración se suman a las evaluaciones de vulnerabilidad al permitir que el pentester explore el impacto de un atacante en la red general mediante pasos adicionales que incluyen:

  • Intente aprovechar las vulnerabilidades encontradas en cada sistema. Esto es importante ya que a veces puede existir una vulnerabilidad en un sistema, pero los controles compensatorios implementados impiden efectivamente su explotación. También nos permite probar si podemos usar las vulnerabilidades detectadas para comprometer un host determinado.
  • Realizar tareas posteriores a la explotación en cualquier host comprometido, lo que nos permite encontrar si podemos extraer información útil de ellos o si podríamos usarlos para pivotar a otros hosts que anteriormente no eran accesibles desde donde nos encontramos.

Las pruebas de penetración pueden comenzar buscando vulnerabilidades como una evaluación regular de vulnerabilidades, pero proporcionan más información sobre cómo un atacante puede encadenar vulnerabilidades para lograr objetivos específicos. Si bien su enfoque sigue siendo identificar vulnerabilidades y establecer medidas para proteger la red, también considera la red como un ecosistema completo y cómo un atacante podría beneficiarse de las interacciones entre sus componentes.

Si tuviéramos que realizar una prueba de penetración utilizando la misma red de ejemplo que antes, además de escanear todos los hosts de la red en busca de vulnerabilidades, intentaríamos confirmar si pueden ser explotados para mostrar el impacto que un atacante podría tener en la red:

Al analizar cómo un atacante podría moverse por nuestra red, también obtenemos una visión básica sobre posibles derivaciones de medidas de seguridad y nuestra capacidad para detectar un actor de amenazas reales hasta cierto punto, limitada porque el alcance de una prueba de penetración suele ser extenso y a los probadores de penetración no les importa mucho ser ruidosos o generar muchas alertas en los dispositivos de seguridad, ya que las limitaciones de tiempo en tales proyectos a menudo requieren que revisemos la red. en poco tiempo.

Amenazas persistentes avanzadas y por qué el pentesting regular no es suficiente

Si bien los compromisos de seguridad convencionales que hemos mencionado cubren el hallazgo de la mayoría de las vulnerabilidades técnicas, existen limitaciones en dichos procesos y en la medida en que pueden preparar efectivamente a una empresa contra un atacante real. Tales limitaciones incluyen:

Como consecuencia, algunos aspectos de las pruebas de penetración pueden diferir significativamente de un ataque real, como:

  • Las pruebas de penetración son RUIDOSAS: Por lo general, los pentesters no pondrán mucho esfuerzo en tratar de pasar desapercibidos. A diferencia de los atacantes reales, no les importa ser fáciles de detectar, ya que han sido contratados para encontrar tantas vulnerabilidades como puedan en tantos hosts como sea posible.
  • Los vectores de ataque no técnicos pueden pasarse por alto: Los ataques basados en ingeniería social o intrusiones físicas generalmente no se incluyen en lo que se prueba.
  • Relajación de los mecanismos de seguridad: Al realizar una prueba de penetración regular, algunos mecanismos de seguridad pueden deshabilitarse temporalmente o relajarse para el equipo de pentesting a favor de la eficiencia. Aunque esto puede sonar contradictorio, es esencial recordar que los pentesters tienen un tiempo limitado para verificar la red. Por lo tanto, generalmente se desea no perder el tiempo buscando formas exóticas de eludir IDS / IPS, WAF, engaño de intrusión u otras medidas de seguridad, sino centrarse en revisar la infraestructura tecnológica crítica en busca de vulnerabilidades.

Por otro lado, los atacantes reales no seguirán un código ético y en su mayoría no tienen restricciones en sus acciones. Hoy en día, los actores de amenazas más prominentes se conocen como Amenazas Persistentes Avanzadas (APT), que son grupos de atacantes altamente calificados, generalmente patrocinados por naciones o grupos delictivos organizados. Se dirigen principalmente a infraestructura crítica, organizaciones financieras e instituciones gubernamentales. Se denominan persistentes porque las operaciones de estos grupos pueden permanecer sin ser detectadas en redes comprometidas durante largos períodos.

FUENTE: | TryHackMe Fundamentos del Equipo Rojo