Contenidos
Que es el pentesting
Casos de prueba de pen testing
Método de pruebas en el que los evaluadores se dirigen a componentes binarios individuales o a la aplicación en su conjunto para determinar si se pueden aprovechar las vulnerabilidades intra o intercomponentes para comprometer la aplicación, sus datos o sus recursos del entorno.
Metodología de prueba en la que los evaluadores, utilizando toda la documentación disponible (por ejemplo, el diseño del sistema, el código fuente, los manuales) y trabajando bajo restricciones específicas, intentan burlar las características de seguridad de un sistema de información.
Pruebas de seguridad en las que los evaluadores imitan ataques del mundo real en un intento de identificar formas de burlar las características de seguridad de una aplicación, sistema o red. Las pruebas de penetración suelen implicar la realización de ataques reales a sistemas y datos reales, utilizando las mismas herramientas y técnicas que utilizan los atacantes reales. La mayoría de las pruebas de penetración implican la búsqueda de combinaciones de vulnerabilidades en un solo sistema o en múltiples sistemas que pueden ser utilizados para obtener más acceso del que se podría lograr a través de una sola vulnerabilidad.
Nota: Las pruebas de penetración pueden aprovechar la documentación del sistema (por ejemplo, el diseño del sistema, el código fuente, los manuales) y se llevan a cabo con limitaciones específicas. Algunos métodos de pruebas de penetración utilizan técnicas de fuerza bruta.
Qué es el pen testing y por qué es importante realizarlo
Una prueba de penetración, conocida coloquialmente como pen test o hacking ético, es un ciberataque simulado y autorizado contra un sistema informático, realizado para evaluar la seguridad del sistema;[1][2] no debe confundirse con una evaluación de vulnerabilidad.[3] La prueba se realiza para identificar las debilidades (también denominadas vulnerabilidades), incluyendo la posibilidad de que partes no autorizadas accedan a las características y datos del sistema,[4][5] así como los puntos fuertes,[6] permitiendo completar una evaluación de riesgos.
El proceso suele identificar los sistemas objetivo y un objetivo concreto, y a continuación revisa la información disponible y pone en marcha diversos medios para alcanzar ese objetivo. Un objetivo de la prueba de penetración puede ser una caja blanca (sobre la que se proporciona de antemano al probador información sobre los antecedentes y el sistema) o una caja negra (sobre la que sólo se proporciona información básica -si es que hay alguna- aparte del nombre de la empresa). Una prueba de penetración de caja gris es una combinación de las dos (en la que se comparte un conocimiento limitado del objetivo con el auditor)[7] Una prueba de penetración puede ayudar a identificar las vulnerabilidades de un sistema a los ataques y estimar lo vulnerable que es[8][6].
Academia pentester
Las pruebas de penetración pueden suscitar muchas preguntas en su equipo. Regularmente, nos preguntan sobre el propósito de una prueba de penetración. Una pregunta razonable, ya que un equipo desconocido de pentesters intentará superar los controles de seguridad de su red. Y hará cosas que no se distinguen de los ciberataques del mundo real.
Antes de aceptar un ataque simulado a su infraestructura de red, debe saber exactamente cuál es el objetivo. ¿Qué conseguirá con ello? ¿Qué problemas tiene que tratar para mejorar a largo plazo?
El objetivo principal de una prueba de penetración es identificar los puntos débiles de seguridad en una red, máquina o pieza de software. Una vez que eso está claro, las vulnerabilidades pueden ser eliminadas, o las debilidades pueden ser reducidas antes de que las partes hostiles las descubran y las exploten. Para que esto se adapte a su situación, debe tener en cuenta varias cuestiones:
– ¿Qué tipo de riesgos le preocupan más? – ¿Tiene requisitos específicos de cumplimiento basados en el trabajo que realiza y la información que maneja?
Prueba de penetración de synopsys
Una prueba de penetración, también conocida como pen test, es un ciberataque simulado contra su sistema informático para comprobar si existen vulnerabilidades explotables. En el contexto de la seguridad de las aplicaciones web, las pruebas de penetración se utilizan habitualmente para aumentar un cortafuegos de aplicaciones web (WAF).
Las pruebas de penetración pueden implicar el intento de violación de cualquier número de sistemas de aplicación, (por ejemplo, interfaces de protocolo de aplicación (API), servidores frontend/backend) para descubrir vulnerabilidades, como entradas no sanitizadas que son susceptibles de ataques de inyección de código.
En esta etapa se utilizan ataques a aplicaciones web, como el cross-site scripting, la inyección SQL y las puertas traseras, para descubrir las vulnerabilidades de un objetivo. A continuación, los probadores intentan explotar estas vulnerabilidades, normalmente escalando privilegios, robando datos, interceptando el tráfico, etc., para comprender el daño que pueden causar.
El objetivo de esta etapa es ver si la vulnerabilidad se puede utilizar para lograr una presencia persistente en el sistema explotado, lo suficientemente larga como para que un actor malo obtenga acceso en profundidad. La idea es imitar las amenazas persistentes avanzadas, que suelen permanecer en un sistema durante meses para robar los datos más sensibles de una organización.