Sentar las bases para las pruebas de seguridad

En el pasado, una gran cantidad de técnicas de evaluación de seguridad en hacking ético involucrado procesos manuales. Ahora, ciertos escáneres de vulnerabilidad pueden automatizar varias tareas, de las pruebas de informar a la validación de Reparación (el proceso de determinar si una vulnerabilidad se fijó). Algunos escáneres de vulnerabilidad, incluso puede ayudar a tomar acciones correctivas. Estas herramientas le permite centrarse en la realización de las pruebas y menos en los pasos específicos implicados.

Sin embargo, siguiendo una metodología general y la comprensión de lo que está pasando detrás de las escenas le ayudará a encontrar las cosas que realmente importan.

Pensar de manera lógica - como un programador, un radiólogo o un inspector de viviendas - para diseccionar e interactuar con todos los componentes del sistema para ver cómo funcionan. A recopilar información, a menudo en muchos trozos pequeños, y montar las piezas del rompecabezas. Se empieza en el punto A con varios objetivos en mente, ejecutar las pruebas (la repetición de muchos pasos en el camino), y acercarse hasta descubrir las vulnerabilidades de seguridad en el punto B.

El proceso utilizado para este ensayo no es básicamente el mismo que el que un atacante malintencionado podría utilizar. Las principales diferencias se encuentran en los objetivos y cómo alcanzarlos. Los ataques de hoy pueden venir de cualquier ángulo en contra de cualquier sistema, no sólo desde el perímetro de su red y de Internet como es posible que se les ha enseñado en el pasado.

Probar cada posible punto de entrada, incluyendo socios, proveedores, clientes y redes, así como los usuarios domésticos, las redes inalámbricas y dispositivos móviles. Cualquier ser humano, sistema informático, o el componente físico que protege sus sistemas informáticos - tanto dentro como fuera de sus edificios - es un juego justo para el ataque, y tiene que ser probado, con el tiempo.

Al empezar a rodar con su prueba, usted debe mantener un registro de las pruebas que se realizan, las herramientas que utiliza, los sistemas se prueba y sus resultados. Esta información puede ayudar a hacer lo siguiente:

  • Realizar un seguimiento de lo que ha funcionado en las pruebas anteriores y por qué.

  • Ayudar a probar lo que hizo.

  • Correlacionar sus pruebas con los firewalls y sistemas de prevención de intrusiones (IPS) y otros archivos de registro si surgen problemas o preguntas.

  • Documentar sus hallazgos.

Además de las notas generales, tomando capturas de pantalla de los resultados (utilizando Snagit, Camtasia, o una herramienta similar) siempre que sea posible es muy útil. Estas inyecciones útil más adelante en caso de necesitar demostrar la prueba de lo que ocurrió, y que también serán útiles como generar su informe final. También, dependiendo de las herramientas que utiliza, estas capturas de pantalla podría ser su única evidencia de vulnerabilidades o explota cuando llega el momento de escribir su informe final.

Su principal tarea es encontrar las vulnerabilidades y simular la recopilación y el sistema de información compromisos realizados por una persona con malas intenciones. Esta tarea puede ser un ataque parcial en un ordenador, o puede constituir un ataque general contra el conjunto de la red.

En general, se buscan los puntos débiles que los usuarios maliciosos y atacantes externos podrían explotar. Usted querrá evaluar tanto los sistemas externos e internos (incluyendo los procesos y procedimientos que involucran computadoras, redes, las personas y las infraestructuras físicas). Busque cheque vulnerabilidades, cómo se interconectan todos sus sistemas y cómo los sistemas privados y la información son (o no) protegido de los elementos que no se confía.

Estas medidas no incluyen información específica sobre los métodos que se utilizan para la ingeniería social y la evaluación de la seguridad física, pero las técnicas son básicamente los mismos.

Video: Pruebas Fisicas para Vigilante de Seguridad 2014 400 metros 50 años

Si está realizando una evaluación de seguridad para un cliente, puede ir al ciego ruta de evaluación, lo que significa que, básicamente, empezar con sólo el nombre de la empresa y ninguna otra información. Este enfoque de evaluación ciega le permite comenzar desde el principio y le da una mejor idea de la información y los sistemas que los atacantes maliciosos pueden acceder públicamente.

Ya sea que elija para evaluar a ciegas (es decir, de forma encubierta) o abiertamente, tenga en cuenta que la forma ciega de prueba puede llevar más tiempo, y es posible que tenga una mayor probabilidad de que faltan algunas vulnerabilidades de seguridad. No es mi método de ensayo preferido, pero algunas personas pueden insistir en ello.

Video: test de flexibilidad - "sentar y alcanzar"

Como profesional de la seguridad, puede que no tenga que preocuparse por cubrir sus pistas o evadir las IPS o relacionados con los controles de seguridad, porque todo lo que hace es legítimo. Sin embargo, es posible que desee probar los sistemas de sigilo. En este libro, se discuten las técnicas que utilizan los hackers para ocultar sus acciones y delinear algunas contramedidas para las técnicas de ocultamiento.

Artículos Relacionados
Evitar los cortes en estaciones de trabajo inalámbricas vulnerables
Crear estándares de prueba para sus hacks éticos
La ejecución de las diferentes pruebas de seguridad en su propio entorno
Mandamientos de hackers éticos
Harden sistemas contra vulnerabilidades de seguridad
Cómo los atacantes maliciosos engendrar hackers éticos
¿Cómo comunicar los resultados de evaluación de seguridad
Cómo crear informes de pruebas de seguridad
Cómo tirar de resultados de pruebas de seguridad en conjunto para informar
Cómo utilizar el análisis de árbol de ataque para prepararse para un truco ética
Conocer sus vulnerabilidades de la infraestructura de red para evitar cortes
Diez errores mortales que deben evitarse al hackear su empresa
Diez razones piratería es la mejor manera de garantizar la seguridad de la empresa
El proceso de hacking ético
Consejos para las evaluaciones de seguridad exitoso
Herramientas para prevenir la piratería de la red
La comprensión de la necesidad de cortar sus propios sistemas
Herramientas de pruebas de seguridad de aplicaciones web para identificar vulnerabilidades
¿Cuál es hacking ético?
¿Qué sistemas en caso de que éticamente hackear?