Hacking Etico
Short Description
hacking etico...
Description
SEMINARIO DE INVES INVESTIGACIÓN TIGACIÓN APLICADA Técnicas de Hacking Ético Renán Quevedo Gómez , CISSP, CISM, ISO 27001 LA, CEH, ECSA, CHFI. SEPTIEMBRE-OCTUBRE DE 2014
TÉCNICAS DE HACKING ÉTICO Duración • 1 semana
Horario • 5:30 pm a 10:00 pm
Modalidad • Presencial
TÉCNICAS DE HACKING ÉTICO Metodología • Discusiones teóricas • Casos de estudio Prácticos • 3 Talleres (20% c/u) • 1 Trabajo Final (40%)
Los enunciados de los talleres y del Trabajo Final serán enviados vía correo electrónico al inicio de cada sesión y deberán ser entregados resuel elttos al finalizar la se sessión (por el mism smo o medio io)) . El estudiante debe asistir por lo menos al 80% de las sesiones y obtten ob ener er un unaa cal alif ific icac ació ión n fi fina nall ma mayyor a 3. 3.5 5
TÉCNICAS DE HACKING ÉTICO ADVERTENCIA •
•
•
Todas las técnicas que se describen y enseñan en este seminario son con fines pedagógicos, las acciones que el estudiante ejecute con este conocimiento son su responsabilidad, ni la universidad ni el docente se hace ha cen n res espo pons nsab able less po porr la lass mi mism smas. as. Maneje este conocimiento dentro de los parámetros del a ética y el profesionalismo. Nuncaa us Nunc usee es esttas té técn cnic icas as y con onoc ocim imie ient nto o pa parra rea ealilizzar ac acci cion ones es al ma marrge gen n de la le leyy ni par araa cau ausa sarr da dañ ño a pe perrso sona nass o em emp presa sas, s, vend nder er infor orma macció ión, n, hac aceer labo la borres de es espi pion onaj ajee o ac acce ceso so ab abus usiv ivo o a lo loss si sist stem emas as..
Kali Linux - Distribución de Linux diseñada para el Hacking Ético. - Antigüo Backtrack - Distribución Gratuita - Herramientas de descubrimiento y enumeración, análisis de vulnerabilidades, ejecución de exploits, cracking de contraseñas, ingeniería social, etc. - Será la base para la ejecución de laboratorios en este seminario.
TEMARIO CONCEPTOS GENERALES
DESCUBRIMIENTO Y ENUMERACIÓN
ANÁLISIS DE VULNERABILIDADES
PRUEBAS DE PENETRACIÓN
GENERACIÓN DE REPORTES
TEMARIO CONCEPTOS GENERALES
DESCUBRIMIENTO Y ENUMERACIÓN
ANÁLISIS DE VULNERABILIDADES
PRUEBAS DE PENETRACIÓN
ANALISIS Y PENTES A APPLICACIONES WEB
HACKING ÉTICO Intrusiones por Reto
Intrusiones de Individuos mal Intencionados
Redes Organizadas
La misma evolución del hacking expone dos términos que deben tenerse claramente entendidos: •
Hacker
•
Cracker
HACKING ÉTICO • Robo de Identidad • Acciones
Fraudulentas • Cyber-Crimen • Cyber-Guerra
Cracker
• Accesos por
Conocimiento. • Fines Pedagógicos. • Hackig Ético.
Hacker
ROL DEL HACKER ÉTICO •
EL PAPEL DE UN HACKER ÉTICO PUEDE ASIMILARSE AL PAPEL DE UN AUDITOR: •
•
•
•
Evaluar el estado de seguridad de un sistema o infraestructura tecnológica. Analizar los resultados obtenidos de la auditoría técnica. Reportar asertivamente los hallazgos a las partes interesadas. Desempeñar el papel de experto en un equipo auditor.
TÉRMINOLOGÍA Amenaza • Acción o Evento que puede afectar la seguridad. (Potencial)
Vulnerabilidad • Debilidad que puede ocasionar un comportamiento no esperado que afecta la
seguridad de los sistemas.
Exploit • Camino definido para Vulnerar la seguridad de un sistema de TI utilizando una
vulnerabilidad.
Ataque • Cualquier acción que viola la seguridad.
Qué es Vulnerar la Seguridad? Confidencialidad
Integridad
Disponibilidad
SEGURIDAD
TÉRMINOLOGÍA Análisis de Vulnerabilidad • Análisis de sistemas informáticos en búsqueda de
vulnerabilidades conocidas, con el fin de listarlas y clasificarlas de acuerdo a su criticidad (alto, medio, bajo). No es característico de un análisis de vulnerabilidad explotar las vulnerabilidades encontradas.
PenTest (Penetration Test): • Ejecución controlada de “exploits” de vulnerabilidades
encontradas en un análisis de vulnerabilidad previo.
VRA
PENTEST EXPLOITS
CLASIFICACIÓN DE PRUEBAS DE PENETRACIÓN PRUEBAS DE PENETRACIÓN
INTERNAS
POR EL ORIGEN DE LAS PRUEBAS
EXTERNAS
Pruebas de Penetración POR EL CONOCIMIENTO DEL OBJETIVO
Caja Negra
Caja Gris
Caja Blanca
METODOLOGÍA DE LAS PRUEBAS DE PENETRACIÓN Etapas de un Hacking mal-intencionado
Descubrimiento y Enumeración
Escaneo
Lograr Acceso
Mantener Acceso
Borrar Huellas
Etapas de un Hacking Ético Descubrimiento y Enumeración
Análisis de Vulnerabilidades
Explotar Vulnerabilidades
Reportar y Recomendar
Normas y Leyes Aplicables CIRCULAR 052
PCI DSS
ISO 27001
Estas normas sustentan la aplicación y ejecución de Pruebas de Penetración y Análisis de Vulnerabilidades.
Circular 052 de 2007 – Superintendencia Financiera de Colombia Actualmente: Circular 042 de 2012 Requerimientos Mínimos de Seguridad y Calidad para la realización de operaciones bancarias. El numeral 7 detalla las requerimientos para el análisis de vulnerabilidades, el numeral 4 en uno de sus subitems especifica las características de las pruebas de penetración.
PCI DSS En noviembre de 2013 se publicó la versión 3. Estándar desarrollado para proteger la información de los tarjethabientes. (proporciona la línea base de los requerimiento técnicos y operacionales) Involucra a todas las partes involucradas en el proceso de compra por medio de tarjetas de crédito (no solo los bancos).
METODOLOGÍAS DE PENTEST Y ANÁLISIS DE VULNERABILIDADES
Existen metodologías para la ejecución de pruebas, algunas de ellas “open source”, algunas otras comerciales. Sin embargo las metodologías Open Source tienen una alta calidad y son punto de referencia para muchas tareas de Hacking ético. Estas metodologías pueden ser accedidas sin costo en internet.
OSSTMM (Open Source Security Testing Methodology Manual) Seguridad de la Información existente en medios públicos (publicada en internet). Seguridad de los procesos en los que interviene el personal de la organización (ingeniería social).
Seguridad de los sistemas expuestos en Internet.
Seguridad de los sistemas de comunicaciones de voz.
Seguridad de las comunicaciones Inalámbricas.
Seguridad desde el punto de vista técnico.
OWASP (Open Web Application Security Project) Guía para construir aplicaciones y servicios web seguros.
Guía de Pruebas (testing guide)
Top Ten
TEMARIO CONCEPTOS GENERALES
DESCUBRIMIENTO Y ENUMERACIÓN
ANÁLISIS DE VULNERABILIDADES
PRUEBAS DE PENETRACIÓN
Generación de Reportes
Descubrimiento y Enumeración •
Son los preparativos del Pentest, en esta etapa se intenta obtener el mayor número de información posible.
Tipos de Descubrimiento
Activos
Pasivos
Descubrimiento y Enumeración Google Hacking Barrido de IP
Ingeniería Social Escaneo de Puertos
Qué información se busca: - Dominios y Subdominios - Servicios Publicados - Información Personal - Correos Electrónicos - Archivos con Información Sensible (Contraseñas, Usuarios, Bases de datos) •
•
•
•
•
Google Hacking - Técnica de Hacking utilizada para obtener información (Information Gathering). - Usa las altas capacidades de google para buscar información. - Las búsquedas sobre google pueden refinarse para lograr encontrar información específica por medio de l uso de operadores lógicos y operadores avanzados.
Construcción de Consultas en Google AND (No se requiere, es redundante para google) Ejemplo: Laurel and Hardy = laurel hardy OR : se usa el símbolo pipe | NOT: Se usa el prefijo : “ -” antes de la palabra que se quiere omitir de la búsqueda •
• •
•
Forzar Inclusión: el prefijo: “+” evita que el buscador de google
omita palabras comunes, pej: +and.
Ejemplo: username | userid | user
Construcción de Consultas en Google – Operadores Avanzados •
•
•
•
•
intitle: encuentra strings en el título de una página. inurl: Encuentra strings en la url de una página. Filetype: encuentra tipos específicos de archivos basados en la extensión. Site: restringe la búsqueda a un sitio o dominio particular Link: busca links en un sitio o url
Ejemplo: inurl:admin intext:username= AND email= AND password= OR pass= filetype:xls inurl:"nph-proxy.cgi" "Start browsing through this CGI- based proxy“ xamppdirpasswd.txt filetype:txt
Google Hacking – Búsqueda de Archivos de Configuración o de Log Conociendo la estructura y palabras clave de archivos de configuración o de log de la infraestructura a analizar se puede usar el motor de Google para encontrar información.
Ejemplo: Cisco: intext:“enable password 7” Php: inurl:php.ini filetype:ini admin account info filetype:log
Google Hacking – Búsqueda de Páginas de Login Las páginas de login permiten establecer el tipo de producto que está usando un objetivo particular: webmail, bases de datos, administradores de contenido, etc.
Ejemplo: “phpMyAdmin””running on” inurl:”main.php ”
Google Hacking – Búsqueda de Archivos de soporte Las instalaciones de bases de datos están acompañadas por archivos de configuración, scripts de debug o archivos de prueba que pueden proporcionar información relevante
Ejemplo: filetype:inc intext:mysql_connect
Google Hacking – Archivos de Error Los archivos de error pueden proporcionar información relevante con respecto a los productos instalados en un sitio (sistema operativo, bases de datos, Servidores Web, etc).
Ejemplo: intitle:"Error Occurred""The error occurred in"filetype:cfm
Google Hacking – Volcado de Bases de datos Por medio de búsquedas en Google pueden encontrarse volcados de bases de datos enteras. Esto proporciona información de estructuras de bases de datos, nombres de tablas, nombres de campos, nombres de usuarios e incluso contraseñas
Ejemplo: "#mysql dump" filetype:sql
Herramientas de Descubrimiento •
Ubicación de URL’s Internas: –
–
•
http://news.netcraft.com http://www.webmaster-a.com/link-extractorinternal.php
Extracción de Información: –
–
–
http://www.network-tools.com http://whois.domaintools.com/ http://whatismyipaddress.com/traceroute-tool
Herramientas de Descubrimiento •
Búsqueda de Información Personal –
–
–
–
•
http://pipl.com http://wink.com http://123people.com https://www.peoplelookup.com
Búsqueda en páginas de Empleo –
www.elempleo.com
Herramientas de Descubrimiento RECON-NG • Permite Obtener información y hacer reconocimiento de red
Dmitry • Permite buscar información rápidamente sobre un sitio específico
NetDiscover • Facilita el descubrimiento de red de modo pasivo y activo
Zenmap • Versión Gráfica de Nmap
Escaneos Básicos de nmap
•
-sT (TCP connect Scanning): –
•
Usa el principio de los Sockets de unix para conectarse, que está basado en una función connect( ), este método intenta hacer una conexión tal y como la haría un computador, por esto es fácilmente detectable por los firewalls
-sS (SYN Scanning) –
Basado en el Three Way Handshake
Three Way HandShake • • • •
SYN (Petición de Sincronización) ACK (Aceptación/ Reconocimiento) FIN (Petición de finalización) RST (Petición de finalización inmediata)
SYN SYN / ACK ACK
Nmap -sS (Syn Scan) SYN SYN / ACK RST
SYN RST
SI el puerto está abierto se recibe un syn/ack
Nmap -sS SYN
•
•
Si no hay respuesta significa que el puerto puede estar filtrado, se usan otras técnicas como manejo de tiempos y de fragmentación de paquetes. Posibles estados de los puertos: Abierto Cerrado Filtrado • • •
Ejemplos de Ejecución •
Nmap –sP xxx xxxx.x x.xxxx. xxx.xxx xxxx.x x.xxxx xxx –
•
nmap nm ap -s -sSS -O xx xxxx xx.x .xxx xxx. x.xxx xxxx. x.xx xxxx xx –
•
Ping Scan Syn Sy n Sca Scan n y detec detección ción de Sist Sistema ema Oper Operati ativo vo
Nmap –sS –P0 –A –v –
Detección de sistema operativo y deshabilita Pings
TALLER 1
EL TALLER DEBE SER REALIZADO EN PAREJAS Y ENVIADO AL CORREO ELECTRÓNICO DEL PROFESOR AL FINALIZAR LA SESIÓN, TIENE UN VALOR DEL 20% DEL SEMINARIO
TEMARIO CONCEPTOS GENERALES
DESCUBRIMIENTO Y ENUMERACIÓN
ANÁLISIS DE VULNERABILIDADES
PRUEBAS DE PENETRACIÓN
ANALISIS Y PENTES A APPLICACIONES WEB
Ciclo de Análisis de Vulnerabilidad y Remediación Escaneo
El ciclo de análisis de vulnerabilidades y pruebas de penetración es un ciclo continuo, que debe tratarse como se ha venido tratando la gestión de herramientas de antivirus.
Retest
Remediación
Reporte
Clasificación
Common Vulnerability and Exposures •
•
La corporación Mitre pone a disposición un diccionario público de vulnerabilidades y les asigna un código el cual ha sido adoptado como estándar incluso para normas locales como la circular 052 de la Superintendencia Financiera de Colombia. http://cve.mitre.org/
Ejemplo del Diccionario CVE
Clasificación de Vulnerabilidades •
•
El CVSS (Common Vulnerability Scoring System) de NIST define los niveles de criticidad de las vulnerabilidades informáticas. Ayuda a determinar la prioridad y la urgencia de las tareas de remediación.
CVSS (Common Vulnerability Scoring System) Es un sistema de puntaje de vulnerabilidades diseñado para proporcionar un método estandarizado y abierto para calificar vulnerabilidades de TI.
Puntaje Estandarizado
Marco Abierto
Priorización del riesgo
• Permite tener un
• Otros métodos de
• Los puntajes reflejan el
puntaje independiente de las plataformas • Permite crear una política única de gestión de vulnerabilidades
calificación pueden ser confusos • Los parámetros para obtener un puntaje están disponibles para libre consulta
riesgo real de la organización. • Los usuarios pueden saber que tan importante es una vulnerabilidad con respecto a otras.
Composición del CVSS Grupo de métricas Base Grupo de Métricas Temporal Grupo de Métricas Ambiental
• Captura las características de una vulnerabilidad
que son constantes con respecto al tiempo y al ambiente.
• Captura las características de una vulnerabilidad
que cambian en el tiempo como el estado de la remediación o que tan explotable es.
• El ambiente juega una influencia directa en el
cálculo de riesgo.
Grupo Base
Vector de Acceso [AV]
Complejidad de Acceso [AC]
Autenticación [Au]
Impacto a la Confidencialidad [C]
Impacto a la Disponibilidad [A]
Impacto a la Integridad [I]
Grupo Base
Vector de Acceso • Local [L] • Adjacent
Network [A] • Network [N]
Complejidad de Acceso
Autenticación
• High [H] • Medium [M] • Low [L]
• Mulitple [M] • Single [S] • None [N]
Grupo Base
Impacto a la Confidencialidad • None [N] • Partial [P] • Complete [C]
Impacto a la Integridad • None [N] • Partial [P] • Complete [C]
Impacto a la Disponibilidad • None [N] • Partial [P] • Complete [C]
Grupo Temporal
Explotabilidad [E]
Nivel de Remediación [RL]
Confianza del Informe [RC]
Grupo Temporal Explotabilidad
Nivel De Remediación
• Unproven [U] • Proof Of Concept
• Oficial Fix [OF] • Temporary Fix
[POC] • Functional [F] • High [H] • Not Defined [ND]
[TF] • Workaround [W] • Unavailable [U] • Not Defined [ND]
Confianza del Informe • Unconfirmed
[UC] • Uncorroborated [UC] • Confirmed [C] • Not Defined
Grupo del Entorno Daño Collateral Potencial [CDP]
Distribución Objetivo [TD]
Requerimientos de Seguridad [CR,IR,AR]
Grupo del Entorno Daño Colateral Potencial • None [N] • Low [L] • Low Medium [LM] • Medium-High [MH] • High [H] • Not Defined [ND]
Objetivo de Distribución • None [N] • Low [L] – (,
< 75%) • High [H] – (>75%) • Not Defined [ND]
Requerimientos de Seguridad (CR, AR, IR) • None [N] • Low [L] • Medium [M] • High [H] • Not Defined [ND]
Afecta los puntajes Base
Resumen Base Temporal Entorno
AV:[L,A,N]/AC:[H,M,L]/Au:[M,S,N]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C] E:[U,POC,F,H,ND]/RL:[OF,TF,W,U,ND]/RC:[UC,UR,C,ND] CDP:[N,L,LM,MH,H,ND]/TD:[N,L,M,H,ND]/CR:[L,M,H,ND]/ IR:[L,M,H,ND]/AR:[L,M,H,ND]
Ejemplo: AV:L/AC:M/Au:N/C:N/I:P/A:C.
Vector de Acceso: L Complejidad de Acceso: M Autenticación: N Confidencialidad: N Integridad: P Disponibilidad: C
CALCULADORA CVSS: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2
INSTALACIÓN DE NESSUS EN KALI
INSTALACIÓN DE NESSUS EN KALI
INSTALACIÓN DE NESSUS EN KALI
INSTALACIÓN DE NESSUS EN KALI
INSTALACIÓN DE NESSUS EN KALI
INSTALACIÓN DE NESSUS EN KALI
TALLER 2
EL TALLER DEBE SER REALIZADO EN PAREJAS Y ENVIADO AL CORREO ELECTRÓNICO DEL PROFESOR AL FINALIZAR LA SESIÓN, TIENE UN VALOR DEL 20% DEL SEMINARIO
TEMARIO CONCEPTOS GENERALES
DESCUBRIMIENTO Y ENUMERACIÓN
ANÁLISIS DE VULNERABILIDADES
PRUEBAS DE PENETRACIÓN
ANALISIS Y PENTES A APPLICACIONES WEB
PENTEST
Ataques Controlados VRA
Generalmente no se incluyen ataques de Denegación de servicio
PENTEST EXPLOITS
El objetivo es simular las acciones de un hacker malintencionado y dejar evidencia del nivel de penetración logrado
Rompimiento de Contraseñas Rompimiento de contraseñas
Fuerza Bruta
Ataques de Diccionario
Tablas Precomputadas
Tablas Arcoiris
FUERZA BRUTA • •
•
Probar todas las posibles llaves o contraseñas hasta que la se encuentra la correcta. La efectividad de esta técnica está atada a la longitud de la contraseña y a la capacidad de procesamiento del sistema que realiza el ataque Los intentos se generan con las posibles combinaciones de un conjunto de caracteres sin tener ningún criterio para escogerlos.
Ataque de Diccionario • •
Es una evolución del ataque de fuerza bruta. Se utiliza un diccionario de palabras que cumplen ciertas condiciones: – – –
•
Palabras conocidas en un idioma Combinaciones de caracteres Longitud específica de las contraseña
La efectividad está atada a la complejidad de la contraseña y a la Calidad del Diccionario.
Tablas Precomputadas Contraseña
MD5
1
c4ca4238a0b923820dcc509a6f75849b
1234567890 e807f1fcf82d132f9bb018ca6738a19f
•
•
abc123
e99a18c428cb38d5f260853678922e03
password
5f4dcc3b5aa765d61d8327deb882cf99
Se basa en la búsqueda de una contraseña correspondiente a un Hash. Depende de la Calidad de la tabla, Una buena tabla precomputada requiere Teras de espacio.
Tablas Arco Iris – Rainbow Tables • •
•
Es una Solución al problema de espacio de las tablas precomputadas. Consiste en una tabla de textos planos y hashes Asociados a dicho texto (no es el hash del texto) que facilita la manera de obtener el password a determinado hash. Se cambia almacenamiento por procesamiento
Tablas Arco Iris – Ejemplo de Cónstrucción Texto Claro 123 456 789 111
Hash c2c400743edd1f7b223c95cd9fcdd3f0 a9196ffec2e43657eabb10782586dbc5 6f3ef77ac0e3619e98159e9b6febf557 f3a11faa34ed836dccd87f39d4c86472
Se construye por medio de funciones de HASH y funciones de reducción. Las funciones de reducción están diseñadas para obtener textos
Tablas Arco Iris – Ejemplo de Construcción x
h1= H(x)
RI
h2= H(R1(h1)) R2
h3= H(R2(h2))
h4=H(R3(h R3 3))
123
854d6fae5ee4291 202cb962ac59075b 1677c739ee17344 7d04bbbe5494ae9d 486 2f5a76aa1c00fa2f 4bb 964b07152d234b70 202 86
c2c400743edd1f 7b223c95cd9fcdd 3f0
456
6c9882bbac1c709 250cf8b51c773f3f8 3bd250418812776 2f37d10131f2a483a 658 8dd005b3d14b0d9 7d1 dc8b4be867a9a02 250 58
a9196ffec2e4365 7eabb10782586d bc5
68053af2923e0020 fccb3cdc9acc14a6 2c62105ee18ecd5f0 4c3ca7c6a3150cf7 680 e70a12f74560c026 026 ee37bc8c35718eb 210
6f3ef77ac0e3619 e98159e9b6febf5 57
698d51a19d8a121c 99bcfcd754a98ce8 5e9f92a01c986bafc e581499d7b701668 698 9cb86f73acc04645 645 abbafd145520b13 f92
f3a11faa34ed836 dccd87f39d4c864 72
789
111
Tablas Arco Iris – Ejemplo de Cónstrucción Supongamos el hash: 6c9882bbac1c7093bd25041881277658 Aplicamos la función de reducción R2 -> 658 Aplicamos el Hash y Obtenemos 2f37d10131f2a483a8dd005b3d14b0d9 A este hash aplicamos la función R3 de reducción obteniendo 7d1 y de nuevo calculamos el hash que resulta en a9196ffec2e43657eabb10782586dbc5, que si está en la Rainbow Table. •
• •
Texto Claro 123 456
789 111
Hash
c2c400743edd1f7b223c95cd9fcdd3f0 a9196ffec2e43657eabb10782586dbc5 6f3ef77ac0e3619e98159e9b6febf557 f3a11faa34ed836dccd87f39d4c86472
Metasploit - Meterpreter
Open Source Se usará en los talleres demostrativos. Ya existe una versión Profesional con licencia comercial – Rapid-7
TALLER 3
EL TALLER DEBE SER REALIZADO EN GRUPOS Y ENVIADO AL CORREO ELECTRÓNICO DEL PROFESOR AL FINALIZAR LA SESIÓN, TIENE UN VALOR DEL 20% DEL SEMINARIO
TEMARIO CONCEPTOS GENERALES
DESCUBRIMIENTO Y ENUMERACIÓN
ANÁLISIS DE VULNERABILIDADES
PRUEBAS DE PENETRACIÓN
ANALISIS Y PENTES A APPLICACIONES WEB
CREACIÓN DE REPORTES
Presentación de Resultados de manera: • • • • •
Asertiva Ordenada Clara Completa Considerando el perfil, conocimiento e intereses del Lector.
REPORTES USUALES Reportes Técnicos • Dirigidos a Grupos Encargados de la Remediación, a Líderes
Técnicos del proyecto, Analistas de TI o de Seguridad,etc. • Compilado del detalle técnico – deben ser exahustivos. • Son una Herramienta para toma de decisiones de tipo Técnico.
Reportes Ejecutivos • Presentación Resumida de Resultados Relevantes. • Dirigidos a Gerentes y Directores. • Se debe minimizar el uso del lenguaje técnico especializado • Debe ser comprensible para un lector sin conocimientos en el
tema.
REPORTE TÉCNICO INTRODUCCIÓN
OBJETIVOS
ALCANCE
METODOLOGÍA
RESULTADOS
CONCLUSIONES Y RECOMENDACIONES
ANEXOS
INTRODUCCIÓN Y OBJETIVOS Introducción • Describir los antecedentes y entorno del proyecto. • Partes interesadas • Breve descripción de la empresa o del consutor
Objetivos • Objetivos del Proyecto • Tener en cuenta requerimientos normativos, pej: Circular
042 o la norma PCI.
ALCANCE •
Se deben especificar los tipos de pruebas realizados: Análisis de Vulnerabilidad Pentest Interno o Externo Caja Negra o Caja Blanca Con Credenciales o sin ellas Lugar de ejecución Número de activos, aplicaciones o redes involucradas Tiempo de ejecución Periodicidad de las pruebas • • • • •
• • • •
METODOLOGÍA
•
Se especifican las etapas y una descripción de el objetivo de cada una: Descubrimiento y Enumeración Análisis de Vulnerabilidades Pruebas de Penetración Especificar las Herramientas Utilizadas: Nessus, Nikto, Accunetix, etc. Se mencionan las metodologías o guías utilizadas: Metodología del EC-Council OSSTMM OWASP • • •
•
•
•
• • •
RESULTADOS Gráficas: Distribución de Vulnerabilidades de acuerdo a su criticidad. Servidores mas vulnerables Puertos mas Vulnerables Vulnerabilidades mas comunes Clasificación por tipo de Vulnerabilidad: Parches de Sistema operativo Configuraciones por Defecto Vulnerabilidades de Productos, entre otros •
• • • •
• • •
• • •
•
Detalle técnico de los resultados obtenidos en cada etapa Inventario y descripción de información obtenida en la etapa de descubrimiento Inventario de Vulnerabilidades encontradas con descripción, código CVE, puntaje CVSS, información adicional, links de referencia, recomendaciones de remediación. Evidencia de resultados de penetración. APOYARSE EN LOS ANEXOS
CONCLUSIONES Y RECOMENDACIONES • • • •
Análisis de Resultados Discusión de los aspectos mas relevantes Principales problemas o situaciones críticas Recomendaciones de Remediación -> no es una lista de lo que entregan los reportes de las herramientas, es el resultado de un análisis global de los resultados y una guía de cuál es el mejor camino a seguir. (Acciones mas contundentes y de menor costo).
ANEXOS Compilado del detalle técnico
Tablas dinámicas
Archivos de Excel
INFORME EJECUTIVO Contiene las mismas secciones que el informe ejecutivo, pero se presentan resultados resumidos y ejecutivos. INTRODUCCIÓN
OBJETIVOS
Es recomendable usar nombres de aplicaciones en lugar de direcciones ip o describir los servidores de acuerdo a los servicios que presta, pej.
ALCANCE
METODOLOGÍA
RESULTADOS
CONCLUSIONES Y RECOMENDACIONES
También se usan gráficas estadísticas pero de aspectos generales como la cantidad de vulnerabilidades, número de equipos comprometidos, facilidad de la explotación, etc Los resultados se deben presentar en términos del nivel de riesgo y del tipo de consecuencias para la organización.
View more...
Comments