Prueba de penetración: ¿qué y por qué?
La prueba de penetración es un método para evaluar la seguridad de los sistemas informáticos o las redes de datos mediante la simulación del ataque de un intruso, que generalmente forma parte de la auditoría de seguridad de la información de una organización. ¿Cuál es el método especificado de evaluación de la seguridad, es obligatorio, cómo organizarlo con el máximo efecto?
¿Qué es la prueba de penetración?
Las pruebas de penetración, como norma, son parte de una auditoría de seguridad de la información y se refieren al llamado análisis activo que complementa el análisis «pasivo» de las vulnerabilidades del sistema de información, realizado con la ayuda de herramientas: los escáneres de seguridad.
El propósito de las pruebas de penetración es evaluar la capacidad de un atacante para realizar con éxito un ataque (incluido uno específico) en un sistema de información y sus consecuencias, y sus tareas son las siguientes:
- identificar las deficiencias en las medidas de seguridad utilizadas en el sistema de información y evaluar la posibilidad de su uso por parte del infractor;
- obtener, sobre la base de evidencia objetiva, una evaluación del nivel actual de seguridad;
- demostración práctica del uso de vulnerabilidades;
- Desarrollo de recomendaciones para eliminar las vulnerabilidades identificadas y las deficiencias para mejorar el nivel de seguridad.
Durante las pruebas de penetración, el comportamiento de un intruso potencial que realiza un ataque activo en el sistema se modela explotando las vulnerabilidades identificadas durante el ataque. El resultado de las pruebas, como norma, es un informe que contiene todas las vulnerabilidades de seguridad de la información encontradas y recomendaciones para su eliminación.
Como regla general, cuando se realizan pruebas de penetración, se modela el comportamiento de los siguientes tipos de delincuentes:
- Un intruso externo calificado: actúa desde el exterior, de hecho penetra en el sistema en el punto de conexión a la red de acceso público (intercambio internacional), no tiene privilegios (por ejemplo, derechos de usuario) y realiza ataques dirigidos a obtener acceso no autorizado a los recursos del sistema de información o nodos de red Transmisión de datos, el llamado modelo de caja negra.
- Un intruso externo calificado que tiene privilegios de usuario en el sistema: actúa desde el exterior, de hecho, penetra en el sistema en el punto de conexión a la red de acceso público (intercambio internacional) y realiza ataques dirigidos a elevar los privilegios y obtener acceso no autorizado a los recursos del sistema de información o los nodos de la red. transferencia de datos, no se proporciona para su función (por ejemplo, un intento de obtener derechos de administrador), el llamado modelo de caja gris.
- Un intruso interno calificado, que tiene privilegios de usuario en el sistema, actúa dentro del sistema de información y realiza ataques dirigidos a elevar los privilegios y obtener acceso no autorizado a los recursos del sistema de información o a los nodos de la red de datos que no se proporcionan para su función, el llamado modelo de caja blanca.
¿Por qué y quién necesita la prueba de penetración?
El enfoque clásico estándar para la protección de la información procesada en los sistemas de información se basa en una evaluación hipotética del comportamiento de un intruso potencial, el modelado de amenazas y la construcción de un sistema de protección basado en ellos. En este caso, la simulación del comportamiento del delincuente en relación con un sistema de información que realmente funciona, como regla general, no se utiliza. De ahí el problema conocido desde hace mucho tiempo: las medidas de seguridad aplicadas en muchos casos no pueden proporcionar una protección efectiva del sistema de información, a pesar del hecho de que, según la documentación, todo es perfecto (el predominio de la «seguridad del papel»).
Teniendo esto en cuenta, según el autor, las pruebas de penetración son necesarias para cualquier sistema de información, pero sobre todo para un sistema de información que sea objeto de una infraestructura de información crítica 1 .
Por lo tanto, a pesar de que ahora es un requisito obligatorio para las pruebas de penetración en la legislación vigente hasta que el 2 no se formula, en opinión del autor, sin llevar a cabo una simulación de la formación de un ataque contra el sistema de información y su reflejo éxito casi no puede hablar acerca de la idoneidad de las medidas adoptadas proteccion
¿Cómo organizar efectivamente la prueba de penetración?
Las recomendaciones descritas en esta sección incluyen, en primer lugar, los problemas de gestión relacionados con la organización de la realización de pruebas de penetración en organizaciones basadas únicamente en la experiencia del autor.
Lo primero que debe determinarse en el proceso de organización de las pruebas de penetración es quién lo realizará: TI propio, especialistas en seguridad de la información o externos. Según el autor, en la mayoría de los casos, las pruebas de alta calidad pueden ser realizadas por un especialista que tenga las calificaciones CEH (Hacker ético certificado) o OSCP (Profesional certificado en seguridad ofensiva), confirmado por un certificado apropiado.
La falta de estos especialistas provoca el alto costo de la remuneración, lo que, cuando se pregunta sobre la conveniencia de mejorar las calificaciones de los especialistas en seguridad de la información dentro de la organización (el autor se enfrentó a esta pregunta) conduce a una respuesta negativa, porque existe una alta probabilidad de que tal especialista vaya a un integrador para obtener salarios más altos y mejores condiciones de trabajo.
El siguiente paso después de decidir quién realizará las pruebas de penetración es determinar qué métodos se utilizarán: cuadro negro, cuadro gris, cuadro blanco o un método de combinación.
Según el autor, las razones de la escasez en el mercado laboral de especialistas con calificaciones similares son las peculiaridades del sistema de capacitación de especialistas en el campo de la seguridad de la información en instituciones de educación profesional superior y secundaria. En la actualidad, prácticamente no hay instituciones educativas que capaciten a especialistas con un sesgo en seguridad informática (ciberseguridad), así como programas relevantes y estándares de capacitación en el campo de «Seguridad informática» (a saber, «computadora», no «información») .
En esta etapa, es necesario analizar el modelo actual del delincuente para identificar las categorías más probables de intrusos para un sistema de información en particular. Debe tenerse en cuenta que, según las estadísticas oficiales, el infractor interno es el más común y el más peligroso. Al mismo tiempo, no siempre es necesario entender a un empleado de una organización como un infractor interno. En los sistemas de información corporativa, un empleado (representante) de una contraparte que tiene acceso legal (autorizado) a un sistema de información a menudo puede actuar como un infractor interno. Por ejemplo, el autor ha trabajado durante muchos años en el sistema de seguro de salud obligatorio, donde los sistemas de información corporativa tienen la siguiente peculiaridad: Los sistemas de información de los fondos de seguro de salud obligatorio territorial tienen acceso autorizado para los empleados de instituciones médicas y organizaciones de seguro de salud en parte de sus segmentos. Al mismo tiempo, hay casos frecuentes cuando un infractor interno específico (es decir, uno interno, dado que el círculo de sujetos es limitado, tienen acceso autorizado a los recursos del sistema de información y se conectan a través de canales de comunicación seguros) que intentan ampliar sus privilegios (para ingresar al segmento de otra persona).
Después de determinar los métodos para realizar las pruebas de penetración, puede comenzar el procedimiento en sí. En esta etapa, en el caso de atraer expertos externos, es necesario monitorear el progreso del trabajo, porque su conducta en algunos casos puede llevar a un mal funcionamiento del sistema. Típicamente, los trabajos de prueba de penetración incluyen los siguientes pasos:
- Recopilación y análisis de información sobre el sistema de información. En esta etapa, se exploran los puertos del recurso investigado y se identifican los servicios, servicios y herramientas de seguridad disponibles. Como regla general, utiliza varios escáneres de seguridad, tanto comerciales como de distribución gratuita. La exploración puede afectar el funcionamiento del sistema de información y, en algunos casos, provocar un mal funcionamiento de sus componentes. Por lo tanto, en esta etapa, es necesario monitorear el escaneo y estar listo para normalizar el funcionamiento de los componentes del sistema en caso de violación.
- Identificación de vulnerabilidades. En esta etapa, se identifican las formas de explotar las vulnerabilidades y se evalúan los riesgos de su uso. Antes de comenzar la autoevaluación de la penetración, es necesario predecir qué consecuencias puede tener la explotación de esta o aquella vulnerabilidad.
- La implementación del ataque. Esta etapa, en esencia, es la prueba de penetración en sí misma, que consiste en ejecutar código arbitrario en el lado del servidor, obtener derechos para leer o escribir archivos, obtener acceso a bases de datos o información privada. Al igual que en la etapa de exploración, en esta etapa es posible un fallo de los componentes del sistema de información.
- Análisis del progreso de las pruebas de penetración y redacción de informes. En esta etapa, la fusión y ordenación de la información obtenida en el proceso de prueba. Se compila un informe que contiene un informe de revisión, un informe sobre las vulnerabilidades detectadas, una conclusión sobre el estado de la seguridad de la información del recurso en estudio y un plan para eliminar las vulnerabilidades identificadas.
La etapa final de las pruebas de penetración es el desarrollo de un plan de acción para eliminar las vulnerabilidades de seguridad del sistema de información identificadas. Las medidas específicas para eliminar las vulnerabilidades se desarrollan sobre la base del informe obtenido de los resultados de las pruebas, teniendo en cuenta los aspectos específicos del sistema de información, por lo tanto, no es posible dar recomendaciones concretas en esta parte. La única propuesta que el autor desea hacer es realizar una prueba de penetración posterior después de completar las medidas para eliminar las vulnerabilidades identificadas con el fin de garantizar su eliminación.