Penetration Testing
Páginas: 12 (2815 palabras)
Publicado: 24 de julio de 2011
Introducción
Una prueba de Penetración es un método de evaluación de la seguridad de un sistema o una red mediante la simulación de un ataque de un origen malicioso, un hacker conocido como Black Hat Hacker, o Cracker. El proceso incluye un análisis activo del sistema de cualquier tipo de vulnerabilidades potenciales que pueden derivarse de una configuración deficiente conocida o ineducada porparte del hardware desconocido o defectos de software o mismo también por las deficiencias operacionales en el proceso o contramedidas técnicas. Este análisis se realiza desde la posición de un potencial atacante, y puede implicar la explotación activa de vulnerabilidades de seguridad. Problemas de seguridad que se encuentran se presentará al propietario de la red junto con una evaluación de suimpacto y, a menudo con una propuesta de mitigación o una solución técnica. La intención de una prueba de penetración es determinar la viabilidad de un ataque y el impacto en el negocio, producido por un exploit en un ataque exitoso; si este es descubrieto. Es un componente de una auditoría de seguridad completa.
Ethical Hacking
Hacking ético es esencialmente el acto de descubrirvulnerabilidades en una aplicación basada en web antes de publicarla, para que puedan reparadas antes de ser visitada por cualquier persona. Esta función se realizan habitualmente por el equipo de Evaluación de la vulnerabilidad (VA) de las diferentes organizaciones ya sean bancos o proveedores de internet , con el objetivo de salvaguardar a las aplicaciones de cualquier vulnerabilidad antes de que un hackerpueda aprovecharlas. Por lo general las empresas utilizan proveedores para los servicios de hacking ético.
Por ejemplo, un gran banco o proveedor de Internet de gran tamaño pueden utilizar por fuera servicios profesionales para probar sus aplicaciones anuales más importantes, utilizando una firma diferente cada vez. Después de las pruebas EH, se produce un informe que expone todos los resultadosde la prueba que se clasifican junto con los respectivos niveles de gravedad. Entonces, todas las vulnerabilidades se rehabilitan.
La idea de utilizar las diferentes empresas es obtener una perspectiva diferente, ya que las metodologías varían de empresa a empresa, y además por las distintas costumbres de las personas que realizan la prueba. Las personas que lo hacen son profesionales de TI, noson hackers.
Aunque textos publicados, artículos y libros abundan en cómo llevar a cabo EH prueba, casi no hay material disponible para ayudar a las grandes empresas a desarrollar una manera de controlar y aplicar las reparaciones obtenidas de las conclusiones EH.
Black box vs. White box
Las Pruebas de penetración se puede realizar de varias maneras. La diferencia más común es la cantidadde conocimiento de los detalles de la implementación del sistema que poseen los Testers en el momento de realizar la prueba. En Pruebas de caja Negro no se asume ningún conocimiento previo de la infraestructura del sistema. Los testers primero deben determinar la ubicación y extensión de los sistemas antes de comenzar su análisis.
Por otro lado, las pruebas de caja blanca proporcionan a losTesters el conocimiento completo de la infraestructura, a menudo incluyendo diagramas de red, código fuente, y la información de direccionamiento IP. También hay algunas variaciones en el medio, llamadas pruebas de caja gris.
Las pruebas de Penetración pueden clasificarse también como "revelación completa", "divulgación parcial" o "a ciegas" según la cantidad de información proporcionada.
Losbeneficios relativos de estos enfoques son objeto de debate. Las Pruebas de caja Negro simulan un ataque de alguien que está familiarizado con el sistema. Las Pruebas de caja blanca simulan lo que podría suceder durante un "trabajo interno" o después de una "fuga" de información sensible, donde el atacante tiene acceso al código fuente, los diseños de la red, y posiblemente incluso a algunas...
Una prueba de Penetración es un método de evaluación de la seguridad de un sistema o una red mediante la simulación de un ataque de un origen malicioso, un hacker conocido como Black Hat Hacker, o Cracker. El proceso incluye un análisis activo del sistema de cualquier tipo de vulnerabilidades potenciales que pueden derivarse de una configuración deficiente conocida o ineducada porparte del hardware desconocido o defectos de software o mismo también por las deficiencias operacionales en el proceso o contramedidas técnicas. Este análisis se realiza desde la posición de un potencial atacante, y puede implicar la explotación activa de vulnerabilidades de seguridad. Problemas de seguridad que se encuentran se presentará al propietario de la red junto con una evaluación de suimpacto y, a menudo con una propuesta de mitigación o una solución técnica. La intención de una prueba de penetración es determinar la viabilidad de un ataque y el impacto en el negocio, producido por un exploit en un ataque exitoso; si este es descubrieto. Es un componente de una auditoría de seguridad completa.
Ethical Hacking
Hacking ético es esencialmente el acto de descubrirvulnerabilidades en una aplicación basada en web antes de publicarla, para que puedan reparadas antes de ser visitada por cualquier persona. Esta función se realizan habitualmente por el equipo de Evaluación de la vulnerabilidad (VA) de las diferentes organizaciones ya sean bancos o proveedores de internet , con el objetivo de salvaguardar a las aplicaciones de cualquier vulnerabilidad antes de que un hackerpueda aprovecharlas. Por lo general las empresas utilizan proveedores para los servicios de hacking ético.
Por ejemplo, un gran banco o proveedor de Internet de gran tamaño pueden utilizar por fuera servicios profesionales para probar sus aplicaciones anuales más importantes, utilizando una firma diferente cada vez. Después de las pruebas EH, se produce un informe que expone todos los resultadosde la prueba que se clasifican junto con los respectivos niveles de gravedad. Entonces, todas las vulnerabilidades se rehabilitan.
La idea de utilizar las diferentes empresas es obtener una perspectiva diferente, ya que las metodologías varían de empresa a empresa, y además por las distintas costumbres de las personas que realizan la prueba. Las personas que lo hacen son profesionales de TI, noson hackers.
Aunque textos publicados, artículos y libros abundan en cómo llevar a cabo EH prueba, casi no hay material disponible para ayudar a las grandes empresas a desarrollar una manera de controlar y aplicar las reparaciones obtenidas de las conclusiones EH.
Black box vs. White box
Las Pruebas de penetración se puede realizar de varias maneras. La diferencia más común es la cantidadde conocimiento de los detalles de la implementación del sistema que poseen los Testers en el momento de realizar la prueba. En Pruebas de caja Negro no se asume ningún conocimiento previo de la infraestructura del sistema. Los testers primero deben determinar la ubicación y extensión de los sistemas antes de comenzar su análisis.
Por otro lado, las pruebas de caja blanca proporcionan a losTesters el conocimiento completo de la infraestructura, a menudo incluyendo diagramas de red, código fuente, y la información de direccionamiento IP. También hay algunas variaciones en el medio, llamadas pruebas de caja gris.
Las pruebas de Penetración pueden clasificarse también como "revelación completa", "divulgación parcial" o "a ciegas" según la cantidad de información proporcionada.
Losbeneficios relativos de estos enfoques son objeto de debate. Las Pruebas de caja Negro simulan un ataque de alguien que está familiarizado con el sistema. Las Pruebas de caja blanca simulan lo que podría suceder durante un "trabajo interno" o después de una "fuga" de información sensible, donde el atacante tiene acceso al código fuente, los diseños de la red, y posiblemente incluso a algunas...
Leer documento completo
Regístrate para leer el documento completo.