Pruebas de Penetración
Páginas: 11 (2666 palabras)
Publicado: 20 de agosto de 2013
Instituto Universitario Tecnológico Américo Vespucio
Seguridad en Tecnología Informática y Telecomunicaciones (STIT)
Prof: Vincenzo Mendillo
Informe de Copias de Pruebas de Penetración (Básico)
Realizado por: Julio Escalona
Email: escalonajj31@gmail.comCI: 18.599.686
Agosto 2013
Introducción
Prueba de penetración. Es la mejor opción para evidenciar debilidades y vulnerabilidades de una manera segura. También llamado a veces "hacking ético" es una evaluación activa de las medidas de seguridad de la información. En los entornos de red complejos actuales, la exposiciónpotencial al riesgo es cada vez mayor y proteger los sistemas se convierte en un auténtico reto. A través del Test de Penetración es posible detectar el nivel de Seguridad Interna y Externa de los Sistemas de Información de la empresa, determinando el grado de acceso que tendría un atacante con intenciones maliciosas. Además, el servicio chequea las vulnerabilidades que pueden ser vistas y explotadaspor individuos no autorizados, "crackers", agentes de información, ladrones, antiguos empleados, competidores, etc.
Servicios de Test de Penetración
Evaluar vulnerabilidades por medio de la identificación de debilidades de configuración que puedan ser explotadas.
Analizar y categorizar las debilidades explotables basadas en el impacto potencial y posibilidad de ocurrencia.
Proveerrecomendaciones priorizadas para mitigar y eliminar las debilidades.
Riesgos de las pruebas de penetración
DISPONIBILIDAD. Durante la aplicación de las pruebas es necesario minimizar el peligro de interrupciones no programadas en servicios o procesos. Para esto, es necesario calendarizar las irrupciones de alto riesgo, desarrollar un plan de respaldo y conformar un equipo de respuesta capaz deactuar con rapidez. Además, debe determinarse con toda claridad qué probar y qué no. Tal es el caso de hardware y aplicaciones obsoletas, aplicaciones críticas, equipo sin respaldo –o carente de un plan de contingencia– y sistemas fáciles de colapsar cuando se examinan.
CONFIDENCIALIDAD. Para evitar que se pierda o fugue el contenido valioso durante el desarrollo de las pruebas, debe establecerseclaramente qué pueden copiar o leer quienes las ejecuten. Asimismo, conviene hacer un cambio completo de códigos de acceso al final de los ejercicios de penetración y establecer algunas prohibiciones, como: no copiar ni leer correo electrónico o información de bases de datos o archivos. Sobre este punto es de vital importancia involucrar a todas aquellas áreas que están más relacionadas con el coredel negocio, por lo que la metodología a emplear y sus límites dependen siempre del giro de la empresa, el grado de profundidad de las pruebas y el análisis requerido. En este marco, debe privilegiarse la firma de acuerdos de secrecía en los contratos y dar prioridad a la honestidad de los consultores.
INTEGRIDAD Y RESPONSABILIDAD. Durante el desarrollo de las pruebas, las empresas deben reduciral mínimo la probabilidad de alteraciones en aplicaciones o datos. Por lo tanto, entre las prohibiciones a fijar a quienes las ejecutarán están: no instalar jamás puertas traseras (back doors), ni ocultar soluciones de acceso remoto (bots, troyanos, rootkits y demás); no borrar, alterar o inhabilitar registros y, desde luego, no apagar o modificar el comportamiento de las herramientas de detecciónestablecidas. Un punto muy importante en todo esto es registrar quién hace qué, para evitar abuso de terceras partes en los Pen Tests, así como dejar claro que no deben eliminarse u ocultarse los rastros de las pruebas. Este proceso implica también autenticar a los consultores, con el propósito de identificarlos claramente en los sistemas evaluados.
RIESGOS DE CONTRATO. Este tipo de incidentes...
Seguridad en Tecnología Informática y Telecomunicaciones (STIT)
Prof: Vincenzo Mendillo
Informe de Copias de Pruebas de Penetración (Básico)
Realizado por: Julio Escalona
Email: escalonajj31@gmail.comCI: 18.599.686
Agosto 2013
Introducción
Prueba de penetración. Es la mejor opción para evidenciar debilidades y vulnerabilidades de una manera segura. También llamado a veces "hacking ético" es una evaluación activa de las medidas de seguridad de la información. En los entornos de red complejos actuales, la exposiciónpotencial al riesgo es cada vez mayor y proteger los sistemas se convierte en un auténtico reto. A través del Test de Penetración es posible detectar el nivel de Seguridad Interna y Externa de los Sistemas de Información de la empresa, determinando el grado de acceso que tendría un atacante con intenciones maliciosas. Además, el servicio chequea las vulnerabilidades que pueden ser vistas y explotadaspor individuos no autorizados, "crackers", agentes de información, ladrones, antiguos empleados, competidores, etc.
Servicios de Test de Penetración
Evaluar vulnerabilidades por medio de la identificación de debilidades de configuración que puedan ser explotadas.
Analizar y categorizar las debilidades explotables basadas en el impacto potencial y posibilidad de ocurrencia.
Proveerrecomendaciones priorizadas para mitigar y eliminar las debilidades.
Riesgos de las pruebas de penetración
DISPONIBILIDAD. Durante la aplicación de las pruebas es necesario minimizar el peligro de interrupciones no programadas en servicios o procesos. Para esto, es necesario calendarizar las irrupciones de alto riesgo, desarrollar un plan de respaldo y conformar un equipo de respuesta capaz deactuar con rapidez. Además, debe determinarse con toda claridad qué probar y qué no. Tal es el caso de hardware y aplicaciones obsoletas, aplicaciones críticas, equipo sin respaldo –o carente de un plan de contingencia– y sistemas fáciles de colapsar cuando se examinan.
CONFIDENCIALIDAD. Para evitar que se pierda o fugue el contenido valioso durante el desarrollo de las pruebas, debe establecerseclaramente qué pueden copiar o leer quienes las ejecuten. Asimismo, conviene hacer un cambio completo de códigos de acceso al final de los ejercicios de penetración y establecer algunas prohibiciones, como: no copiar ni leer correo electrónico o información de bases de datos o archivos. Sobre este punto es de vital importancia involucrar a todas aquellas áreas que están más relacionadas con el coredel negocio, por lo que la metodología a emplear y sus límites dependen siempre del giro de la empresa, el grado de profundidad de las pruebas y el análisis requerido. En este marco, debe privilegiarse la firma de acuerdos de secrecía en los contratos y dar prioridad a la honestidad de los consultores.
INTEGRIDAD Y RESPONSABILIDAD. Durante el desarrollo de las pruebas, las empresas deben reduciral mínimo la probabilidad de alteraciones en aplicaciones o datos. Por lo tanto, entre las prohibiciones a fijar a quienes las ejecutarán están: no instalar jamás puertas traseras (back doors), ni ocultar soluciones de acceso remoto (bots, troyanos, rootkits y demás); no borrar, alterar o inhabilitar registros y, desde luego, no apagar o modificar el comportamiento de las herramientas de detecciónestablecidas. Un punto muy importante en todo esto es registrar quién hace qué, para evitar abuso de terceras partes en los Pen Tests, así como dejar claro que no deben eliminarse u ocultarse los rastros de las pruebas. Este proceso implica también autenticar a los consultores, con el propósito de identificarlos claramente en los sistemas evaluados.
RIESGOS DE CONTRATO. Este tipo de incidentes...
Leer documento completo
Regístrate para leer el documento completo.