¿Quién ganará la batalla de piratas y ninjas? Lo sé, piensas: "¿Qué demonios tiene esto que ver con la seguridad?" Siga leyendo para averiguarlo, pero primero elija: ¿Piratas o Ninjas?
Antes de tomar esa decisión, debe conocer sus fortalezas y debilidades:
Piratas |
|---|
| Fortalezas | Debilidades |
| Poderosa | Fuerte |
| Bueno en ataques de fuerza bruta | Borracho (algunos piensan que esto podría ser una ventaja) |
| Bueno en robo | Puede ser descuidado |
| Largo alcance | |
Ninja |
|---|
| Fortalezas | Debilidades |
| Rápido | Sin armadura |
| Reservado | Pequeño |
| Llamado a enseñar | |
| Maestros cuerpo a cuerpo | |
Todo se reduce a lo que es más útil en una situación dada. Si está buscando un tesoro en una isla perdida y corre el riesgo de encontrarse con la flota de Su Majestad, probablemente no necesitará un ninja. Si está preparando un intento, entonces los piratas no son en los que puede confiar.
La misma historia con pentest y redtime. Ambos enfoques tienen fortalezas y debilidades, lo que hace que uno de ellos sea más preferible dependiendo de las condiciones. Para aprovecharlo al máximo, debe identificar los objetivos y luego decidir qué funciona mejor para ellos.
Prueba de penetración
Pentest generalmente se confunde con otros métodos de evaluación de seguridad: búsqueda de vulnerabilidades y corrección. Pero aunque estos enfoques tienen componentes comunes, todavía son diferentes y deberían usarse en diferentes contextos.
De hecho, este objetivo es identificar el número máximo de vulnerabilidades y errores de configuración en el tiempo asignado, así como su operación para determinar el nivel de riesgo. Esto no tiene que incluir una búsqueda de productores de granos, a menudo es una búsqueda de vulnerabilidades abiertas conocidas. Como en el caso de la búsqueda de vulnerabilidades, el pentest está diseñado para identificar vulnerabilidades y verificar errores del primer tipo (falsos positivos).
Sin embargo, durante el pentest, el examinador va más allá, tratando de explotar la vulnerabilidad. Esto se puede hacer de muchas maneras, y cuando se aprovecha la vulnerabilidad, un buen pentester no se detiene. Continúa buscando y explotando otras vulnerabilidades, combinando ataques para lograr el objetivo. Todas las organizaciones establecen estos objetivos de diferentes maneras, pero generalmente incluyen acceso a datos personales, información médica y secretos comerciales. A veces esto requiere acceso al nivel de administrador de dominio, pero a menudo puede prescindir de él, o incluso el acceso a este nivel no es suficiente.
¿Quién necesita un pentest? Algunas agencias gubernamentales lo exigen, pero las organizaciones que ya realizan auditorías internas regulares, capacitación y monitoreo de seguridad generalmente están listas para tal prueba.
Evaluación del equipo rojo
Redtimeing es muy parecido a un pentest, pero más centrado. El objetivo del equipo rojo no es encontrar el número máximo de vulnerabilidades. El objetivo es probar la capacidad de la organización para detectar y prevenir intrusiones. Los atacantes obtienen acceso a información confidencial de cualquier manera posible, tratando de pasar desapercibidos. Emulan ataques dirigidos por un atacante similar a
APT . Además, el tiempo rojo, como regla, es más largo que el pentest. Pentest generalmente toma 1-2 semanas, mientras que el tiempo rojo puede durar 3-4 semanas o más, involucrando a varias personas.
Durante el tiempo rojo, no se buscan montones de vulnerabilidades, sino solo aquellas que son necesarias para lograr el objetivo. Los objetivos suelen ser los mismos que con el pentest. Durante el redimming, se utilizan métodos como la ingeniería social (física y electrónica), ataques a redes inalámbricas, activos externos, etc. Dichas pruebas no son para todos, sino solo para organizaciones con un nivel maduro de seguridad de la información. Dichas organizaciones generalmente ya han pasado los pentests, han reparado la mayoría de las vulnerabilidades y ya tienen experiencia en oponerse con éxito a las pruebas de penetración.
Redtimeting puede tener lugar de la siguiente manera:
Un miembro del equipo rojo disfrazado de cartero entra al edificio. Una vez dentro, conecta el dispositivo a la red interna de la organización para acceso remoto. El dispositivo establece un túnel de red utilizando uno de los puertos permitidos: 80, 443 o 53 (HTTP, HTTPS o DNS), proporcionando un canal C2 para el comando rojo. Otro miembro del equipo, utilizando este canal, comienza a avanzar a través de la infraestructura de red, utilizando, por ejemplo, impresoras sin protección u otros dispositivos que ayudarán a ocultar el punto de penetración en la red. Por lo tanto, el equipo rojo explora la red interna hasta que alcanza su objetivo, tratando de mantenerse por debajo del radar.
Este es solo uno de los muchos métodos que puede usar el equipo rojo, pero es un buen ejemplo de algunas de las pruebas que realizamos.
Entonces ... ¿piratas o ninjas?
Volvamos a los piratas contra el ninja. Si asumiste que los pentesters son piratas y los redimers son ninjas, has acertado. Cual es mejor? A menudo, estas son las mismas personas que utilizan diferentes métodos y técnicas para diferentes exámenes. La verdadera respuesta para encontrar lo mejor es la misma que en el caso de piratas y ninjas: no necesariamente alguien mejor. Cada uno es más útil en ciertas situaciones. No necesitas piratas para operaciones encubiertas, ni ninjas para arar los mares en busca de tesoros. Tampoco vale la pena usar un pentest para evaluar la respuesta a incidentes y redtime para encontrar vulnerabilidades.