Pen Testing - Advance

¿Y qué dicen las metodologías de estos “pent testing basics”? Pues que quizás sea eso lo que se haga (en cierta forma) en la mayoría de las empresas. Pero que ni mucho menos es lo que se debería de hacer, existen multitud de cosas que un test de intrusión debe comprobar y estas no solo afectan a sistemas en producción. Ahí están la OSSTMM (V3) y OWASP (V3) con sus cientos de folios indicando metodologías de trabajo en los Pen-Test, y es que de la teoría a la práctica hay un trecho bastante grande que creo que esta imagen simboliza muy bien:

Y es que no es lo mismo saber que X aplicaciones tienen tantas vulnerabilidades y que el firewall de entrada a la DMZ de tu cliente tiene abiertos los puertos http / https, smtp, dns, 53748 y alguno del emule que saber todo eso y que hay dos directores generales que están buscando trabajo en Xing (eso es un riesgo también, ¿no?), que la puerta de entrada a las oficinas tiene un candadito que se abre con un imperdible y que el que es el producto estrella de su compañía (ultra patentado y ultra protegido) está documentado y disponible en una carpeta compartida del director general. De ahí que por ejemplo OSSTMM tenga su “molinico de la mancha” para determinar los dominios de un Pen – Test completito:

Pero esto no es todo, nuestra compañera OWASP establece directrices “pen test” en el ciclo de vida del desarrollo (lo que conocemos ahora como ciclo de desarrollo seguro):

Phase 1: BEFORE DEVELOPMENT BEGINS.

PHASE 1A: REVIEW POLICIES AND STANDARDS

PHASE 1B: DEVELOP MEASUREMENT AND METRICS CRITERIA

Phase 2: DURING DEFINITION AND DESINGS

PHASE 2A: REVIEW SECUTIRY REQUIREMENTS

PHASE 2B: REVIEW DESIGN AND ARCHITECTURE

PHASE 2C: CREATE AND REVIEW UML MODELS

PHASE 2D: CREATE AND REVIEW THREAT MODELS

Phase 3: DURING DEVELOPMENT

PHASE 3A: CODE WALKTHROUGHS

PHASE 3B: CODE REVIEWS

Phase 4: DURING DEPLOYMENT

PHASE 4A: APPLICATION PENETRATION TESTING

PHASE 4B: CONFIGURATION MANAGEMENT TESTING

Phase 5: MAINTENANCE AND OPERATIONS

PHASE 5A: CONDUCT OPERATIONAL MANAGEMENT REVIEWS

PHASE 5B: CONDUCT PERIODIC HEALTH CHECKS

PHASE 5C: ENSURE CHANGE VERIFICATION

Pero como las ofertas Carrefour, ¡Esto no es todo! Existe una metodología orientada exclusivamente a seguridad de aplicaciones (ISSAF) que divide la seguridad en:

1.- Network Security

2.- Host Security

3.- Application Security

4.- Database Security

Que parece que está muy escuchimizá, aunque adentra mucho en la parte técnica ya que indica los ataques que se pueden realizar, lo que se espera obtener de esos ataques, que herramientas utilizar, y algún ejemplo:

Por tanto los “Pen Testing Advance” no tienen nada que ver con los “Pen Testing Basic” de los que hablaba hace unos días, ¿ahora bien, qué es lo que quiere nuestro cliente?, ¿Por cuánto tiempo es válida una auditoria OSSTMM?

Salu2!