Hacking Etico

Hacking Ético

Ethical Hacking

Alfio Saglimbeni
19-01-2020
Hacking Etico
Fases del "Hacking Ético"
Seguridad de la información en 5 fases  
Los Administradores de Sistemas soportaban una carga sobre sus hombros para nada envidiable, ya que por lo menos debe sospechar que sus sistemas pueden ser objeto de ataques informáticos. Las organizaciones y empresas pueden y deben solicitar que se les realice “Test de Intrusión”, “Pruebas de penetración”, “Pentesting”, “Hacking Ético” o “Ethical Hacking” de forma periódica, las mismas deben ser realizadas por entes externos a los Administradores de Sistemas.

El proceso del “Hacking Ético”, consta de varias fases; pero previo a la ejecución de estas se debe concordar entre ambas partes (cliente y prestador de servicio) lo que es el alcance del trabajo a realizar (Cuentas claras conservan amistades y evitan visitas a los juzgados), el resultado de esta fase previa es un documento donde se expresa de forma clara y precisa, cuál es el objetivo general, los objetivos específicos y metas de las pruebas. Ahora listaremos cada una de las fases de una prueba de penetración.

Fase 1 Reconocimiento o Descubrimiento:

Está fase preparatoria implica la recolección de información sobre el objetivo, es en ésta que el “Hacker”, utiliza varias técnicas para investigar y recolectar toda la información necesaria de su objetivo. El atacante puede usar técnicas pasivas o activas.

Fase 2 Análisis de Vulnerabilidad o Escaneo.

Realizada la recopilación de la información en la fase anterior, el Hacker, la usa para examinar la red e identificar las posibles vulnerabilidades específicas que pueda descubrir si las hubiese.

Fase 3 Obtener Acceso o Intrusión.

En esta fase el atacante o Hacker inicia la apropiación del sistema o por su término en inglés “Owning the System”. Es cuando se explotan las vulnerabilidades que fueron expuestas en las fases anteriores de reconocimiento y escaneo, es aquí que el atacante le demuestra al cliente que sus sistemas son vulnerables y que pueden ser víctimas de intrusión por parte de terceros.

Fase 4 Informe
Esta es la primera diferencia que encontramos entre un “Hacking Ético” y un ataque no autorizado, en este último mencionado, el Hacker tratará de mantener el acceso vulnerado. En un “Hacking Ético”, el Hacker iniciará la redacción de sendos informes, uno técnico y otro ejecutivo.

El primero va dirigido esencialmente al personal de Tecnología de la Información y Comunicaciones (TIC) y / o Seguridad de la Información (SSII), en este se plantea de forma muy técnica y específica qué vulnerabilidades se encontraron, si las mismas fueron explotadas y finalmente que solución se debe implementar para solventar o minimizar la misma.

El segundo legajo va dirigido a dueños de la empresa explicando no tan técnicamente, qué problemas se encontraron, qué riesgo implica mantener esta vulnerabilidad y cuál fue la solución planteada al personal de TIC y SSII, ya que estos son exclusivamente los que deben de implementarla.

Fase 5 Remediación

Esta última fase del “Hacking Ético” generan las “Guías de Remediación”, este informe debe estar delimitado al contexto de la Empresa que contrata los servicios.

Se debe establecer un balance muy bien definido entre a.) ¿Cuál es la severidad de las vulnerabilidades que fueron encontradas?, b.) ¿Qué tan fácil pudo o pudieron ser explotadas? y c.) ¿Qué tan críticos son los activos donde se encontraron las vulnerabilidades? Para complementar lo anterior el mejor ejemplo, es expresar que para un Cliente no es igual aplicar un parche de seguridad a un servidor usado como ambiente de Calidad o Pruebas, que aplicar un parche de seguridad en un servidor de Producción en el que se aloja una aplicación crítica como la nómina.

Las guías no deben ser un simple listado de las vulnerabilidades y acciones específicas recomendadas por el fabricante, pues algunas de estas acciones pudieran no tener factibilidad operativa o económica.

Deben incluir las posibles recomendaciones que tienen que estar basadas en experiencia del Proveedor del servicio de “Hacking Ético” y su conocimiento del entorno del Cliente, estas recomendaciones se basan en tecnologías o procesos que se usarán para la remediación de las vulnerabilidades.

En Crowe Venezuela te podemos prestar estos servicios

#SeguridadDeLaInformación #CyberSeguridad #PruebasDePenetracion #PenetrationTesting  #EthicalHacking #HackingEtíco #TestdeIntrusión