Muchas veces, en mesas de trabajo afines a seguridad de la información se escuchan los términos test de intrusión, penetration test, ethical hacking, vulnerability assessment y, muchas veces, también se cree estar hablando de todos los anteriores como uno mismo, cuando en realidad existen diferencias que van mucho mas allá del idioma y la fonética.
No existe un único tipo de análisis de seguridad. Es decir, más allá de que tengan similares características y etapas en común, generalmente varían en su alcance y profundidad.
Vulnerability Assessment
Análisis y pruebas relacionadas con la identificación de puertos abiertos, servicios disponibles y
vulnerabilidades conocidas en los sistemas de información objetivos, las mismas incluyen, a su vez,
verificaciones manuales y automáticas de falsos positivos, esto permite identificación de los puntos
débiles de la red y análisis profesional individualizado. Es un tipo de análisis que busca identificar e
informar fallas en los dispositivos y en los procesos tecnológicos. Lo mas importante a destacar es que
este tipo de análisis no incluye, bajo ningún punto, las etapas relacionadas con la explotación de las
vulnerabilidades identificadas, sino que solo trabaja sobre la correcta identificación de las mismas.
Penetration Test
Se caracteriza por tener un objetivo definido que finaliza cuando el mismo es alcanzado o el tiempo
pautado para el desarrollo del análisis se agota. Es un tipo de análisis de seguridad que posee, en sus
etapas iniciales, las mismas características que tiene un vulnerability assessment, pero con la
diferencia de que no solo trata de identificar e informar las debilidades, sino que también intenta
explotarlas a fin de verificar fehacientemente los niveles de intrusión a los que se expone el sistema
de información analizado.
Ethical Hacking
Aquí, esencialmente “todo es un objetivo”, el propósito es analizar íntegramente la seguridad de los
sistemas de información utilizando –incluso- técnicas de ingeniería social con el fin de descubrir
cuáles son las debilidades que podrían llegar a afectar a una organización, mediante las explotaciones
de vulnerabilidades del factor humano, o bien, mediante la realización de pruebas para la verificación
de los controles de acceso físico.
Conceptos Generales
Independientemente del tipo de análisis de seguridad, existen conceptos y variables comunes entre si.
Posicionamiento
- Posicionamiento externo.
- Posicionamiento interno.
Perfil Emulado
- Usuario sin privilegios.
- Usuario con privilegios.
- Tercero ajeno a la organización con acceso físico a la misma.
- Tercero ajeno a la organización sin acceso físico a la misma.
- Usuario con conocimiento técnico avanzado.
- Usuario con conocimiento técnico básico.
El objetivo de estos párrafos fue definir sucintamente las diferencias que existen entre los distintos
análisis de seguridad, con el objetivo de poder identificar mejor, en base las necesidades de su
organización, cuál es el análisis de seguridad que más aplica en un determinado momento de tiempo.
Entrgales
Independientemente del tipo de análisis de seguridad que se realice, el aspecto mas importante a través
del cual se percibe el valor del servicio es el entregable, es por esta razón que en Root-Secure ponemos
un extra de valor en esta etapa con el fin de volcar en el, toda nuestra experiencia.
Sabemos que estamos entregando es información y lo que debemos hacer es concentrarnos en cuál es el
verdadero valor de esta información para quien la recibe. Con ella, algunas personas van a poder
realizar una tarea, otras, tomar una decisión, mientras que otras, simplemente estar informadas.
Informe Ejecutivo
El mismo estará compuesto por:
- Introducción.
- Objetivo.
- Alcance de las tareas realizadas.
- Sumario hallazgos (Formato Gráfico Ejecutivo).
- Principales fortalezas.
- Principales debilidades.
- Recomendaciones.
- Conclusión.
Informe Técnico
El mismo estará compuesto por:
- Introducción.
- Objetivo.
- Alcance de las tareas realizadas.
- Sumario hallazgos (Formato Gráfico Técnico).
- Principales fortalezas.
- Principales debilidades identificadas (Óptica Criticidad).
- Principales debilidades identificadas (Óptica Impacto).
- Recomendaciones.
- Conclusión.
- Detalle de las herramientas utilizadas.
Presentación Final
La misma estará compuesto por:
- Exposición Oral y Conclusiones ante Directores.
- Exposición Oral y Conclusiones ante Personal Técnico.
Consideramos que uno de los aspectos importantes de los análisis de seguridad es que las pruebas que se
realizan durante el mismo sean repetibles, es por esa razón que entregaremos toda la información
detallada y dividida en categorías, como así también, las herramientas gratuitas divididas por
categorías asociadas a las etapas del servicio profesional realizado.