Embed Size (px)
Citation preview
¿Que tipo de Pruebas o Evaluación
de la Seguridad debo hacer?.
Pentest vs VA vs EH
La Seguridad es tan Fuerte, como su Punto mas Débil
Invertir en Seguridad es:
¡Mejorar tu Reputación e Imagen!
Enero 2016:
• ataques a empresas de distribución de electricidad en Ucrania,
basada en correos de phishing dirigido con archivos adjuntos maliciosos, que
instaban a las víctimas a habilitar las macros.
• Finaliza el soporte de Internet Explorer 8, 9 y 10 y de Windows 8.
¿Que pasó en el año 2016?
Febrero 2016:
• Microsoft anuncia la publicación de la nueva versión EMET 5.5, la utilidad
para mitigar la explotación de vulnerabilidades mediante la inclusión de capas
de protección adicionales, incluye soporte para Windows 10 y mejora algunas
mitigaciones.
• Aparición nuevo ransomware, que bajo el nombre de Petya impide el
acceso al disco duro y pide un rescate de más de 300 euros.
• la información de empleados del
Departamento de Justicia de Estados Unidos
fue filtrada por criminales que comprometieron la
base de datos. La información robada y filtrada incluyó
nombres, cargos, números de teléfono y direcciones
de correo electrónico.
• Robo de 81 millones al Banco Central de Bangladésh piratas
informáticos lograron acceder a los sistemas del Banco Central de Bangladésh y
transferir 81 millones de dólares a varios casinos de Filipinas. Un error
ortográfico evitó la catástrofe
¿Que pasó en el año 2016?Marzo 2016:
• Se anuncia la vulnerabilidad DROWN que podría
permitir a un atacante descifrar comunicaciones
seguras con relativa sencillez.
Abril 2016:
• Adobe confirma la existencia de un 0-day en Flash Player que se está
explotando en sistemas con Windows 10 (y anteriores), pocos días después
lo soluciona junto con otras 23 vulnerabilidades que le afectan.
• A través de un comunicado ZDI (Zero Day Initiative) y Trend Micro, Apple
confirma que deja de ofrecer soporte a la versión Windows de QuickTime
incluso dejando graves vulnerabilidades sin corregir. Todo indica que ha
llegado el momento de desinstalar QuickTime para Windows.
• Reportado un acceso no autorizado a la base de datos de la
Comisión Filipina de Elecciones (COMELEC), en abril lo que generó la
pérdida de información personal de todos y cada uno de los votantes en
Filipinas, lo que equivale a 55 millones de personas aproximadamente
• Publicación de información personal de 93 millones de mexicanos,
fallo de configuración MongoDB, en Instituto Nacional Electoral de México,
provocó una difusión masiva de datos personales en el país.
¿Que pasó en el año 2016?
Mayo 2016:
• Una vez más, el software preinstalado vuelve a causar problemas en equipos
Lenovo. En esta ocasión, la herramienta de soporte "Lenovo Solution Center",
preinstalada y activa en millones de portátiles, equipos de escritorio y
tabletas Lenovo, se ve afectada por una vulnerabilidad que podría permitir a
un atacante local elevar sus privilegios en el sistema. Solucionada en Junio.
¿Que pasó en el año 2016?
Junio 2016:
• Lenovo sufre un problema con las aplicaciones preinstaladas. En esta ocasión
el problema reside en "Lenovo Accelerator Application", una aplicación destinada
a acelerar la ejecución de otras aplicaciones Lenovo preinstaladas en
Windows 10. Una vulnerabilidad que podría permitir a atacantes remotos
realizar ataques de hombre en el medio. No se publica actualización y Lenovo
recomienda su desinstalación.
• Lenovo publica una nueva versión de su herramienta de soporte "Lenovo
Solution Center", preinstalada y activa en millones de sus equipos, debido a que
se ve afectada por dos vulnerabilidades que podrían permitir a atacantes
locales ejecutar código arbitrario.
• Un exploit kit llamado Stegano propagándose a través de
publicidades maliciosas en populares sitios de noticias, que tienen
millones de visitantes cada día. Los ataques entran en la categoría del
malvertising, debido a que el código malicioso se distribuye a través de
banners publicitarios maliciosos.
• Publicación de los datos de 154 millones de votantes de EEUU, Los
datos incluían información personal de los electores, como la dirección, el
correo electrónico, el número de teléfono o enlaces a sus redes sociales.
¿Que pasó en el año 2016?
Julio 2016:
• Microsoft publica 11 boletines de seguridad y soluciona 40
vulnerabilidades. Entre las vulnerabilidades corregidas por Microsoft en sus
boletines se incluye una actualización para los componentes del servicio de
cola de impresión de Windows, existente en todos los Windows desde hace
más de 20 años y que puede permitir la propagación de malware en una red.
• Se presenta la vulnerabilidad bautizada como httpoxy que afecta a
varias implementaciones del protocolo CGI.
• un cibercriminal bajo el apodo “Peace” publicó datos de millones
de usuarios de LinkedIn, Tumblr y Myspace en junio, Este ataque tenía a
más de medio millón de millones de contraseñas disponibles en línea.
¿Que pasó en el año 2016?
Agosto 2016:
• Investigadores presentan un conjunto de cuatro nuevas vulnerabilidades,
bautizadas como QuadRooter, que afectan a prácticamente todos los
dispositivos del ecosistema Android. Hasta 900 millones de teléfonos y
tabletas podrían verse afectados.
• Sale a la luz material de exploits usado por Equation Group, grupo vinculado
supuestamente a la NSA. Lo que es cierto es que se incluyen varios 0days
que afectan a dispositivos Cisco y Fortinet
• A finales de mes, un número no concreto de usuarios de Dropbox reciben
una notificación obligando a un cambio de contraseña, noticia que hace
pensar que el popular servicio de almacenamiento ha sido "hackeado".
• Robo de 64 millones en bitcoins a Bitfinex. La cotización del bitcoin
superior cayó un 23% en los días posteriores.
¿Que pasó en el año 2016?
Septiembre 2016:
• Investigadores detectan una nueva muestra de malware para cajeros bancarios,
que bajo el nombre de Ripper parece ser el culpable del robo de 12 millones
de baths (algo más de 310.000 euros) de cajeros en Tailandia.
• Yahoo! motor de búsqueda y proveedor de email fue víctima de un
ataque en el que cerca de 500 millones de clientes les podrían haber
robado sus datos, en septiembre, incluyendo información sensible como
nombres, direcciones de correo electrónico, números de teléfono y
contraseñas con hash
¿Que pasó en el año 2016?
Octubre 2016:
• Investigadores anuncian un grupo de tres vulnerabilidades en el sistema Knox
de Samsung que podrían permitir a un atacante tomar el control total de
smartphones Galaxy S6 y Note 5.
• Se publica un informe sobre los riesgos en el uso de WhatsApp en el que
da a conocer los problemas de seguridad más conocidos y habituales del
conocido programa de mensajería. También ofrece recomendaciones de
seguridad para ayudar a prevenir cualquier posible incidente.
• Ataques DDoS a Dyn, ocurrido en octubre del 2016, cuando fue
interrumpida una serie de sitios web, incluyendo a Twitter, Netflix, PayPal,
Pinterest y PlayStation Network.
• Ataques que apuntan a routers de Brasil, aunque podrían ser
localizados a cualquier otro país. Este ataque aprovechaba el fácil acceso que
brindan los usuarios al dejar las credenciales por defecto en sus routers, o
bien en explotar vulnerabilidades en su firmware.
• Ataque de denegación de servicio (DDoS) a Play Station y Twitter,
entre otros, un ataque de DDoS producido hasta la fecha con dispositivos
de Internet de las cosas (IoT). Producido por la botnet Mirai, compuesta
por cientos de miles de cámaras IP junto a otros dispositivos IoT.
¿Que pasó en el año 2016?
Noviembre 2016:
• Se anuncia que el troyano bancario TrickBot empieza a afectar a bancos
de la Unión Europea, incluyendo bancos irlandeses, británicos y alemanes.
• Microsoft anuncia que a partir de enero 2017 no publicará más boletines de
seguridad, en su lugar la información se ofrecerá a través de una base de
datos (Guía de Actualizaciones de Seguridad o Security Updates Guide)
donde podrá consultarse la información.
• Se detecta una nueva campaña de envío de troyano, esta vez distribuye a
"Sharik". Se Publica un interesante análisis sobre este troyano para Windows
que se inyecta en procesos legítimos y añade entradas al registro necesarias
para mantener persistencia.
• los clientes de Tesco Bank perdieron dinero real cuando cerca de
40.000 cuentas fueron comprometidas en un ciberataque, miles de clientes
perdieron dinero físico que habían depositado en sus cuentas. El banco
reportó que afecto cerca de 9.000 clientes.
¿Que pasó en el año 2016?
Diciembre 2016:
• Se anuncia una nueva campaña de malware que, bajo el nombre de Gooligan,
ha comprometido más de un millón de cuentas de Google, y continúa
creciendo a un ritmo de 13.000 dispositivos infectados al día.
• Se detecta una nueva campaña de phishings que afecta a diversas entidades
europeas, y que como particularidad utiliza una botnet de servidores JBoss
comprometidos.
• Yahoo! sufrió otra masiva brecha En esta ocasión, la compañía anunció
esta vez que cerca mil millones de cuentas de usuarios podrían haber sido
comprometidas.
• SECUESTRO BANCARIO:
¿Que pasó en el año 2016?
22 de octubre, delincuentes cambiaron los registros de nombres de dominios del sistema
de 36 propiedades online del banco.
Tomaron el control de los sitios web de escritorio y móvil, para poder redirigir a los
cliente a sitios de phishing y de los cajeros automáticos y puntos de ventas recolectaron
datos de tarjetas. "todo el banco le pertenecía a los atacante durante ese lapso de tiempo".
lo Ultimo!!Vault 7 es una serie de documentos que WikiLeaks comenzó a lanzar el
7 de marzo de 2017 que detalla actividades de la Agencia Central de
Inteligencia (CIA) para ejercer vigilancia electrónica y guerra
informática. con la capacidad de:
• comprometer televisores inteligentes , conseguido infectar Smart TVs
para que, incluso estando apagadas, funcionen como micrófonos y, tras
grabar las conversaciones que se desarrollan en la sala donde se encuentran,
las retransmitan a un servidor de la agencia de espionaje
• los sistemas operativos de teléfonos
inteligentes (incluyendo iOS de Apple y Android
de Google), sortear el cifrado de WhatsApp, Signal,
Telegram, Wiebo, Confide y Cloackman y recibir
cualquier información de móviles 'hackeados' a
distancia.
• Sistemas operativos como Windows, macOS y Linux.1 Routers
• Sistemas de Control de Vehículos,
• Herramientas desarrolladas para ejecutarse por "proximidad", con
la posibilidad de entrar en sistemas no conectados a Internet.
• y…….¿?
lo Ultimo!!
Por si todo esto no fuera suficiente el programa tiene dos sorpresas finales. En
primer lugar se reinstala cada 22 horas, incluso si el usuario tiene Windows
Update deshabilitado. En segundo y quizás más perturbador, Grasshopper
utiliza un conjunto de herramientas cuyo origen proviene de Rusia
Grasshopper es una herramienta de software utilizada para crear
instaladores personalizados para equipos de destino que ejecutan sistemas
operativos de Microsoft Windows.
Grasshopper parece estar diseñada para detectar el sistema operativo y la
protección en cualquier equipo con Windows en el que se despliega, además
también puede escapar a la detección de un posible software anti-malware:
• Windows XP , 7, 8, 8.1,
• Windows 2003 Server , 2008,
• 360 Safe
• Kaspersky Internet Security Suite
• Microsoft Security Essentials
• Rising Internet Security
• Symantec End Point Protection
Fuente: https://wikileaks.org/ciav7p1/cms/page_12353652.html
lo Ultimo!!
lo Ultimo!!
https://cert.pa/2017/05/recomendaciones-ante-los-ataques-de-ransomware-wannacry/
CIBERRESILIENCIAEs la capacidad de un proceso, nación, organización o negocio para
anticiparse, resistir, recuperarse, y evolucionar para mejorar sus
capacidades frente a condiciones adversas, estrés o ataques a los recursos
tecnológicos que necesita para funcionar.
http://www.cvedetails.com/top-50-products.php?year=2016
Vulnerabilidad: Debilidad de cualquier tipo que
compromete la seguridad del sistema informático.
Diseño•Debilidad en el diseño de protocolos utilizados en las redes.•Políticas y controles de seguridad deficientes e inexistentes.
Implementación•Errores de programación.•Existencia de “puertas traseras” en los sistemas informáticos.
Uso•Configuración inadecuada de los sistemas informáticos.•Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.•Disponibilidad de herramientas que facilitan los ataques.
Vulnerabilidad del día cero•Cuando no exista una solución “conocida” para una vulnerabilidad, pero si se conoce como explotarla, entonces se le conoce como “vulnerabilidad 0 days”.
VULNERABILIDAD: Debilidad de cualquier tipo
que compromete la seguridad del sistema
informático.
• CONFIGURACIÓN;• ACTUALIZACIÓN;• O-DAY
Forum of Incident Response and Security Teams (FIRST), plantea un modelo tipológico
basado en métricas cualitativas, temporales y del entorno,
Tipología basada en métricas para clasificar Vulnerabilidades.
¿Cada cuanto tiempo y porqué debería realizar
una Prueba de Penetración?
Si administras la Seguridad tienes la respuesta, pero:
• ¿Tienes la Probabilidad de ser atacado?. ¡NUNCA LO HAN HECHO!!
• ¿Tienes presencia (positiva o negativa) en los medios?
• ¿Requiere cumplir con normativas o certificación?
• ¿Uso de software desactualizado, problemas de configuración, SLA con
proveedores?
• ¿Cambios en la infraestructura significativos?
• ¿Lanzamiento de nuevas aplicaciones (web-movil) o portales?
• ¿Quiero saber como se encuentra nuestra organización, hacer un
diagnostico real?
Considere que….
• Las Pruebas de Penetración deben ser considerados parte integral
del proceso de seguridad que debe existir en las organizaciones, y no
como una actividad separada de la estrategia.
• La Seguridad de todo los procesos y la infraestructura depende
principalmente del Factor Humano y en menor grado del Factor
Tecnológico.
• Los controles para elevar los niveles de seguridad deben
implementarse de manera proactiva y no reactiva.
• Los atacantes sólo deben encontrar un agujero o brecha, mientras
nosotros debemos cubrir cientos.
Alineación con Norma ISO-27001
12.2. Revisiones de la política de seguridad y la compatibilidad
técnica
Objetivo: Garantizar la compatibilidad de los sistemas con las políticas
y estándares (normas de seguridad)
12.2.2. Verificación de la compatibilidad técnica
La verificación de compatibilidad también puede comprender
pruebas de penetración,
las cuales podrían ser realizadas por
expertos independientes contratados
Entonces….
¿Que prueba de Seguridad tenemos que
realizar?
¿Pentest? ¿VA? ¿EH?
Pentest Vs EH
Hackeo Etico
Es un término que cubre todas las
técnicas de hacking, y otras técnicas
asociadas de ataque informático. Por
lo tanto, junto con descubrir las fallas
de seguridad y vulnerabilidades, y
garantizar la seguridad del sistema de
destino, está más allá de hackear el
sistema.
Pruebas de Penetración
Es una prueba de seguridad
metodológica cuyo objetivo es
descubrir y explotar las
vulnerabilidades, los riesgos y el
entorno objetivo con el fin de
asegurar y tomar el control del
sistema.
O en otras palabras, las pruebas de
penetración apuntan a la
infraestructura tecnológica de HW y
SW, incluyendo los sistemas de defensa
de las respectivas organizaciones
(PENTEST = INTRUSIVA) AFECTACION DE SERVICIOS
PentestVs EH
Ethical Hacking: usar técnicas
de ataque para encontrar fallas
de seguridad, con el permiso del
dueño de la organización que es
objetivo de estos ataques, con el
objetivo de mejorar la seguridad.
PenetrationTesting: pone foco en
encontrar y explotar vulnerabilidades en un
ambiente objetivo al cual un atacante podría
penetrar a la infraestructura:
– Refiere al uso de herramientas y/o técnicas,
similares a las utilizadas por los criminales.
– El objetivo es penetrar o comprometer el
sistema objetivo y obtener acceso a
información para determinar el impacto al
negocio.
De esta forma, bajo circunstancias
controladas, se deben explotar estas fallas en
una forma profesional y segura, siguiendo los
objetivos y reglas acordados con el dueño de
la organización, para determinar los riesgos y
potencial impacto.
Todo esto con el objetivo de ayudar a la
organización a mejorar sus prácticas de
seguridad
Pentest Vs VA
PenetrationTesting:
se enfoca en
penetrar para obtener
información. Va más
profundo y se enfoca
en fallas técnicas.
Security Assessment = Vulnerability
Assessment =
Security/Vulnerability Assessment:
se enfoca en encontrar
vulnerabilidades de seguridad, las
cuales que podrían ser usados o no
para penetrar en sistemas o robar
información. Las asesorías son más
amplias e incluyen la revisión de
políticas y procedimientos.
• Afectación sobre la
operación
• Basada en Información
Gathering
• Es una Etapa del PenTest
• Pueden existir Múltiples
Falsos Positivos
• Entendimiento Limitado
del Impacto
• Alejado de un ataque real
• Conclusiones y
recomendaciones
• Solamente se utilizan
herramientas
especializadas para
análisis y evaluación de
vulnerabilidades.
Scanner de
vulnerabilidades
(VulScan)
Análisis y
Evaluación de
Vulnerabilidades
(VA)
• Descubrimiento de Activos
• Es la primera Etapa del PenTest
• Pueden existir Múltiples Falsos Positivos
• Limitado a los resultados del Scanner
• Utiliza herramienta de descubrimiento y evaluación de vulnerabilidades
• Incluye el VulScan en su Primera etapa
• Incluye VA en su segunda etapa
• Prueba Activa y Controlada de las Vulnerabilidades
• Permite Descartar Falsos Positivos y Priorizar Remediación
• Deja ver Noción Real del Impacto y Alcance de un Ataque sobre la Operación y el Negocio
• Requiere Conocimiento y uso de Herramientas Especializadas
• Explotación de Vulnerabilidades sin causar Afectacion
• Se utilizan herramientas de Explotación de vulnerabilidades.
Prueba de Penetración
PenTest
Prueba de Penetración
Es aquella en la que se simulan ataques reales para identificar los
métodos a través de los cuales es posible eludir las medidas de
seguridad.
- permiten realizar un buen diseño de estrategias que aseguren la
continuidad operativa y
- son útiles para determinar aspectos como la capacidad de
detectar y responder adecuadamente a los ataques,
Pueden ser de tipo:
- Modificación (compromete la confidencialidad y la integridad),
- Fabricación (compromete la integridad),
- Interceptación (compromete la confidencialidad),
- Interrupción (compromete la disponibilidad).
Fuente: PRUEBAS DE INTRUSIÓN Y METODOLOGÍAS ABIERTAS
Liliana Carolina Pinzón, MihdíBadíTalero, John A. Bohada
• Las técnicas y procedimientos utilizados serán similares a los de un hacker, sin embargo, tendrán autorización, y serán ejecutadas de forma ética
OBJETIVO AUTOMATIZACIONCONOCIMIENTO
Y PRIVILEGIOS
Evaluación de
Vulnerabilidades
Pruebas de
Intrusión
Automatizada
Caja BlancaManual
Caja
Gris
Semi
Automatizada
Caja
Negra
CAPA DE RED
Elementos a considerar en una
Prueba de PenetraciónCAPA APLICACIONES
CAPA DE USUARIO
(lado cliente)
Punto
Pivote
Algunos adicionales
– Test de Seguridad Física.
– Test de robo de equipamiento.
– Ataques de Encriptación.
– Testeo de Seguridad de un
Producto
Otros Tipos de Pruebas:
– Test Dial-UP remoto (War
Dialing).
INTERNA
EXTERNACAPA DE RED
Metodologías (algunas mas utilizada)
Nist Plantea 4 Fases:
1. Planificación:
2. Descubrimiento
3. Ejecución de Ataque
4. Presentación de Informes
Penetration Testing Execution Standard (PTES)
El estándar cuenta con 7 secciones que cubren todo lo
relacionado con una prueba de penetración, desde lo que es
el inicio de la Pentest hasta lo que es la culminación de la
misma.
Las siguientes son las secciones definidas por la norma como
base para la ejecución de una prueba de penetración:
1. Pre-compromiso
2. Recopilación de inteligencia
3. Modelo de Amenazas
4. Análisis de vulnerabilidad
5. Explotación
6. Publicación de la explotación
7. Informes
OSSTMM (Open-Source Security Testing
Methodology Manual
Metodología que propone un proceso deevaluación de una serie de áreas que refleja demanera fiel, los niveles de seguridad presentesen la infraestructura que va a ser auditada, aestos niveles de seguridad se le denominancomúnmente “Dimensiones de Seguridad” ynormalmente consiste en analizar los siguientesfactores.
1. Visibilidad2. Acceso3. Confianza4. Autenticación5. Confidencialidad6. Privacidad7. Autorización8. Integridad9. Seguridad10. Alarma
Como parte de un trabajo secuencial lametodología OSSTMM consta de 6 ítems loscuales comprenden todo sistema actual,estos son:
1. Seguridad de la Información2. Seguridad de los Procesos3. Seguridad en las tecnologías de Internet4. Seguridad en las comunicaciones5. Seguridad inalámbrica6. Seguridad Física
PenetrationTesting Framework (PTF) -
ISSAF (Information Systems Security
Assessment Framework)
esta metodología incluye tres fases en las
cuales, los pasos de ejecución son cíclicos e
iterativos:
• Fase I: Planificación y preparación, firmar
un acuerdo formal.
• Fase II: Evaluación. enfoque por capas,
cada una representa un mayor nivel de
acceso a los activos.
• Fase III: Informes, limpieza y destrucción
de información. describe los resultados
detallados y las recomendaciones, al
identificar un punto crítico se debe informar
de inmediato. la información que se crea y/o
almacena en los sistemas de prueba debe ser
eliminada; si por alguna razón esto no es
posible, todos los archivos (con su
localización) deben ser mencionados en el
informe técnico para que sean eliminados
posteriormente.
CEH (Certified Ethical Hacker).
Metodología de pruebas de seguridad desarrollada por el International
Council of Electronic Commerce Consultants (EC-Council) algunas de
las fases enunciadas en esta metodología son:
1. Obtención de Información.
2. Obtención de acceso.
3. Enumeración.
4. Escala de privilegios.
5. Reporte
Tecnicas:
• Reconocimiento y Obtención de
Huellas
• Escaneo de Redes Enumeración
• Hackeo de Sistemas
• Troyanos y Puertas Traseras
• Virus y Gusanos
• Esnifeo
• Ingeniería Social
• Negación de Servicio
• Secuestro de Sesión
• Hackeo de Servidores Web
• Hackeo de Aplicaciones Web
• Inyección de SQL
• Hackeo de Redes inalámbricas
• Hackeo de Móviles
• Evasión de IDS, Firewalls y
Honeypots
• Desbordamiento de Memoria
• Criptografía
Metodologías (algunas mas utilizada)
Los siguientes son los principales secciones definidas por la
norma como base para la ejecución de las Pruebas de
Penetración y Evaluación de vulnerabilidades:
✓ Planeación.
✓ Identificación de host y servicios de red.
✓ Escaneo
✓ Enumeración
✓ Explotación.
✓ Escalamiento
✓ Documentación.
NMAP FOCA MALTEGO THEHARVESTER SHODAN NETCAT METAGOOFIL
INTERFACE X X X X
LÍNEA DE COMANDOS X X X X
ESCANEO DE PUERTOS X X X
EXTRACCIÓN DE
METADATOSX X X
ESCANEO DE SERVICIOS X X X X
ESCANEO DE SISTEMAS
OPERATIVOSX
ESCANEO EN UNO O
VARIOS HOSTSX X
ESCANEO EN UN
DOMINIOX X X X X X
EXTRACCIÓN DE
INFORMACIÓN DE
PERSONAS O EMPRESAS
X X X X
EXTRACCIÓN DE
INFORMACIÓN DE
SERVIDORES
X X X X X X
MAPEO DE LA RED X X
LICENCIADA X
MULTIPLATAFORMA X X X X
HERRAMIENTAS PARA LA FASE DE
RECOPILACION DE INFORMACION
Comparación de las herramientas en la fase de Recopilación de Información.
Fuente: InteliCorp
NESSUS NMAP NEXPOSE OPENVAS EEYE RETINA SAINT TCPDUMP WIRESHARK
INTERFACE X X X X X X X
LINEA DE
COMANDOSX X
ESCANEO DE
PROTOCOLOSX X X X X X X X
ESCANEO DE
SISTEMAS
OPERATIVOS
X X X X X X X X
ESCANEO EN UNO O
VARIOS HOSTSX X X X X X X
VISUALIZACION DE
VULNERABILIDADESX X X X X X
INDICADOR DE
GRAVEDAD DE LA
VULNERABILIDAD
X X X X X X
LICENCIADA X X X X
MULTIPLATAFORMA X X X X X X
HERRAMIENTAS PARA LA FASE DE EVALUACIÓN Y
ANÁLISIS DE VULNERABILIDADES
Comparación de las herramientas en la fase de Análisis de Vulnerabilidades.
Fuente: InteliCorp
METASPLOIT CORE IMPACT SAINT THC-HYDRA MEDUSA NCRACK
INTERFACE X X X X
LINEA DE COMANDOS X X X X X
EJECUCION DE
EXPLOITSX X X
ATAQUES DE FUERZA
BRUTAX X X X
DESARROLLO DE
EXPLOITSX X
LICENCIADA X X X
MULTIPLATAFORMA X X X X X
HERRAMIENTAS PARA LA FASE DE
EXPLOTACION Y POST-EXPLOTACION
Comparación de las herramientas en la fase de Explotación y Post-Explotación.
Fuente: InteliCorp
AIRCRAC
K-NG
CORE
WIFI
WASH Y
REAVERGOYSCRIPT AIROSCRIPT WIFISLAX
INTERFACE X X
LINEA DE
COMANDOSX X X X X
MONITORIZACION X X X X
EVALUACION X X X X
EXPLOTACION X X X X X X
MULTIPLATAFORMA X
LICENCIADA X
•HERRAMIENTAS PARA LA EVALUACION Y ATAQUE
A LAS REDES INALAMBRICAS (WIFI)
Comparación de las herramientas para el ataque de redes inalámbricas.
Fuente: InteliCorp
Consideraciones finales:
• No todas las vulnerabilidades descubiertas deben ser
solucionadas.
• La recomendación será solucionar las vulnerabilidades de
riesgo “alto“.¿¿¿¿??????
• Sin embargo la organización puede decidir aceptar el
riesgo en vez de mitigarlo, según los propósitos del
negocio.
• Evaluar el Impacto CONJUGADO.
Consideraciones finales:
• Las Pruebas de Penetración son valiosas por varias razones:
- Determinan la posibilidad de éxito de un ataque.
- Identifican las vulnerabilidades de alto riesgo que resultan de una
combinación de vulnerabilidades de menor riesgo explotadas en
una secuencia particular.
- Identifican las vulnerabilidades que pueden ser difíciles o imposibles
de detectar con red automatizada o un software de análisis de
vulnerabilidades.
- Nos permiten comprobar la capacidad de los defensores de la red
para detectar con éxito y responder a los ataques la prueba de
penetración,
por tal razón, realizarla una vez al año, no hace daño
Invertir en Seguridad es:
Mejorar tu Reputación e Imagen
¿En tu empresa tienen la madurez
necesaria para ser autocríticos y
permitir que se realice una Prueba
de Penetración?
