Prova D'Intrusió: Simulacre d'atac informàtic dirigit

Prova D'Intrusió: Simulacre d'atac informàtic dirigit
Autor JakinCode · 11/2023 

·  Ciberseguretat

Mitjançant tècniques idèntiques a les utilitzades per la ciberdelinqüència, la prova d’intrusió, també coneguda com a pentesting o hackeig ètic, permet comprovar com de vulnerables es mostrarien davant d’un possible atac real elements com ordinadors, aplicacions, actius IoT, sistemes de control industrial crítics, dispositius i serveis de xarxa, i fins i tot el propi personal que treballa dins d’una empresa (enginyeria social).

Una prova d’intrusió és una prova especialitzada que avalua de manera controlada la seguretat dels sistemes d’informació d’una organització, i la seva execució és essencial per identificar vulnerabilitats, reduir riscos i reforçar de manera proactiva la seguretat d’aquests sistemes. 

Per evitar incórrer en un delicte, aquestes proves es duen a terme després d’un acord perfectament definit amb l’entitat que recorre a aquests anàlisis de seguretat, establint clarament els límits de les accions a realitzar quan el professional que les duu a terme penetra en un sistema d’informació explotant els seus punts febles, tant tecnològics com humans, emulant exactament el que faria un ciberatacant.

La prova d’intrusió és una eina formidable per determinar les necessitats de protecció que s’han de tenir en compte per minimitzar la probabilitat de ser víctima d’un ciberatac. En abordar la seguretat des del punt de vista ofensiu (RED TEAM), destaca com un element que ajuda a conèixer de la millor manera possible com es podrien comprometre les defenses davant d’un incident real amb intencions criminals. Quan s’executa de manera professional, segura i controlada, és possible descobrir vulnerabilitats que, per a una anàlisi més genèrica, passarien desapercebudes. 

D’altra banda, l’actual exigència del mercat per demostrar el major compromís possible en matèria de ciberseguretat, porta a les empreses a certificar-se en normatives i estàndards que, per a la seva obtenció, requereixen recórrer al hackeig ètic com a mesura que garanteixi la solvència en aquesta àrea.

Tipus de prova d’intrusió

Hi ha diversos tipus de proves d’intrusió, en funció de la quantitat d’informació acordada que es disposi per a la seva realització:

  • Prova de caixa negra
    Parlem d’una prova de caixa negra quan no hi ha informació proporcionada per la part contractant (credencials, etc.), ja que requereix que la prova d’intrusió reprodueixi pas a pas el que faria un agent maliciós si volgués llançar un ciberatac des de l’exterior.
  • Prova de caixa blanca
    Quan es disposa de dades ofertes per l’entitat objecte d’auditoria de seguretat (com ara IPs, contrasenyes, etc.), estem davant d’una prova de caixa blanca, la qual permet conèixer l’abast de les debilitats d’un sistema objecte d’un atac perpetrat des d’un coneixement precís de l’organització.
  • Prova de caixa grisa
    Parlem d’una prova de caixa grisa quan, sense tenir informació completa (com en el cas anterior), però tampoc sense mancar completament de dades (com en el primer dels tipus descrits aquí), es disposa d’un cert nivell d’accés al sistema i aquest pot ser utilitzat amb males intencions.
Test de intrusión. Simulacro de ataque informático dirigido.

Metodologies

Tot i que existeixen diverses metodologies, el Penetration Testing Execution Standard (PTES) i l’Open Web Application Security Project (OWASP) són àmpliament reconeguts en la indústria.

La primera detalla les set fases d’una prova d’intrusió:

  1. Interacció prèvia (fase de planificació acordada amb el client per determinar l’abast, els objectius i les condicions)
  2. Recopilació d’informació (versió dels sistemes operatius, programari instal·lat, ports, serveis, dades sobre empleats, etc.) 
  3. Modelat d’amenaces (identificació dels vectors d’atac des del punt de vista d’un ciberdelinqüent)
  4. Anàlisi de vulnerabilitats (descobriment de fallades de seguretat que comprometin el sistema i permetin l’accés a dades o l’execució de codi maliciós)
  5. Explotació (hackeig de les vulnerabilitats detectades)
  6. Post-Explotació (control sostenible en el temps dels sistemes posats a prova, amb la intenció de continuar escalant privilegis, realitzar moviments laterals, etc.)
  7. Informe (documentació dels resultats, assenyalant les vulnerabilitats detectades i les accions per mitigar-les).

La segona és considerada l’estàndard per a les proves d’intrusió d’aplicacions web, avaluant la seva robustesa contra les amenaces que proliferen en el context digital. 

Pentesting, molt més que l’anàlisi de vulnerabilitats

Les proves de penetració són essencials per a qualsevol organització que vulgui protegir els seus sistemes i xarxes contra atacs informàtics. S’utilitzen per detectar possibles vulnerabilitats o errades. Això facilita l’adopció de mesures correctives o preventives que dificultin que un atacant real comprometi la integritat, confidencialitat o disponibilitat de la informació o recursos.

Una prova d’intrusió no es limita a escanejar vulnerabilitats aplicant eines dissenyades específicament per a aquest propòsit (com, per exemple, Nessus). De fet, la pràctica professional del hackeig ètic va més enllà d’aquest aspecte, ja que la seva execució també permet avaluar la robustesa d’un sistema d’informació davant d’un escenari real d’atac.


En aquest sentit, és important tenir en compte que el ciberdelinqüent no limitarà les seves accions a l’ús només d’exploits coneguts. La incorporació contínua de noves tècniques, que amplien la definició d’un ciberatac, fa absolutament necessari realitzar tasques de proves d’intrusió amb professionals amb coneixements que no es limitin al que està oficialment contemplat des dels coneixements que alimenten les bases de dades sobre vulnerabilitats difoses per entitats de prestigi.

Avaluació de la gravetat i el risc de seguretat del sistema

El procés d’immersió en les febleses d’un sistema permet identificar-les i classificar-les segons eines com el Common Vulnerability Scoring System (CVSS), reconegut internacionalment. Això ajuda a conèixer el seu nivell de gravetat, la qual cosa permet prioritzar i abordar les amenaces més crítiques de manera eficient, centrant-se en tancar les fallades de seguretat més urgents.

Cal destacar que l’indicador que acabem de mencionar inclou, en la seva última versió 4.0, mètriques que tenen en compte la seguretat dels éssers humans. Aquesta no és l’única novetat incorporada. Una que està directament relacionada amb el tema que estem tractant és una nova mètrica d’explotació, anomenada REQUERIMENTS D’ATAC (AT). Aquesta considera les condicions de desplegament i execució que permeten un atac maliciós, un aspecte de gran interès respecte a les proves de penetració.

Auditories de seguretat i proves d’intrusió de JakinCode

Mitjançant serveis professionals com els oferts per JakinCode, basats en metodologies reconegudes i absolutament respectuoses amb les normes legals i ètiques, les organitzacions poden augmentar la seva resiliència davant les amenaces digitals en constant evolució. A més, JakinCode pot dissenyar proves d’intrusió a mida de les necessitats dels clients que ho sol·licitin, sense que necessàriament hagin d’estar relacionades amb vulnerabilitats tècniques. Un exemple de l’anterior seria l’avaluació de polítiques de compliment.

Penetrar en un sistema sense permís és il·legal, per això JakinCode estipula contractualment les condicions de la prova d’intrusió com a pas preliminar a la seva implementació. Per tant, a més dels aspectes purament tècnics, també cal tenir en compte l’aspecte legal, ja que l’accés a un sistema requereix la inclusió de clàusules que defineixin l’autorització dels seus propietaris. En cap cas la persona encarregada de la prova d’intrusió pot utilitzar les dades a les quals ha accedit en el curs del seu treball per al seu propi benefici, ni causar danys a l’entitat que sol·licita els seus serveis.

JakinCode identifica les vulnerabilitats que podrien ser utilitzades pels ciberdelinqüents i redueix o elimina els riscos associats a un possible ciberatac

Contactar chevron_right

Articles relacionats

  • Què són els escombratges electrònics o TSCM

Què són els escombratges electrònics o TSCM

10/2024

  • GRC per a la gestió eficient de la seguretat en una empresa

GRC per a la gestió eficient de la seguretat en una empresa

09/2024

  • Principals certificacions de ciberseguretat

Principals certificacions de ciberseguretat

08/2024

  • Com protegir eficaçment els meus actius d'informació del ransomware

Com protegir eficaçment els meus actius d'informació del ransomware

07/2024