6 Maneras de Ser Un Mejor Pen Tester – Capítulo 2
La prueba de penetración es un componente vital de una solución de gestión de amenazas y ahora se usa ampliamente como un método eficaz para detectar vulnerabilidades en los sistemas, aplicaciones e infraestructuras de una organización. Durante una prueba de penetración, el pen tester utiliza varias técnicas de evaluación para detectar vulnerabilidades en la red y varias otras metodologías para explotarlas y obtener una imagen completa de la magnitud del daño que se podría hacer. Estas vulnerabilidades se evalúan, se priorizan y se corrigen como corresponden.
Realizar un pen test no es una tarea fácil y requiere capacitación y experiencia. Esta serie de 6 partes se centrará en cómo mejorar sus habilidades de pen testing .
Móvil, móvil en todas partes
Los dispositivos móviles están en todas partes. Hace veinte años, la proporción de activos en la red de TI a empleados era de alrededor de 1,5 dispositivos por empleado, dicho cálculo era simple; cada empleado obtiene una computadora de escritorio (ese es el 1.0) y luego están los recursos compartidos de red y las impresoras (ese es el 0.5). Con el auge de los móviles, esa proporción ha crecido significativamente, por lo que, llegando al extremo, un empleado puede tener un PC de escritorio, un portátil, teléfono y tableta, si se le agregua eso un movimiento hacia Traiga su propio dispositivo (BYOD) la proporción continúa subiendo. Un dispositivo móvil no se trata solo del dispositivo como tal, sino también de la infraestructura que los soporta; Redes inalámbricas (pero esa es la próxima entrega).
Dentro de una empresa; un dispositivo móvil habita en cualquier número de capacidades oficiales y no oficiales, por eso, su primera prioridad como penetration tester al tratar con dispositivos móviles es comprender su relación con la empresa (su cliente). En general, un dispositivo móvil estará en una de las siguientes categorías:
1. Totalmente compatible
En este caso, la empresa posee y proporciona el dispositivo móvil al empleado, estos dispositivos son compatibles con la infraestructura de soporte técnico de la empresa y generalmente se devuelven cuando el empleado termina su contrato. En algunos casos, el dispositivo puede ser autorizado para uso personal (navegación, instalación / eliminación de aplicaciones, llamadas y textos), en otros casos, el dispositivo puede ser autorizado únicamente para uso en el trabajo.
2. Traiga su propio dispositivo (BYOD)
En este caso, el dispositivo móvil es propiedad y está controlado por el empleado, este conserva el dispositivo una vez termine su contrato, además, el dispositivo normalmente está permitido en la red empresarial y es responsabilidad del empleador definir con más detalle si el dispositivo es o no únicamente para uso personal o puede ser utilizado para tareas / comunicaciones relacionadas con el trabajo.
3. No autorizado
En este caso, la empresa no admite dispositivos móviles, ni están permitidos en la red de la empresa, si bien el empleador no puede impedir que un empleado sea propietario de un dispositivo, puede restringir su uso y acceso físico.
El mejor método para documentar esta relación es solicitar una copia de la Política de dispositivos móviles. Este es el documento que se usa normalmente para definir el uso y los límites de los dispositivos móviles dentro de la empresa.
La segunda prioridad es documentar las reglas de compromiso con respecto a los dispositivos móviles. La parte difícil aquí es la posibilidad de dañar la propiedad personal o comprometer la información personal ya que el dispositivo móvil y su uso permiten la mezcla de datos personales y corporativos. Este mayor riesgo de hardware y datos personales debe abordarse mediante un análisis cuidadoso ya que si se va demasiado lejos se corre el riesgo de dañar las posesiones personales y los datos y si no se va lo suficientemente lejos, se corre el riesgo de una evaluación incompleta.
A menos que se proporcionen reglas de compromiso muy claras y escritas las cuales permitan reglamentar el uso de los teléfonos, se sugiere no comprometer los dispositivos de cada persona. En cambio, se sugiere lo siguiente: Si su cliente da los dispositivos móviles, pídales que le de un dispositivo estándar y utilícelo para ejecutar sus ataques, puede llenar el dispositivo con datos falsos y documentar sus vulnerabilidades y si su cliente admite BYOD, las cosas son aún más fáciles. Hay tantas opciones de sistemas operativos para dispositivos móviles y, como pen tester, debe tener un par de esos en su kit. Una vez más, ingrésele datos falsos y documente sus vulnerabilidades.
Una ventaja de usar sus propios dispositivos es que le permite realizar una prueba más exhaustiva del dispositivo móvil y a su propio ritmo. La parte difícil de incluir dispositivos móviles en un pen test es si está trabajando con el dispositivo de un empleado y este abandona el edificio y la red, todo su trabajo será en vano. Al usar su propio dispositivo, o uno emitido por el cliente, puede tomarse su tiempo y no preocuparse por la desaparición del dispositivo en la mitad de la prueba.
Fuente: EC-Council