FaaS: Técnicas de pentester

Pablo Gonzalez    5 julio, 2013
FaaS (Foca as a Service) es un servicio pensado, diseñado e implementado con el fin de simular y automatizar el pensamiento de un pentester. La intención de FaaS será la de realizar tareas de manera inteligente, buscando el comportamiento adecuado ante las posibles pruebas de auditoría que se irán realizando continuamente. En el instante en que FaaS detecte una situación extraña, vulnerabilidad o error de configuración, lanzará sus acciones con el objetivo de obtener el máximo provecho de cada evidencia, como lo haría un pentester.
Identificación
Se definen estrategias orientadas a la determinación de los aspectos críticos para una empresa que sean accesibles desde el exterior. Aunque se podría determinar esta búsqueda manualmente, será posible iniciar la evaluación automáticamente con solo proporcionar el nombre de los dominios que posee la empresa.
Configuración

Una vez determinados los aspectos que marcan el inicio de la evaluación de seguridad, será posible configurar el proceso completo. Se puede elegir entre qué tipo de clases de análisis serán utilizados para realizar la evaluación. La configuración predeterminada permite al cliente utilizar todas las acciones que un pentester experto recomienda para llevar a cabo el modelo Pentesting by Design, sin embargo se proporciona la posibilidad al cliente de utilizar las clases que él crea conveniente, pudiendo editar la configuración del proceso.

Características: El punto de partida

El punto de partida, como se ha mencionado anteriormente, es el dominio o dominios de la organización a auditar. Otros puntos de partida interesantes son los metadatos que existen en los documentos públicos y los servicios que las organizaciones disponen en Internet accesibles a cualquier usuario.

Tras utilizar alguna de las tres vías de partida que tiene el servicio se obtendrá un gran volumen de datos. Estos serán almacenados para su posterior análisis y explotación en el proceso de pentesting. El sistema generará tareas que auditarán y evaluarán la seguridad de todos los recursos encontrados en Internet pertenecientes a la organización propietaria del dominio. Las fases que el sistema recorre son las siguientes:

  • Enumeración de objetos proporcionando un mapa de la organización.
  • Análisis de la información pública buscando vulnerabilidades o configuraciones erróneas.
  • Explotación de vulnerabilidades para la verificación de fallos de seguridad en los recursos públicos.
  • Reporte de información sobre vulnerabilidades reconocidas en el proceso, informe de recomendaciones sobre malas configuraciones o políticas erróneas y creación de mapa de activos con el fin de detectar propiedades que poseen las organizaciones.

El sistema transforma las pruebas en información que le es útil al cliente y puede utilizar para la toma de decisiones el entorno al modelo de seguridad que rige la empresa u organización. Se detalla la vulnerabilidad y la recomendación de seguridad, mediante el uso de un diccionario de vulnerabilidades. También se notifica al usuario cuando las auditorías se encuentran completadas. 

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *