FaaS: Visión global de Pentesting by DesignPablo González Pérez 24 junio, 2013 La idea que tenemos sobre seguridad es diferente sobre lo que históricamente las organizaciones han ido utilizando. ¿Realmente es lo que necesitaban? Pensamos que un sistema continuo de pentesting proporciona a la organización una revisión al día de como se encuentra su infraestructura. Algo hay claro y es que la seguridad cambia diariamente por lo que las revisiones de seguridad cada ‘equis’ meses puede no ser una buena solución. Nuestra primera medida, bajo el modo Pentesting by Design, se denomina FaaS, FOCA As A Service. ¿Qué es FaaS? Es un sistema capaz de enumerar, analizar y explotar los activos de una organización con el fin de encontrar agujeros de seguridad que podrían ser explotados por otros usuarios con fines maliciosos, provocando pérdidas a la organización. Es la evolución natural de la aplicación FOCA, Fingerprinting Organizations with Collected Archives. En la siguiente imagen se puede observar un esquema del modelo y lo que FaaS representa y es capaz de realizar. Figura 1: Esquema del modelo El punto de partida de nuestro sistema son tres valores principales que toda empresa u organización dispone en Internet, de manera explícita o implícita por desconocimiento. Los valores son los siguientes: Dominio. Los dominios son la cara visible y un activo importante en la imagen de una organización o empresa. FaaS realizará un estudio sobre los dominios públicos y obtendrá información sobre ellos, enumerándolos de tal manera que podrá realizar un proceso de pentesting sobre los activos a partir de los dominios públicos. Metadatos. Los documentos publicados en la web por las organizaciones pueden llevar consigo información interesante para inferir datos sobre como se organiza la empresa, nombres de usuarios, mails, versiones de software y otros datos de interés que pueden ser utilizados en contra de la organización, por ejemplo para llevar a cabo un APT, Advanced Persistent Threat. Servicios. FaaS encontrará los servicios públicos de una organización y realizará acciones para evaluar la seguridad de éstos. Todo servicio público es un punto crítico de una organización, ya que una mala configuración o una aplicación desactualizada puede provocar una intrusión y pérdida o daño en los activos de la organización. El sistema proporciona una serie de módulos con los que FaaS organiza toda la información recogida y evaluada con las pruebas de análisis y explotación de recursos. El módulo de reporting es imprescindible para que los usuarios puedan entender todo lo realizado sobre sus activos. FaaS prioriza la notificación de vulnerabilidades y recomendaciones de seguridad en configuraciones catalogadas como erróneas, además de enumerar y mostrar los activos que contiene una organización. Figura 2: Módulos de FaaS Poco a poco vamos creciendoPen-testing by design: seguridad, sigue al sol!
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.