Entregable Intermedio 1 - Javier Mendoza (4)

Vista previa del material en texto

Resumen.
A continuación, se presenta un resumen de las directrices establecidas en la documentación “The Penetration Testing Execution Standard” o PTES. 
Podría decirse que definir el alcance es uno de los componentes más importantes de una prueba de penetración, pero también es uno de los que más se pasa por alto. Si bien se han escrito muchos volúmenes sobre las diferentes herramientas y técnicas que se pueden utilizar para obtener acceso a una red, se ha escrito muy poco sobre el tema que precede a la penetración: la preparación. Descuidar completar adecuadamente las actividades previas al compromiso tiene el potencial de exponer al probador de penetración (o su empresa) a una serie de dolores de cabeza, incluido el aumento del alcance, clientes insatisfechos e incluso problemas legales. El alcance de un proyecto define específicamente lo que se va a probar. La forma en que se llevará a cabo cada aspecto de la prueba se tratará en la sección Reglas de participación.
Un componente clave de la definición del alcance de un compromiso es describir cómo los probadores deben pasar su tiempo.
Como ejemplo, un cliente solicita que se prueben cien direcciones IP por el precio de $100,000. Esto significa que el cliente ofrece $1,000 por dirección IP probada. Sin embargo, esta estructura de costos solo se mantiene efectiva en ese volumen. Una trampa común en la que caen algunos evaluadores es mantener costos lineales durante todo el proceso de prueba. Si el cliente solo hubiera pedido que se probara una aplicación crítica para el negocio con la misma estructura de precios ($ 1,000), mientras que el probador solo atacará una sola IP, el volumen de trabajo ha aumentado dramáticamente. Es importante variar los costos en función del trabajo realizado.
De lo contrario, una empresa puede encontrarse fácilmente cobrando de menos por sus servicios, lo que los motiva a hacer un trabajo menos que completo.
A pesar de tener una estructura de precios sólida, el proceso no es todo en blanco y negro. No es raro que un cliente desconozca por completo exactamente qué es lo que necesita probar. También es posible que el cliente no sepa cómo comunicar de manera efectiva lo que espera de la prueba. Es importante en la fase previa al compromiso que el probador pueda servir como guía a través de lo que puede ser un territorio desconocido para un cliente. El probador debe comprender la diferencia entre una prueba que se enfoca en una sola aplicación con gran intensidad y una prueba en la que el cliente proporciona una amplia gama de direcciones IP para probar y el objetivo es simplemente encontrar una forma de entrar.
Métricas para Estimación de Tiempo.
Las estimaciones de tiempo están directamente ligadas a la experiencia de un evaluador en un área determinada. Si un probador tiene una experiencia significativa en una determinada prueba, es probable que pueda determinar de forma innata cuánto tiempo llevará una prueba. Si el probador tiene menos experiencia en el área, volver a leer los correos electrónicos y escanear los registros de pruebas similares anteriores que la empresa haya realizado es una excelente manera de estimar el tiempo requerido para el compromiso actual. Una vez que se determina el tiempo de prueba, es una práctica prudente agregar un 20% al tiempo. El 20 % adicional en la parte posterior del valor del tiempo se denomina relleno. Fuera de los círculos de consultores, esto también se conoce como gastos generales de consultores. El acolchado es una necesidad absoluta para cualquier prueba. Proporciona un colchón en caso de que se produzcan interrupciones en la prueba. Hay muchos eventos que ocurren comúnmente y dificultan el proceso de prueba. Por ejemplo, un segmento de la red puede dejar de funcionar o puede encontrarse una vulnerabilidad significativa que requiere muchas reuniones con muchos niveles de administración para abordarla. Ambos eventos consumen mucho tiempo y afectarían significativamente la estimación de tiempo original si el relleno no estuviera en su lugar.
¿Qué pasa si el 20% de relleno termina por no ser necesario? Facturar al cliente por el tiempo no trabajado sería extremadamente poco ético, por lo que depende de los probadores proporcionar un valor adicional que normalmente no se habría proporcionado si se hubiera alcanzado el límite de tiempo de compromiso. Los ejemplos incluyen caminar
al equipo de seguridad de la empresa a través de los pasos tomados para explotar la vulnerabilidad, proporcionar un resumen ejecutivo si no formaba parte de la lista original de entregables, o dedicar más tiempo a tratar de descifrar una vulnerabilidad que fue esquiva durante la prueba inicial.
Otro componente de las métricas de tiempo y pruebas es que cada proyecto debe tener una fecha límite definitiva. Todo buen proyecto tiene un principio y un final bien definidos. Deberá tener una declaración de trabajo firmada que especifique el trabajo y las horas requeridas si ha llegado a la fecha específica en que finalizará la prueba, o si se le solicita alguna prueba o trabajo adicional después de esa fecha.
Algunos evaluadores tienen dificultades para hacer esto porque sienten que están siendo demasiado molestos en lo que respecta al costo y las horas. Sin embargo, ha sido la experiencia del autor que si proporciona un valor excepcional para la prueba principal, el cliente no dudará en pagarle por la prueba adicional. trabajo.
Reunión de Alcance.
En muchos casos, la reunión de alcance tendrá lugar después de que se haya firmado el contrato. Ocurren situaciones en las que muchos de los temas relacionados con el alcance se pueden discutir antes de la firma del contrato, pero son pocos y distantes entre sí. Para esas situaciones, se recomienda que se firme un acuerdo de confidencialidad antes de que se lleven a cabo discusiones detalladas sobre el alcance.
El objetivo de la reunión de alcance es discutir lo que se probará. Las reglas de compromiso y los costos no se tratarán en esta reunión. Cada uno de estos temas debe tratarse en reuniones donde cada pieza sea el foco de esa reunión. Esto se hace porque las discusiones pueden volverse confusas y confusas fácilmente si el enfoque no se establece explícitamente. Es importante actuar como moderador y mantener las discusiones dentro del tema, evitando las tangentes y declarando ciertos temas más adecuados para la discusión fuera de línea cuando necesario.
Ahora que se ha establecido un valor de Orden de magnitud aproximado (ROM) para el proyecto, es hora de tener una reunión con el cliente para validar las suposiciones. Primero, debe establecerse explícitamente qué rangos de IP están dentro del alcance del compromiso. No es raro que un cliente se resista y asuma que es prerrogativa del probador identificar su red y atacarla, para que la prueba sea lo más realista posible. De hecho, esta sería una circunstancia ideal, sin embargo, las posibles ramificaciones legales deben ser consideradas por encima de todo. Debido a esto, esresponsabilidad del probador transmitir al cliente estas preocupaciones y transmitirle la importancia del alcance implícito. Por ejemplo, en la reunión, se debe verificar que el cliente sea propietario de todos los entornos de destino, incluidos: el servidor DNS, el servidor de correo electrónico, el hardware real en el que se ejecutan sus servidores web y su solución de firewall/IDS/IPS. Hay una serie de empresas que externalizarán la gestión de estos dispositivos a terceros.
Adicionalmente, se deben identificar los países, provincias y estados en los que operan los entornos objetivo. Las leyes varían de una región a otra y es muy posible que las pruebas se vean afectadas por estas leyes. Por ejemplo, los países que pertenecen a la Unión Europea son bien conocidos por tener leyes muy estrictas que rodean la privacidad de las personas, lo que puede cambiar significativamente la forma en que se ejecutaría un compromiso de ingeniería social.
Soporte adicional basado en la tarifa por hora.
Cualquier cosa que no esté explícitamente cubierta dentro del alcance del compromiso debe manejarse con mucho cuidado. La primera razón de esto es el desplazamiento del alcance. A medida que se amplía el alcance, se consumen recursos, lo que reduce las ganancias del probador e incluso puede crear confusión e ira por parte del cliente. Hay otro problema en el que muchos probadores no piensan cuando asumen un trabajo adicional ad-hoc: las ramificaciones legales. Muchas solicitudes ad-hoc no están debidamente documentadas, por lo que puede ser difícil determinar quién dijo que en caso de disputa o acción legal. Además, el contrato es un documento legal que especifica el trabajo a realizar. Debe estar estrechamente ligado al permiso para probar el memorándum.
Cualquier solicitud fuera del alcance original debe documentarse en forma de una declaración de trabajo que identifique claramente el trabajo a realizar. También recomendamos que se establezca claramente en el contrato que el trabajo adicional se realizará por una tarifa fija por hora y que se establezca explícitamente que el trabajo adicional no se puede completar hasta que se establezca un SOW firmado y refrendado.
Cuestionarios.
Durante las comunicaciones iniciales con el cliente, hay varias preguntas que el cliente deberá responder para poder estimar adecuadamente el alcance del compromiso. Estas preguntas están diseñadas para proporcionar una mejor comprensión de lo que el cliente busca obtener de la prueba de penetración, por qué el cliente desea que se realice una prueba de penetración en su entorno y si desea o no que se realicen ciertos tipos de pruebas durante la prueba de penetración. Las siguientes son preguntas de muestra que se pueden hacer durante esta fase.
Preguntas generales
Prueba de penetración de red.
Prueba de penetración de aplicaciones web.
Prueba de penetración de red inalámbrica.
Prueba de penetración física.
Ingeniería social.
Preguntas para Gerentes de Unidades de Negocios.
Preguntas para Administradores de Sistemas.
Scope Creep es una de las formas más eficientes de poner fuera del negocio a una empresa de pruebas de penetración. El problema es que muchas empresas y gerentes tienen poca o ninguna idea de cómo identificarlo o cómo reaccionar cuando sucede.
Hay un par de cosas para recordar cuando se lucha contra la fluencia del alcance. Primero, si un cliente está satisfecho con el trabajo realizado en un contrato en particular, es muy común que solicite trabajo adicional.
Tómese esto como un cumplido y no dude en solicitar financiación adicional para compensar el tiempo extra dedicado. Si un cliente se niega a pagar por el trabajo extra, casi nunca vale la pena quedarse para hacer ese trabajo. El segundo punto es aún más crítico. Cuando trate con clientes existentes, tenga cuidado de mantener los precios más bajos. Aprovechar una buena situación mediante el aumento de precios es una forma segura de evitar la repetición de negocios. Tenga en cuenta que los precios pueden reducirse ya que la empresa evitó los costos de adquisición del cliente, como el proceso formal de RFP y la búsqueda del
cliente mismo. Además, la mejor fuente de trabajo futuro es a través de los clientes existentes. Trátalos bien y volverán.
Especifique las fechas de inicio y finalización.
Otro componente clave que derrota el avance del alcance es indicar explícitamente las fechas de inicio y finalización. Esto permite que el proyecto tenga un final definitivo. Una de las áreas más comunes en las que se produce el deslizamiento del alcance es durante la repetición de la prueba. Volver a probar siempre suena como una buena idea cuando se busca un contrato. Muestra que la empresa es cuidadosa y diligente, tratando de garantizar que el cliente esté lo más seguro posible. El problema comienza cuando se olvida que el trabajo no se paga hasta que se termina. Esto incluye volver a realizar la prueba.
Para mitigar este riesgo, agregue una declaración simple al contrato que mencione que todas las nuevas pruebas deben realizarse dentro de un período de tiempo determinado después de la entrega del informe final. Entonces se convierte en responsabilidad de los probadores encabezar el esfuerzo de volver a probar. Si el cliente solicita una prórroga, permítala siempre con la condición de que el pago se realice en la fecha especificada originalmente. Finalmente, y lo más importante, realice una nueva prueba de calidad. Recuerde, la mejor fuente para el trabajo futuro es su base de clientes existente.
Especifique rangos de IP y dominios.
Antes de comenzar una prueba de penetración, se deben identificar todos los objetivos. Estos objetivos deben obtenerse del cliente durante la fase inicial del cuestionario. El cliente puede proporcionar objetivos en forma de direcciones IP específicas, rangos de red o nombres de dominio. En algunos casos, el único objetivo que proporciona el cliente es el nombre de la organización y espera que los probadores puedan identificar el resto por sí mismos. Es importante definir si los sistemas como firewalls e IDS/IPS o equipos de red que se encuentran entre el probador y el objetivo final también forman parte del alcance. Deben identificarse y definirse elementos adicionales, como proveedores ascendentes y otros proveedores externos, ya sea que estén dentro del alcance o no.
Validar rangos. Es imperativo que antes de comenzar a atacar los objetivos, valide que, de hecho, son propiedad del cliente contra el que está realizando la prueba. Piense en las consecuencias legales a las que se puede enfrentar si comienza a atacar una máquina y la penetra con éxito solo para descubrir más adelante que la máquina en realidad pertenece a otra organización (como un hospital o una agencia gubernamental).
Trato con terceros. Hay una serie de situaciones en las que un compromiso incluirá probar un servicio o una aplicación alojada por un tercero. Esto se ha vuelto más frecuente en los últimos años a medida que los servicios "en la nube" se han vueltomás populares. Lo más importante que debe recordar es que, si bien el cliente puede haber otorgado el permiso, no habla en nombre de sus proveedores externos. Por lo tanto, también se debe obtener el permiso de ellos para probar los sistemas alojados. No obtener los debidos permisos trae consigo, como siempre, la posibilidad de violar la ley, lo que puede causar un sinfín de quebraderos de cabeza.
Servicios en la nube. El mayor problema con la prueba del servicio en la nube es que hay datos de varias organizaciones diferentes almacenados en un medio físico. A menudo, la seguridad entre estos diferentes dominios de datos es muy laxa. El proveedor de servicios en la nube debe ser alertado sobre las pruebas y las necesidades.
para reconocer que la prueba está ocurriendo y otorgar permiso a la organización de prueba para realizar la prueba. Además, debe haber un contacto de seguridad directo dentro del proveedor de servicios en la nube al que se pueda contactar en caso de que se descubra una vulnerabilidad de seguridad que pueda afectar a otros clientes de la nube. Algunos proveedores de la nube tienen procedimientos específicos que deben seguir los evaluadores de penetración y pueden requerir formularios de solicitud, programación o permiso explícito de ellos antes de que puedan comenzar las pruebas.
ISP. Verifique los términos de servicio del ISP con el cliente. En muchas situaciones comerciales, el ISP tendrá disposiciones específicas para las pruebas. Revise estos términos detenidamente antes de lanzar un ataque. Ahí
son situaciones en las que los ISP evitarán y bloquearán cierto tráfico que se considera malicioso. los el cliente puede aprobar este riesgo, pero siempre debe ser comunicado claramente antes de comenzar. Alojamiento web Al igual que con todos los demás terceros, el alcance y el momento de la prueba deben comunicarse claramente con el proveedor de alojamiento web. Además, cuando se comunique con el cliente, asegúrese de articular claramente que la prueba solo será en busca de vulnerabilidades web. La prueba no descubrirá vulnerabilidades en la infraestructura subyacente que aún pueden proporcionar una vía para comprometer el solicitud.
MSSP. Es posible que también sea necesario notificar a los proveedores de servicios de seguridad administrados sobre las pruebas. Específicamente, deberán ser notificados cuando se vayan a probar los sistemas y servicios de los que son propietarios. Sin embargo, hay circunstancias bajo las cuales el MSSP no sería notificado. Si determinar el tiempo de respuesta real del MSSP es parte de la prueba, ciertamente no es lo mejor para la integridad de la prueba que se notifique el MSSP. Como regla general, cada vez que se prueba un dispositivo o servicio que pertenece explícitamente al MSSP, será necesario notificarlo.
Países donde están alojados los servidores. También está en el mejor interés del evaluador verificar los países donde se alojan los servidores. Una vez que haya validado el país, revise las leyes del país específico antes de comenzar la prueba. No se debe suponer que el equipo legal de la empresa proporcionará una sinopsis completa de las leyes locales para los evaluadores. Tampoco se debe suponer que la empresa asumirá la responsabilidad legal por cualquier ley violada por sus evaluadores. Es responsabilidad de cada probador verificar las leyes de cada región en la que están probando antes de comenzar a probar porque será el probador quien finalmente tendrá que responder por cualquier transgresión.
Definir pretextos de ingeniería social aceptables. Muchas organizaciones querrán que se pruebe su postura de seguridad de una manera que esté alineada con los ataques actuales. Actualmente, muchos atacantes utilizan ampliamente los ataques de ingeniería social y spear-phishing. Si bien la mayoría de los ataques exitosos usan pretextos como sexo, drogas y rock and roll (pornografía, Viagra y iPods gratis, respectivamente), algunos de estos pretextos pueden no ser aceptables en un entorno corporativo. Asegúrese de que cualquier pretexto elegido para la prueba esté aprobado por escrito antes de que comience la prueba.
Pruebas de DoS. Las pruebas de estrés o las pruebas de denegación de servicio deben discutirse antes de que comience el compromiso. Puede ser un tema con el que muchas organizaciones se sientan incómodas debido a la naturaleza potencialmente dañina de las pruebas. Si una organización solo está preocupada por la confidencialidad o la integridad de sus datos, es posible que no sea necesario realizar pruebas de estrés; sin embargo, si la organización también es
preocupados por la disponibilidad de sus servicios, entonces la prueba de estrés debe realizarse en un entorno que no sea de producción que sea idéntico al entorno de producción.
Términos de pago. Otro aspecto de la preparación para una prueba que muchos evaluadores olvidan por completo es cómo se les debe pagar. Al igual que las fechas de los contratos, debe haber fechas y términos específicos para los pagos. No es raro que las organizaciones más grandes retrasen el pago el mayor tiempo posible.
A continuación se muestran algunos métodos de pago comunes. Estos son simplemente ejemplos. Definitivamente se recomienda que cada organización cree y modifique su propia estructura de precios para adaptarse mejor a las necesidades de sus clientes y de ellos mismos. Lo importante es que se establezca algún tipo de estructura antes de que comiencen las pruebas.
Neto 30. El monto total vence dentro de los 30 días siguientes a la entrega del informe final. Esto suele ir asociado a una sanción porcentual mensual por falta de pago. Puede ser cualquier número de días que desee conceder a sus clientes.
Medio adelantado. No es raro solicitar la mitad de la factura total por adelantado antes de que comience la prueba. 
Esto es muy común para compromisos a largo plazo.
Periódico. Un calendario de pagos recurrentes se usa más comúnmente para compromisos a largo plazo. Por ejemplo, algunos compromisos pueden durar hasta uno o dos años. No es raro que el cliente pague en cuotas regulares durante todo el año.
Objetivos. Cada prueba de penetración debe estar orientada a objetivos. Es decir, el propósito de la prueba es identificar vulnerabilidades específicas que conducen a un compromiso de los objetivos comerciales o de la misión del cliente. No se trata de encontrar sistemas sin parchear. Se trata de identificar el riesgo que afectará negativamente a la organización.
Primario. El objetivo principal de una prueba no debe ser impulsado por el cumplimiento. Hay varias justificaciones diferentes para este razonamiento. Primero, el cumplimiento no es igual a la seguridad. Si bien debe entenderse que muchas organizaciones se someten a pruebas debido al cumplimiento, no debe ser el objetivo principal de la prueba. Por ejemplo, se puede contratar a una empresa para completar una prueba de penetración como parte de los requisitos de PCI-DSS.
No hay escasez de empresas que procesaninformación de tarjetas de crédito. Sin embargo, las características que hacen que la organización objetivo sea única y viable en un mercado competitivo tendrán el mayor impacto si se ven comprometidas. La vulneración de los sistemas de tarjetas de crédito sin duda sería un problema grave, pero la filtración de los números de las tarjetas de crédito, junto con todos los datos asociados de los clientes, sería catastrófico.
Secundario. Los objetivos secundarios están directamente relacionados con el cumplimiento. No es raro que los objetivos primarios y secundarios estén muy estrechamente relacionados. Por ejemplo, en el ejemplo de la prueba dirigida de PCI-DSS, obtener las tarjetas de crédito es el objetivo secundario. El objetivo principal es vincular esa violación de datos a los impulsores comerciales o de la misión de la organización. Los objetivos secundarios significan algo para el cumplimiento y/o TI. Los objetivos principales llaman la atención de la alta dirección.
Análisis de Negocios. Antes de realizar una prueba de penetración, es conveniente determinar el nivel de madurez de la postura de seguridad del cliente. Hay una serie de organizaciones que eligen pasar directamente a una prueba de penetración para evaluar primero este nivel de madurez. Para los clientes con un programa de seguridad muy inmaduro, a menudo es una buena idea realizar primero un análisis de vulnerabilidad.
Algunos evaluadores creen que existe un estigma en torno al trabajo de análisis de vulnerabilidad (VA). Esos evaluadores han olvidado que el objetivo es identificar los riesgos en la organización objetivo, no seguir el estilo de vida llamado "rockstar". Si una empresa no está lista para una prueba de penetración completa, obtendrá mucho más valor de un buen 
VA que de una prueba de penetración.
Establezca con el cliente de antemano qué información sobre los sistemas que proporcionará.
También puede ser útil solicitar información sobre vulnerabilidades que ya están documentadas.
Esto ahorrará tiempo a los probadores y ahorrará dinero al cliente al no superponer los descubrimientos de prueba con problemas conocidos. Del mismo modo, una prueba de caja blanca total o parcial puede brindarle más valor al cliente que una prueba de caja negra, si no es un requisito absoluto para el cumplimiento.
Establecer Líneas de Comunicación. Uno de los aspectos más importantes de cualquier prueba de penetración es la comunicación con el cliente. La frecuencia con la que interactúa con el cliente y la forma en que se acerca a él pueden marcar una gran diferencia en su sentimiento de satisfacción. A continuación se muestra un marco de comunicación que ayudará a que el cliente se sienta cómodo con la prueba.
ocupaciones.
Información de Contacto en caso de Emergencia. Obviamente, poder ponerse en contacto con el cliente o la organización objetivo en una emergencia es vital. Pueden surgir emergencias y se debe haber establecido un punto de contacto para manejarlas. Crear una lista de contactos de emergencia. Esta lista debe incluir información de contacto de todas las partes en el alcance de la prueba. Una vez creada, la lista de contactos de emergencia debe compartirse con todos los que están en la lista. Tenga en cuenta que la organización objetivo puede no ser la cliente.
Proceso de Reporte de Incidentes. Es importante discutir las capacidades actuales de respuesta a incidentes de la organización antes de un compromiso por varias razones. Parte de una prueba de penetración no es solo probar la seguridad que tiene una organización, sino también sus capacidades de respuesta a incidentes.
Si se puede completar un compromiso completo sin que los equipos de seguridad internos del objetivo se den cuenta, se ha identificado una brecha importante en la postura de seguridad. También es importante asegurarse de que antes de que comiencen las pruebas, alguien en la organización objetivo sepa cuándo se están realizando las pruebas para que el equipo de respuesta a incidentes no comience a llamar a todos los miembros de la alta gerencia en medio de la noche porque pensaron que fueron atacados o comprometidos.
Definición de incidente. El Instituto Nacional de Estándares y Tecnología (NIST) define un incidente de la siguiente manera: "una violación o amenaza inminente de violación de las políticas de seguridad informática, políticas de uso aceptable o prácticas de seguridad estándar". 
Un incidente también puede ocurrir a nivel físico, en el que una persona gana
acceso físico no autorizado a un área por cualquier medio. La organización objetivo debe tener diferentes categorías y niveles para diferentes tipos de incidentes.
Frecuencia del informe de estado. La frecuencia de los informes de estado puede variar ampliamente. Algunos factores que influyen en el cronograma de informes incluyen la duración total de la prueba, el alcance de la prueba y la madurez de la seguridad del objetivo. Un horario efectivo permite que el cliente se sienta comprometido. Un cliente ignorado es un 
antiguo cliente.
Una vez que se ha establecido la frecuencia y el cronograma de los informes de estado, se debe cumplir. Puede ser necesario posponer o retrasar un informe de estado, pero no debe volverse crónico. Se le puede pedir al cliente que acepte un nuevo horario si es necesario. Omitir un informe de estado por completo no es profesional y debe evitarse en la medida de lo posible.
PGP y Otras Alternativas. El cifrado no es opcional. La comunicación con el cliente es una parte absolutamente necesaria de cualquier compromiso de prueba de intrusión y, debido a la naturaleza confidencial del compromiso, las comunicaciones de información confidencial deben cifrarse, especialmente el informe final. Antes de que comience la prueba, se debe establecer un medio de comunicación segura con el cliente. Varios medios comunes de encriptación son los siguientes:
1.	PGP/GPG se puede utilizar tanto para comunicarse por correo electrónico como para cifrar el informe final (recuerde que las líneas de asunto se transmiten en texto sin formato)
2.	Un buzón seguro alojado en la red del cliente
3.	Teléfono 4. 
Reuniones cara a cara 5. 
Para entregar el informe final, también puede almacenar el informe en un archivo de almacenamiento cifrado AES, pero asegúrese de que su utilidad de archivo admita el cifrado AES mediante CBC.
También pregunte qué tipo de información se puede poner por escrito y cuál se debe comunicar solo verbalmente. Algunas organizaciones tienen muy buenas razones para limitar la información de seguridad que se les transmite por escrito.
Reglas del compromiso. Mientras que el alcance define lo que se probará, las reglas de compromiso definen cómo se llevará a cabo esa prueba. Estos son dos aspectos diferentes que necesitan ser manejados independientemente el uno del otro.
Línea de tiempo. Se debe establecer un cronograma claro para el compromiso. Mientras que el alcance define el inicio y el final de un compromiso,las reglas de compromiso definen todo lo que se encuentra en el medio. Debe entenderse que la línea de tiempo cambiará a medida que avance la prueba. Sin embargo, tener una línea de tiempo rígida no es el objetivo de crear una. Más bien, tener una línea de tiempo al comienzo de una prueba permitirá que todos los involucrados identifiquen más claramente el trabajo que se debe realizar y las personas que serán responsables de dicho trabajo. Los diagramas de GANTT y las estructuras de desglose del trabajo se utilizan a menudo para definir el trabajo y la cantidad de tiempo que llevará cada parte específica del trabajo. viendo el horario
desglosado de esta manera ayuda a los involucrados a identificar dónde se deben aplicar los recursos y ayuda al 
cliente a identificar posibles obstáculos que se pueden encontrar durante las pruebas.
Hay una serie de herramientas de gráficos de GANTT gratuitas disponibles en Internet. Muchos gerentes se identifican estrechamente con estas herramientas. Debido a esto, son un medio excelente para comunicarse con 
la alta dirección de una organización objetivo.
Ubicaciones. Otro parámetro de cualquier compromiso dado que es importante establecer con el cliente con anticipación son los destinos a los que los evaluadores deberán viajar durante la prueba.
Esto podría ser tan simple como identificar hoteles locales o complejo como identificar las leyes aplicables de un país de destino específico.
No es raro que una organización opere en múltiples ubicaciones y regiones y será necesario elegir algunos sitios selectos para la prueba. En estas situaciones, viajar a todas las ubicaciones de los clientes debe
Debe evitarse, en cambio, debe determinarse si las conexiones VPN a los sitios están disponibles para pruebas remotas. Divulgación de Información Sensible.
Si bien uno de los objetivos de un compromiso determinado puede ser obtener acceso a información confidencial, cierta información en realidad no debe verse ni descargarse. Esto parece extraño para los probadores más nuevos, sin embargo, hay una serie de situaciones en las que los probadores no deberían tener los datos de destino en su poder. Por ejemplo, la información de salud personal (PHI), según la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), estos datos deben estar protegidos. En algunas situaciones, es posible que el sistema de destino no tenga un firewall o un antivirus (AV) que lo proteja. En este tipo de situación, se debe evitar por completo que los probadores estén en posesión de toda la información de identificación personal (PII).
Sin embargo, si los datos no se pueden obtener física o virtualmente, ¿cómo se puede probar que los probadores realmente obtuvieron acceso a la información? Este problema se ha resuelto de varias formas.
Hay formas de probar que la puerta de la bóveda se abrió sin tomar nada del dinero. Por ejemplo, se puede tomar una captura de pantalla del esquema de la base de datos y los permisos de archivo, o se pueden mostrar los archivos en sí sin abrirlos para mostrar el contenido, siempre que no se vea PII en el archivo. nombres de archivo en sí mismos.
La cautela que deben tener los evaluadores en un compromiso determinado es un parámetro que debe discutirse con el cliente, pero la firma que realiza la prueba siempre debe asegurarse de protegerse en un sentido legal, independientemente de la opinión del cliente. Independientemente de la supuesta exposición a datos confidenciales, todas las plantillas de informes y las máquinas de prueba deben limpiarse lo suficiente después de cada compromiso. Como nota al margen especial, si los evaluadores descubren datos ilegales (es decir, pornografía infantil), se debe notificar inmediatamente a los funcionarios encargados de hacer cumplir la ley, seguidos por el cliente. No tome la dirección del cliente.
Manejo de Evidencia. Al manejar la evidencia de una prueba y las diferentes etapas del informe, es increíblemente importante tener mucho cuidado con los datos. Siempre use encriptación y desinfecte su máquina de prueba entre 
pruebas. Nunca entregue memorias USB con informes de pruebas en conferencias de seguridad.
Y hagas lo que hagas, ¡no reutilices un informe de otra interacción con el cliente como plantilla! Es muy poco profesional dejar referencias a otra organización en su documento.
Reuniones periódicas de estado. A lo largo del proceso de prueba, es fundamental tener reuniones periódicas con el cliente para informarle sobre el progreso general de la prueba. Estas reuniones deben realizarse diariamente y deben ser lo más breves posible. Las reuniones deben ceñirse a tres conceptos: planes, avances y problemas.
Los planes generalmente se discuten para que las pruebas no se realicen durante un cambio importante no programado o una interrupción. El progreso es simplemente una actualización para el cliente sobre lo que se ha completado hasta el momento. Los problemas también deben discutirse en esta reunión, pero en aras de la brevedad, las conversaciones sobre soluciones casi siempre deben desconectarse.
Hora del día para la prueba. Ciertos clientes requieren que todas las pruebas se realicen fuera del horario comercial. Esto puede significar largas noches para la mayoría de los probadores. Los requisitos de la hora del día deben estar bien establecidos con el cliente antes de que comience la prueba.
Lidiando con Shunning. Hay momentos en los que el rechazo es perfectamente aceptable y hay momentos en los que puede no encajar en el espíritu de la prueba. Por ejemplo, si su prueba va a ser una prueba de caja negra completa en la que está probando no solo la tecnología, sino también las capacidades del equipo de seguridad de la organización objetivo, evitarlo estaría perfectamente bien. Sin embargo, cuando está probando una gran cantidad de sistemas en coordinación con el equipo de seguridad de la organización de destino, es posible que no sea lo mejor para la prueba evitar sus ataques.
Permiso para probar. Uno de los documentos más importantes que deben obtenerse para una prueba de penetración es el documento Permiso para realizar la prueba. Este documento establece el alcance y contiene una firma que reconoce el conocimiento de las actividades de los probadores. Además, debe indicar claramente que las pruebas pueden conducir a la inestabilidad del sistema y el evaluador pondrá todo el cuidado debido para no bloquear los sistemas en el proceso. Sin embargo, debido a que las pruebas pueden generar inestabilidad, el cliente no responsabilizará al probador por cualquier inestabilidad o caída del sistema. Es fundamental que las pruebas no comiencen hasta que el cliente firme este documento.
Además, algunos proveedores de servicios requieren notificación previa y/o permiso por separado antes de probar sus sistemas. Por ejemplo, Amazon tiene un formulario de solicitud en línea que debe completarse y la solicitud debe aprobarse antes de escanear cualquier host en su nube.Si esto es requerido, debe ser parte del documento.
Consideraciones legales. Algunas actividades comunes en las pruebas de penetración pueden violar las leyes locales. Por esta razón, se recomienda verificar la legalidad de las tareas comunes de pentest en el lugar donde se realizará el trabajo. Por ejemplo, cualquier llamada VOIP capturada en el curso de la prueba de penetración puede considerarse escuchas telefónicas en algunas áreas.
Capacidades y tecnología en su lugar. Las buenas pruebas de penetración no solo verifican los sistemas sin parches. También ponen a prueba las capacidades de la organización objetivo. Con ese fin, a continuación hay una lista de cosas que puede comparar durante la prueba.
1. Habilidad para detectar y responder a la recopilación de información 2. 
Habilidad para detectar y responder a huellas
3.	Capacidad para detectar y responder a escaneos y análisis de vulnerabilidades 
4.	Capacidad para detectar y responder a infiltraciones (ataques)
5.	Capacidad para detectar y responder a la agregación de datos 
6.	Capacidad para detectar y responder a la exfiltración de datos
La recogida de información.
Recopilación de información de nivel 1. (piense: Impulsado por el cumplimiento) Principalmente un proceso de recopilación de información con un solo clic. Este nivel de información se puede obtener casi en su totalidad mediante herramientas automatizadas. Lo mínimo para decir que hiciste IG para un PT. Se requiere que Acme Corporation cumpla con PCI / FISMA / HIPAA. Un esfuerzo de recopilación de información de Nivel 1 debe ser apropiado para cumplir con el requisito de cumplimiento.
Recopilación de información de nivel 2 (piense: mejores prácticas) Este nivel se puede crear utilizando herramientas automatizadas del nivel 1 y algunos análisis manuales. Una buena comprensión del negocio, incluida información como la ubicación física, las relaciones comerciales, el organigrama, etc. Se requiere que Widgets Inc cumpla con PCI, pero está interesado en su estrategia de seguridad a largo plazo y está adquiriendo varios fabricantes de widgets más pequeños. . Un esfuerzo de recopilación de información de Nivel 2 debe ser apropiado para satisfacer sus necesidades.
Recopilación de información de nivel 3 (piense: Patrocinado por el estado) Pentest más avanzado, Redteam, alcance completo. 
Toda la información del nivel 1 y el nivel 2 junto con una gran cantidad de análisis manual. Piense en cultivar relaciones en SocNet, análisis pesado, comprensión profunda de las relaciones comerciales, probablemente una gran cantidad de horas para lograr la recopilación y la correlación. Un Equipo Rojo del Ejército tiene la tarea de analizar y atacar un segmento de la red del Ejército en un país extranjero para encontrar debilidades que podrían ser explotadas por un ciudadano extranjero. Un esfuerzo de recopilación de información de nivel 3 sería apropiado
en este caso.
Recopilación de inteligencia está realizando un reconocimiento contra un objetivo para recopilar la mayor cantidad de información posible que se utilizará al penetrar el objetivo durante las fases de evaluación y explotación de la vulnerabilidad. Cuanta más información pueda recopilar durante esta fase, más vectores de ataque podrá utilizar en el futuro. La inteligencia de código abierto (OSINT) es una forma de gestión de recopilación de inteligencia que implica encontrar, seleccionar y adquirir información de fuentes disponibles públicamente y analizarla para producir inteligencia procesable.
Realizamos recopilación de inteligencia de código abierto para determinar varios puntos de entrada en una organización. Estos puntos de entrada pueden ser físicos, electrónicos y/o humanos. Muchas empresas no tienen en cuenta qué información acerca de sí mismas ponen en público y cómo esta información puede ser utilizada por un atacante determinado. Además de eso, muchos empleados no tienen en cuenta qué información publican sobre sí mismos y cómo se puede usar esa información para atacarlos a ellos o a su empleador.
OSINT puede no ser preciso u oportuno. Las fuentes de información pueden manipularse de forma deliberada/accidental para reflejar datos erróneos, la información puede volverse obsoleta con el paso del tiempo o simplemente estar incompleta. No abarca el buceo en contenedores ni ningún otro método para recuperar información de la empresa a partir de elementos físicos que se encuentran en las instalaciones.
Selección de objetivos Identificación y denominación de objetivos. Al acercarse a una organización objetivo, es importante comprender que una empresa puede tener varios dominios de nivel superior (TDL) diferentes y negocios auxiliares. Si bien esta información debería haberse descubierto durante la fase de alcance, no es tan inusual identificar dominios de servidores adicionales y empresas que pueden no haber sido parte del alcance inicial que se discutió en la fase previa al compromiso. Por ejemplo, una empresa puede tener un TDL de .com. Sin embargo, también pueden tener .net .co y .xxx. Estos pueden necesitar ser parte del alcance revisado, o pueden estar fuera de los límites. De cualquier manera, debe aclararse con el cliente antes de que comience la prueba. Tampoco es tan raro que una empresa tenga varias subempresas debajo de ellas. Por ejemplo, General Electric y Proctor and Gamble poseen una gran cantidad de empresas más pequeñas.
Considere cualquier limitación de las Reglas de compromiso. En este punto es una buena idea revisar las Reglas de Enfrentamiento. Es común que estos se olviden durante una prueba. A veces, como probadores, nos envolvemos tanto en lo que encontramos y las posibilidades de ataque que olvidamos qué direcciones IP, dominios y redes podemos atacar. Siempre, haga referencia a las Reglas de compromiso para mantener sus pruebas enfocadas. Esto no solo es importante desde una perspectiva legal, sino que también es importante desde una perspectiva de desplazamiento del alcance. Cada vez que te desvías de los objetivos centrales de la prueba, te cuesta tiempo. Y, a la larga, eso puede costarle dinero a su empresa.
Considere la duración del tiempo para la prueba. La cantidad de tiempo para la prueba total afectará directamente la cantidad de recopilación de inteligencia que se puede realizar. Hay algunas pruebas donde el tiempo total es de dos a tres meses. En estos compromisos, una empresa de pruebas dedicaría una gran cantidad de tiempo a investigar cada una de las unidades comerciales centrales y el personal de la empresa. Sin embargo, para pruebas de estilo de caja de cristal más cortas, los objetivos pueden ser mucho más tácticos. Por ejemplo, es posible que probar una aplicación web específica no requiera que investigue los registros financieros del director general de la empresa.
Considere el objetivo final de la prueba. Cada prueba tiene un objetivo final en mente: un activo o proceso particular que la organización considera crítico. Teniendo en cuenta el resultado final, la fase de recopilación de inteligencia debe asegurarsede incluir todos los elementos secundarios y terciarios que rodean el objetivo final. Ya sean 
tecnologías de soporte, terceros, personal relevante, etc.	. Asegurarse de que el enfoque se 
mantenga en los activos críticos asegura que los elementos de inteligencia menos relevantes se desprioricen y se clasifiquen como tales para no intervenir en el proceso de análisis.
Open Source Intelligence (OSINT) toma tres formas; Pasivo, Semi-pasivo y Activo. • Recopilación de información pasiva: la recopilación de información pasiva generalmente solo es útil si existe un requisito muy claro de que las actividades de recopilación de información nunca sean detectadas por el objetivo.
Este tipo de creación de perfiles es técnicamente difícil de realizar, ya que nunca enviamos tráfico a la organización de destino ni desde uno de nuestros hosts o hosts o servicios "anónimos" a través de Internet. Esto significa que solo podemos usar y recopilar información archivada o almacenada. Como tal, esta información puede estar desactualizada o ser incorrecta, ya que estamos limitados a los resultados recopilados de un tercero.
•	Recopilación de información semipasiva: el objetivo de la recopilación de información semipasiva es perfilar el objetivo con métodos que parecerían el tráfico y el comportamiento normal de Internet. Solo consultamos los servidores de nombres publicados para obtener información, no realizamos búsquedas inversas detalladas ni solicitudes de DNS de fuerza bruta, no buscamos servidores o directorios "no publicados". No estamos ejecutando escaneos de puertos o rastreadores a nivel de red y solo estamos buscando metadatos en documentos y archivos publicados; no buscar activamente contenido oculto. La clave aquí es no llamar la atención sobre nuestras actividades.
Post mortem, el objetivo puede regresar y descubrir las actividades de reconocimiento, pero no debería poder atribuir la actividad a nadie. • Recopilación activa de información: el objetivo y el comportamiento sospechoso o malicioso deben detectar la recopilación activa de información. Durante esta etapa, estamos mapeando activamente la infraestructura de red (piense en escaneos completos de puertos nmap–p1-65535), enumerando activamente y/o escaneando vulnerabilidades de los servicios abiertos, estamos buscando activamente directorios, archivos y servidores no publicados. La mayor parte de esta actividad cae en sus actividades típicas de "reconocimiento" o "escaneo" para su pentest estándar.
Corporativo.
Físico. Ubicaciones (L1). Listado por ubicación de la dirección completa, propiedad, registros asociados (ciudad, impuestos, legal, etc.), Listado completo de todas las medidas de seguridad física para la ubicación (colocaciones de cámaras, sensores, cercas, puestos de guardia, control de entrada, puertas, tipo de identificación , entrada del proveedor, ubicaciones físicas basadas en bloques de IP/servicios de geolocalización, etc. . . Para hosts/NOC: notación CIDR completa de hosts y redes, listado completo de DNS de todos los activos asociados, mapeo completo de AS, rutas de emparejamiento, aprovisionamiento de CDN, propietarios de bloques de red (datos whois), registros de correo electrónico (MX + estructura de dirección de correo) 
•	Propietario (L1/L2) • Registros de tierras/impuestos (L1/L2) • Compartido/individual (L1/L2) • Zonas horarias (L1/L2) • 
Anfitriones / CON
Omnipresencia (L1)
No es raro que una organización objetivo tenga múltiples ubicaciones físicas separadas. Por ejemplo, un banco tendrá oficinas centrales, pero también tendrá numerosas sucursales remotas.
Si bien la seguridad física y técnica puede ser muy buena en las ubicaciones centrales, las ubicaciones remotas suelen tener controles de seguridad deficientes.
Relaciones (L1)
Socios comerciales, aduanas, proveedores, análisis vía whats compartidos abiertamente en páginas web corporativas, empresas de alquiler, etc. Esta información puede ser utilizada para comprender mejor los proyectos empresariales u organizacionales. 
Por ejemplo, ¿qué productos y servicios son críticos para la organización objetivo?
Además, esta información también se puede utilizar para crear escenarios de ingeniería social exitosos. • Relaciones • Espacio de oficina compartido • Infraestructura compartida • Equipo alquilado/arrendado 
Información acumulada lógica para socios, clientes y competidores: para cada uno, una lista completa del nombre comercial, dirección comercial, tipo de relación, información financiera básica, información básica de hosts/red. • Socios comerciales • Clientes comerciales • Competidores • Touchgraph • Perfil de aspiradoras • Línea de productos • Mercado vertical • Cuentas de marketing • Reuniones • Fechas importantes de la empresa • Ofertas de empleo • Afiliaciones benéficas • RFP, RFQ y otra información de licitación pública • Registros judiciales • Donaciones políticas • Licencias o registros profesionales 
Electrónico
Los metadatos del documento proporcionan información sobre los datos/documentos en el alcance. Puede tener información como el nombre del autor/creador, la hora y la fecha, los estándares utilizados/referidos, la ubicación en una red informática (impresora/carpeta/ruta del directorio/etc. información), geo etiqueta, etc. Para una imagen, sus metadatos pueden contienen color, profundidad, resolución, marca/tipo de cámara e incluso las coordenadas y la información de ubicación. Es importante porque contiene información sobre la red interna, nombres de usuario, direcciones de correo electrónico, ubicaciones de impresoras, etc. y ayudará a crear un plano de la ubicación. También contiene información sobre el software utilizado en la creación de los respectivos documentos. Esto puede permitir que un atacante cree un perfil y/o realice ataques dirigidos con conocimiento interno sobre las redes y los usuarios. Hay herramientas disponibles para extraer los metadatos del archivo.
(pdf/word/imagen) como FOCA (basado en GUI), metagoofil (basado en python), meta-extractor, exiftool (basado en perl). Estas herramientas son capaces de extraer y mostrar los resultados en diferentes formatos como HTML, XML, GUI, JSON, etc. La entrada a estas herramientas es principalmente un documento descargado de la presencia pública del 'cliente' y luego analizado para saber más sobre él. . Mientras que FOCA lo ayuda a buscar documentos, descargarlos y analizarlos a través de su interfaz GUI.
Comunicaciones de marketing 
Las campañas de marketing anteriores brindan información sobre proyectos que podrían haber sido retirados y que aún podrían estar accesibles. Las comunicaciones de marketing actuales contienen componentes de diseño (colores, fuentes, gráficos, etc.) que en su mayor parte también se utilizan internamente. Información de contacto adicional, incluidas organizaciones de marketing externas.
Activos de infraestructura
Bloques de red en propiedad. Los bloques de red propiedad de la organización se pueden obtener de forma pasiva al realizar búsquedas whois. DNSStuff.com es una ventanilla única para obtener este tipo de información.
Las búsquedasde código abierto de direcciones IP podrían generar información sobre los tipos de infraestructura en el objetivo. Los administradores a menudo publican información de direcciones IP en el contexto de solicitudes de ayuda en varios sitios de soporte.
Correos electrónicos. Las direcciones de correo electrónico proporcionan una lista potencial de nombres de usuario y estructuras de dominio válidos.
Las direcciones de correo electrónico se pueden recopilar de múltiples fuentes, incluido el sitio web de la organización.
Perfil de infraestructura externa. El perfil de la infraestructura externa del objetivo puede proporcionar una gran cantidad de información sobre las tecnologías utilizadas internamente. Esta información se puede recopilar de múltiples fuentes, tanto de forma pasiva como activa. El perfil debe utilizarse para ensamblar un escenario de ataque contra la infraestructura externa.
Tecnologías utilizadas. Las búsquedas de OSINT a través de foros de soporte, listas de correo y otros recursos pueden recopilar información de las tecnologías utilizadas en el objetivo. Uso de ingeniería social contra la organización de tecnología de la información identificada. Uso de la ingeniería social contra los vendedores de productos
Acuerdos de compra. Los acuerdos de compra contienen información sobre hardware, software, licencias y activos tangibles adicionales existentes en el destino.
Acceso remoto. La obtención de información sobre cómo los empleados y/o clientes se conectan al objetivo para el acceso remoto proporciona un punto potencial de ingreso. A menudo, los enlaces al portal de acceso remoto están disponibles en la página de inicio del objetivo. Cómo documentos revelan aplicaciones/procedimientos para conectarse para usuarios remotos
Uso de la aplicación. Reúna una lista de aplicaciones conocidas utilizadas por la organización de destino. Esto a menudo se puede lograr extrayendo metadatos de archivos de acceso público (como se discutió anteriormente)
Tecnologías de defensa. Las tecnologías defensivas de huellas dactilares en uso se pueden lograr de varias maneras dependiendo de las defensas en uso.
Toma dactiloscópica pasiva. Busque foros e información de acceso público donde los técnicos de la organización objetivo puedan discutir problemas o solicitar asistencia sobre la tecnología en uso.
Busque información de marketing para la organización objetivo, así como proveedores de tecnología populares.
Usando Tin-eye (u otra herramienta de comparación de imágenes), busque el logotipo de la organización objetivo para ver si aparece en las páginas de referencia del proveedor o en el material de marketing.
Toma dactilar activa. Envíe los paquetes de prueba apropiados a los sistemas de cara al público para probar los patrones de bloqueo. Existen varias herramientas para la toma de huellas dactilares de tipos específicos de WAF. La información del encabezado, tanto en las respuestas del sitio web de destino como en los correos electrónicos, a menudo muestra información no solo sobre los sistemas en uso, sino también sobre los mecanismos de protección específicos habilitados (por ejemplo, escáneres antivirus de puerta de enlace de correo electrónico)
Capacidad humana. Descubrir la capacidad humana defensiva de una organización objetivo puede ser difícil. Hay varias piezas clave de información que podrían ayudar a juzgar la seguridad de la organización objetivo. • Verifique la presencia de un equipo CERT/CSIRT/
PSRT de toda la empresa. • Verifique los trabajos anunciados para ver con qué frecuencia se incluye un puesto de seguridad. • Verifique los trabajos anunciados para ver si la seguridad figura como un requisito para los trabajos que no son de seguridad ( por ejemplo, desarrolladores) • Verifique los acuerdos de subcontratación para ver si la seguridad del objetivo ha sido subcontratada parcial o totalmente • Verifique si hay personas específicas que trabajen para la empresa que puedan estar activas en la comunidad de seguridad
Financiero
Informes. Los objetivos de información financiera dependerán en gran medida de la ubicación de la organización.
Los informes también se pueden realizar a través de la oficina central de la organización y no para cada sucursal.
En 2008, la SEC emitió una hoja de ruta propuesta para la adopción de las Normas Internacionales de Información Financiera (NIIF) en los EE. UU.
Análisis de mercado. Obtenga informes de análisis de mercado de organizaciones analistas (como Gartner, IDC, Forrester, 541, etc. . . ). Esto debe incluir cuál es la definición del mercado, la capitalización del mercado, los competidores y cualquier cambio importante en la valoración, el producto o la empresa en general.
Comercio de capitales. Identifique si la organización está asignando cualquier capital comercial y en qué porcentaje de la valoración general y el capital libre tiene. Esto indicará qué tan sensible es la organización a las fluctuaciones del mercado y si depende de la inversión externa como parte de su valoración y flujo de efectivo.
Historial de valores. Trazado de la valoración de la organización a lo largo del tiempo, con el fin de establecer la correlación entre los eventos externos e internos, y su efecto en la valoración.
EDGAR (SEC) (el sistema de recopilación, análisis y recuperación de datos electrónicos) es una base de datos de EE. UU.
Comisión de Bolsa y Valores (SEC) que contiene declaraciones de registro, informes periódicos y otra información de todas las empresas 
(tanto extranjeras como nacionales) que están obligadas por ley a presentar.
Los datos son importantes porque, además de la información financiera, identifican al personal clave dentro de una empresa que, de otro modo, podría no ser notable en el sitio web de la empresa u otra presencia pública.
También incluye declaraciones de compensación ejecutiva, nombres y direcciones de los principales
accionistas, un resumen de los procesos judiciales contra la empresa, factores de riesgo económico y otros datos potencialmente interesantes.
Reunión encubierta corporativa. Reunión en el lugar. Seleccionar ubicaciones específicas para la reunión en el sitio y luego realizar un reconocimiento a lo largo del tiempo (generalmente al menos 2 o 3 días para asegurar patrones). Se buscan los siguientes elementos al realizar la recopilación de inteligencia en el sitio: • Inspecciones de seguridad física • Escaneo inalámbrico/escaneo de frecuencia RF • Inspección de capacitación de comportamiento de los empleados • Instalaciones accesibles/adyacentes (espacios compartidos) • Buceo en contenedores • Tipos de equipos en uso
Reunión fuera del sitio.
Identificar ubicaciones fuera del sitio y su importancia/relación con la organización. Estas son ubicaciones tanto lógicas como físicas según lo siguiente:
• Ubicaciones de centros de datos • Aprovisionamiento/proveedor de red
Huellas.
La recopilación de información externa, también conocida como huella, es una fase de recopilación de información que consiste en la interacción con el objetivo para obtener información desde una perspectiva externaa la organización. Se puede recopilar mucha información interactuando con los objetivos. Al sondear un servicio o dispositivo, a menudo puede crear escenarios en los que se pueden tomar huellas dactilares, o incluso más simplemente, se puede obtener un banner que identificará el dispositivo. Este paso es necesario para recopilar más información sobre sus objetivos. Su objetivo, después de esta sección, es una lista priorizada de objetivos.
Huella externa.
Identificar rangos externos de clientes. Uno de los principales objetivos de la recopilación de inteligencia durante una prueba de penetración es determinar los hosts que estarán dentro del alcance. Hay una serie de técnicas que se pueden usar para identificar sistemas, incluido el uso de búsquedas de DNS inversas, extracción de DNS, búsquedas de WHOIS en los dominios y los rangos. Estas técnicas y otras se documentan a continuación.
Reconocimiento Pasivo. Búsquedas de WHOIS.
Para la huella externa, primero debemos determinar cuál de los servidores de WHOIS contiene la información que buscamos. Dado que debemos conocer el TLD para el dominio de destino, simplemente tenemos que ubicar el registrador con el que está registrado el dominio de destino. La información de WHOIS se basa en una jerarquía de árbol. ICANN (IANA) es el registro autorizado para todos los TLD y es un excelente punto de partida para todas las consultas manuales de WHOIS.
Gafas BGP. Es posible identificar el Número de Sistema Autónomo (ASN) para las redes que participan en el Protocolo de Pasarela Fronteriza (BGP). Dado que las rutas de ruta BGP se anuncian en todo el mundo, podemos encontrarlas utilizando un espejo BGP4 y BGP6.
Huella activa Escaneo de puertos Las técnicas de escaneo de puertos variarán según la cantidad de tiempo disponible para la prueba y la necesidad de ser sigiloso. Si no hay conocimiento de los sistemas, se puede usar un escaneo de ping rápido para identificar los sistemas. Además, se debe ejecutar un escaneo rápido sin verificación de ping (-PN en nmap) para detectar los puertos disponibles más comunes. Una vez que esto se completa, se puede ejecutar un análisis más completo.
Algunos evaluadores verifican solo los puertos TCP abiertos, asegúrese de verificar también UDP. Nmap ("Network Mapper") es el estándar de facto para la auditoría/escaneo de redes. Nmap se ejecuta en Linux y Ventanas.
Nmap tiene docenas de opciones disponibles. Dado que esta sección se ocupa de la exploración de puertos, nos centraremos en los comandos necesarios para realizar esta tarea. Es importante tener en cuenta que los comandos utilizados dependen principalmente del tiempo y la cantidad de hosts que se escanean. Cuantos más hosts o menos tiempo tenga para realizar estas tareas, menos interrogaremos al host. Esto se hará evidente a medida que continuamos discutiendo las opciones. También se debe probar IPv6.
Banner Grabbing Banner Grabbing es una técnica de enumeración utilizada para recopilar información sobre los sistemas informáticos en una red y los servicios que ejecutan sus puertos abiertos. La captura de banner se utiliza para identificar en la red la versión de las aplicaciones y el sistema operativo que se ejecuta en el host de destino.
La captura de banners generalmente se realiza en el Protocolo de transferencia de hipertexto (HTTP), el Protocolo de transferencia de archivos (FTP) y el Protocolo simple de transferencia de correo (SMTP); puertos 80, 21 y 25 respectivamente. Las herramientas comúnmente utilizadas para capturar banners son Telnet, nmap y Netcat.
También se realizan barridos SNMP, ya que ofrecen toneladas de información sobre un sistema específico. El protocolo SNMP es un protocolo orientado a datagramas sin estado. Desafortunadamente, los servidores SNMP no responden a las solicitudes con cadenas de comunidad no válidas y el protocolo UDP subyacente no informa de manera confiable sobre los puertos UDP cerrados. Esto significa que "sin respuesta" de una dirección IP probada puede significar cualquiera de los siguientes: • máquina inaccesible
• El servidor SNMP no se está ejecutando. • Cadena de comunidad no válida. • El datagrama de respuesta aún no ha llegado.
El DNS de transferencias de zona, también conocido como AXFR, es un tipo de transacción de DNS. Es un mecanismo diseñado para replicar las bases de datos que contienen los datos DNS en un conjunto de servidores DNS. La transferencia de zona viene en dos versiones, completa (AXFR) e incremental (IXFR). Existen numerosas herramientas disponibles para probar la capacidad de realizar una transferencia de zona DNS. Las herramientas comúnmente utilizadas para realizar transferencias de zona son host, dig y nmap.
SMTP Bounce Back, también llamado informe/recibo de no entrega (NDR), mensaje de notificación de estado de entrega (DSN) (fallido), notificación de no entrega (NDN) o simplemente rebote, es un mensaje de correo electrónico automatizado de un sistema de correo informando al remitente de otro mensaje sobre un problema de entrega. Esto se puede usar para ayudar a un atacante a tomar una huella digital del servidor SMTP, ya que la información del servidor SMTP, incluido el software y las versiones, puede incluirse en un mensaje de rebote.
El descubrimiento de DNS se puede realizar mirando los registros de WHOIS para el servidor de nombres autorizado del dominio. Además, se deben verificar las variaciones del nombre de dominio principal y el sitio web debe verificarse en busca de referencias a otros dominios que podrían estar bajo el control del objetivo.
El DNS directo/inverso se puede utilizar para obtener nombres de servidor válidos en uso dentro de una organización.
Hay una advertencia de que debe tener un registro DNS PTR (inverso) para que pueda resolver un nombre de una dirección 
IP proporcionada. Si se resuelve, se devuelven los resultados. Esto generalmente se realiza probando el servidor con varias direcciones IP para ver si arroja algún resultado.
Fuerza bruta DNS. Después de identificar toda la información asociada con los dominios del cliente, ahora es el momento de comenzar a consultar el DNS. Dado que el DNS se usa para asignar direcciones IP a nombres de host y viceversa, querremos ver si está configurado de manera insegura. Buscaremos usar DNS para revelar información adicional sobre el cliente. Una de las configuraciones erróneas más graves que involucran DNS es permitir que los usuarios de Internet realicen una transferencia de zona DNS. Hay varias herramientas que podemos usar para enumerar DNS no solo para verificar la capacidad de realizar transferencias de zona, sino también para descubrir potencialmente nombres de host adicionales que no se conocen comúnmente.
Descubrimiento de aplicaciones web. Identificar aplicaciones web débiles puede ser una actividad particularmente fructífera durante una prueba de penetración. Las cosas que debe buscar incluyen aplicaciones OTS que se han configurado incorrectamente, aplicaciones OTS que tienen funcionalidad de complemento (los complementosa menudo contienen un código más vulnerable que la aplicación base) y aplicaciones personalizadas. Las huellas digitales de aplicaciones web como WAFP se pueden usar aquí con gran efecto.
Detección y enumeración de hosts virtuales. Los servidores web a menudo alojan múltiples hosts "virtuales" para consolidar la funcionalidad en un solo servidor. Si varios servidores apuntan a la misma dirección DNS, es posible que estén alojados en el mismo servidor. Se pueden usar herramientas como la búsqueda de MSN para asignar una dirección IP a un conjunto 
de hosts virtuales.
Establecer lista de objetivos externos. Una vez que se hayan completado las actividades anteriores, se debe compilar una lista de usuarios, correos electrónicos, dominios, aplicaciones, hosts y servicios.
Mapeo de versiones. La verificación de la versión es una forma rápida de identificar la información de la aplicación. Hasta cierto punto, las versiones de los servicios se pueden identificar con nmap, y las versiones de las aplicaciones web a menudo se pueden recopilar mirando la fuente de una página arbitraria.
Identificación de niveles de parche. Para identificar internamente el nivel de parche de los servicios, considere usar un software que interrogue al sistema en busca de diferencias entre versiones. Las credenciales se pueden utilizar para esta fase de la prueba de penetración, siempre que el cliente haya dado su consentimiento. Los escáneres de vulnerabilidades son particularmente efectivos para identificar niveles de parches de forma remota, sin credenciales.
Buscando aplicaciones web débiles. Identificar aplicaciones web débiles puede ser una actividad particularmente fructífera durante una prueba de penetración. Las cosas que debe buscar incluyen aplicaciones OTS que se han configurado incorrectamente, aplicaciones OTS que tienen funcionalidad de complemento (los complementos a menudo contienen un código más vulnerable que la aplicación base) y aplicaciones personalizadas. Las huellas digitales de aplicaciones web como WAFP se pueden usar aquí con gran efecto.
Identificar el umbral de bloqueo. Identificar el umbral de bloqueo de un servicio de autenticación le permitirá asegurarse de que sus ataques de fuerza bruta no bloqueen intencionalmente a usuarios válidos durante su prueba. Identifique todos los servicios de autenticación dispares en el entorno y pruebe el bloqueo de una cuenta única e inocua. A menudo, de 5 a 10 intentos de una cuenta válida es suficiente para determinar si el servicio bloqueará a los usuarios.
Reconocimiento Pasivo de 
Huellas Internas. Si el probador tiene acceso a la red interna, la detección de paquetes puede proporcionar una gran cantidad de información. Utilice técnicas como las implementadas en p0f para identificar sistemas.
Identificar rangos internos del cliente. Al realizar pruebas internas, enumere primero su subred local y, a menudo, puede extrapolar desde allí a otras subredes modificando ligeramente la dirección.
Además, una mirada a la tabla de enrutamiento de un host interno puede ser particularmente reveladora. A continuación se presentan una serie de técnicas que se pueden utilizar. Los servidores DHCP pueden ser una fuente potencial no solo de información local, sino también de un rango de IP remoto y detalles de hosts importantes. La mayoría de los servidores DHCP proporcionarán una dirección de puerta de enlace IP local, así como la dirección de los servidores DNS y WINS. En las redes basadas en Windows, los servidores DNS tienden a ser controladores de dominio de Active Directory y, por lo tanto, objetivos de interés.
Reconocimiento activo
El reconocimiento activo interno debe contener todos los elementos de uno externo y, además, debe centrarse en la funcionalidad de la intranet, como: • Servicios de directorio (Active Directory, Novell, Sun, etc. . . ) • Sitios de la intranet que brindan funcionalidad 
comercial • Aplicaciones empresariales ( ERP, CRM, Contabilidad, etc. . . ) (contabilidad, • Identificación I+D, demarketing, segmentos etc. . . ) de red sensibles • Mapeo de acceso 
a redes de producción (datacenters)
•	Infraestructura VoIP
•	Aprovisionamiento de autenticación (kerberos, tokens de cookies, etc. . . ) • 
Gestión de proxy y acceso a Internet
Modelado de amenazas
El estándar se centra en dos elementos clave del modelado de amenazas tradicional: activos y atacante (comunidad de amenazas/agente). 
Cada uno se desglosa respectivamente en activos comerciales y procesos comerciales y las comunidades de amenazas y sus capacidades.
Al modelar el lado del atacante, además de la comunidad de amenazas (que es principalmente semántica y puede vincularse con el análisis DAFO comercial de la organización) y las capacidades (que es principalmente técnica), también se deben proporcionar aspectos adicionales del modelado de motivación. Estos puntos adicionales esencialmente toman en cuenta el valor de los diferentes activos disponibles en el objetivo y se combinan con el costo de adquirirlo. Como modelo complementario, también se debe realizar un modelo de impacto para la organización a fin de proporcionar una visión más precisa del "¿qué pasaría si?" escenario que rodea el evento de pérdida de cada uno de los activos identificados. Esto debe tener en cuenta el valor “neto” de los activos, su valor intrínseco y otros costos incurridos indirectamente asociados con un evento de pérdida.
La fase de modelado de amenazas de cualquier compromiso de prueba de penetración es fundamental tanto para los evaluadores como para la organización. Brinda claridad en cuanto al apetito por el riesgo y la priorización de la organización (¿qué activos son más importantes que otros? ¿Qué comunidades de amenazas son más relevantes que otras?). Además, permite que el probador se concentre en brindar un compromiso que emule de cerca las herramientas, técnicas, capacidades, accesibilidad y perfil general del atacante, teniendo en cuenta cuáles son los objetivos reales dentro de la organización de modo que los controles, procesos más relevantes. y la infraestructura se ponen a prueba en lugar de una lista de inventario de elementos de TI. El modelo de amenazas debe construirse en coordinación con la organización que se está probando siempre que sea posible, e incluso en una situación de caja negra completa donde el probador no tiene información previa sobre la organización, el probador debe crear un modelo de amenazas basado en la vista del atacante. en combinación con OSINT relacionado con la organización de destino.
Proceso de modelado de amenazas de alto nivel
1.	Reúna la documentación pertinente
2.	Identificar y categorizar activos primarios y secundarios 3. Identificar y categorizar amenazas y comunidades de amenazas 4. Mapear comunidades de amenazas contra activos primarios y secundarios
Análisis de vulnerabilidad.
La prueba de vulnerabilidad es el proceso de descubrir fallas en sistemas y aplicaciones que un atacante puede aprovechar. Estas fallas pueden ir desde una configuración incorrecta del host y el servicio hasta un diseño de aplicación