En el artículo de la semana pasada  hicimos un pantallazo de lo viejo y nuevo en cuanto a las pruebas de penetración.  Hoy iremos en detalle sobre qué tradicionalmente incluye una prueba de penetración interna y lo que Greenfence Security considera debe incluir también.

Prueba de Penetración Interna Tradicional

Características que tradicionalmente se encuentran dentro de una prueba de penetración interna:

1. Se le da acceso a la compañía consultora a la red interna por medio de un servidor provisto por la compañía consultora   o por medio de un  VPN del tipo remoto.
2. Proveedor realiza escaneos a toda la red que es parte del alcance.
3. Para los IPs identificados se hace un escaneo de vulnerabilidades.
4. Tomando como base el listado de equipos vulnerables que reporta la herramienta del paso paso anterior, el proveedor ataca a los servicios vulnerables.
5. El proveedor ataca hasta que obtiene privilegios administrativos en el Directorio Activo o hasta que logra permisos administrativos en otros equipos.
6. Se presenta un reporte de hallazgos y recomendaciones altamente influenciado en lo que generó la herramienta de escaneo de vulnerabilidades utilizado en el paso #3.

Prueba de Penetración Interna Recomendada por Greenfence Security

Para lograr un mejor retorno a la inversión Greenfence Security recomienda a sus clientes:

1. Identificar los activos cuya vulneración tendrían como consecuencia el mayor daño a la empresa cliente.
2. Para aquellos activos, los llamados joyas de la corona, Greenfence Security recomienda definir “objetivos puntuales” como obtener un archivo específico de un directorio que se conoce no es accesible por usuarios no autorizados.
3. Comparta la mayor cantidad de información con el consultor sobre los riesgos conocidos.  Esto le permitirá al consultor identificar nuevas maneras de aprovechar dichos riesgos o a identificar nuevos riesgos.  Recuerde que el consultor tendrá un límite de tiempo para atacar, un atacante interno tendrá más tiempo.
4. Si la empresa ya cuenta con una herramienta de escaneo de vulnerabilidades, Greenfence Security recomienda que se comparta el último reporte analizado por la empresa cliente. Analizando este reporte Greenfence Security puede identificar si hay puntos ciegos o oportunidades de mejora en la visión actual de vulnerabilidades que tiene el cliente.
5. Si cuenta con Directorio Activo, compartirle al consultor un usuario del Directorio Activo sin privilegios administrativos para que el usuario pueda ser utilizado para intentar ataques de elevación de privilegios.
6. Compartir con el consultor un equipo de escritorio configurado con el estándar corporativo de seguridad para que el consultor pueda atacar a la red interna como lo haría un usuario interno malicioso. 
7. Realizar una Evaluación de Seguridad del Directorio Activo con Greenfence Security dado que como lo hemos estado compartiendo en nuestros artículos las vulnerabilidades son muchas.
8. Realizar un ejercicio de equipo púrpura (Purple Team Exercise) para que de manera conjunta se pueda evaluar la capacidad de identificar y reaccionar ante ataques avanzados.

¿Qué opinas sobre este tema? ¿Crees que estás cumpliendo con estas recomendaciones o te gustaría revisarlo?

Si todas estas recomendaciones te hacen sentido, te invito a participar del webinar Pruebas de Penetración en 2021 ¿Cómo comprarlas y aprovecharlas? Del 08-04-2021 1pm registrándote en https://pentest2021.subscribemenow.com

Imagen de creativeart vía Freepik.es bajo licencia creative commons.