FaaS: Técnicas de pentester
4 de julio de 2013
FaaS (Foca as a Service) es un servicio
pensado, diseñado e implementado con el fin de simular y
automatizar el pensamiento de un pentester. La intención de
FaaS será la de realizar tareas de manera inteligente, buscando el comportamiento adecuado ante las posibles pruebas de auditoría que se irán realizando continuamente. En el instante en que
FaaS
detecte una situación extraña, vulnerabilidad o error de configuración,
lanzará sus acciones con el objetivo de obtener el máximo provecho de cada evidencia, como lo haría un
pentester.
Identificación
Se definen
estrategias orientadas a la determinación de los aspectos críticos para una empresa que sean accesibles desde el exterior. Aunque se podría determinar esta búsqueda manualmente, será posible iniciar la evaluación automáticamente
con solo proporcionar el nombre de los dominios que posee la empresa.
Configuración
Una vez determinados los aspectos que marcan el inicio de la evaluación de seguridad, será posible configurar el proceso completo. Se puede elegir entre qué tipo de clases de análisis serán utilizados para realizar la evaluación. La configuración predeterminada permite al cliente utilizar todas las acciones que un pentester experto recomienda para llevar a cabo el modelo Pentesting by Design, sin embargo se proporciona la posibilidad al cliente de utilizar las clases que él crea conveniente, pudiendo editar la configuración del proceso.
Características: El punto de partida
El punto de partida, como se ha mencionado anteriormente, es el dominio o dominios de la organización a auditar. Otros
puntos de partida interesantes son los metadatos que existen en los documentos públicos y los
servicios que las organizaciones disponen en Internet accesibles a cualquier usuario.
Tras utilizar alguna de las tres vías de partida que tiene el servicio se obtendrá un gran volumen de datos. Estos serán almacenados para su posterior análisis y explotación en el proceso de pentesting. El sistema generará tareas que auditarán y evaluarán la seguridad de todos los recursos encontrados en Internet pertenecientes a la organización propietaria del dominio. Las fases que el sistema recorre son las siguientes:
Una vez determinados los aspectos que marcan el inicio de la evaluación de seguridad, será posible configurar el proceso completo. Se puede elegir entre qué tipo de clases de análisis serán utilizados para realizar la evaluación. La configuración predeterminada permite al cliente utilizar todas las acciones que un pentester experto recomienda para llevar a cabo el modelo Pentesting by Design, sin embargo se proporciona la posibilidad al cliente de utilizar las clases que él crea conveniente, pudiendo editar la configuración del proceso.
Características: El punto de partida
El punto de partida, como se ha mencionado anteriormente, es el dominio o dominios de la organización a auditar. Otros
puntos de partida interesantes son los metadatos que existen en los documentos públicos y los
servicios que las organizaciones disponen en Internet accesibles a cualquier usuario.
Tras utilizar alguna de las tres vías de partida que tiene el servicio se obtendrá un gran volumen de datos. Estos serán almacenados para su posterior análisis y explotación en el proceso de pentesting. El sistema generará tareas que auditarán y evaluarán la seguridad de todos los recursos encontrados en Internet pertenecientes a la organización propietaria del dominio. Las fases que el sistema recorre son las siguientes:
- Enumeración de objetos proporcionando un mapa de la organización.
- Análisis de la información pública buscando vulnerabilidades o configuraciones erróneas.
- Explotación de vulnerabilidades para la verificación de fallos de seguridad en los recursos públicos.
- Reporte de información sobre vulnerabilidades reconocidas en el proceso, informe de recomendaciones sobre malas configuraciones o políticas erróneas y creación de mapa de activos con el fin de detectar propiedades que poseen las organizaciones.
.jpg)
.jpg)
.jpg)