adam121 - Fotolia
Cuatro herramientas de pen testing para mejorar la seguridad empresarial
El mejor enfoque para las pruebas de penetración es utilizar una combinación de herramientas con diferentes enfoques. Aquí hay varias herramientas de pen testing para empresas medianas.
Al acecho en los paquetes de red de la empresa hay una serie de amenazas potenciales: errores de configuración, errores humanos, políticas de seguridad pobres y otras vulnerabilidades que pueden ser explotadas por un atacante. El atacante puede ser un individuo, un grupo de hackers o un estado-nación. Su objetivo final es inutilizar las aplicaciones, los servidores y la red, de manera temporal o permanente. Para derrotarlos, las organizaciones deben realizar pruebas de penetración de manera regular.
Los directores de seguridad necesitan permiso de su empresa para probar las redes en vivo, y necesitan las herramientas de pruebas de penetración adecuadas para el trabajo. Muchas de las herramientas con interfaces de línea de comandos ahora ofrecen una interfaz gráfica de usuario para hacer más fácil el trabajo de los gerentes de seguridad. Una vez limitadas a las computadoras, más y más herramientas de prueba de penetración ahora le permiten trabajar desde dispositivos móviles.
Para reforzar las defensas del mercado medio, los profesionales de seguridad necesitan construir un conjunto de herramientas tanto gratuitas, como comerciales. Algunas pruebas de penetración son gratuitas y otras no, pero todas sirven un propósito: el administrador debe encontrar las vulnerabilidades antes de que los hackers lo hagan. No hay dos herramientas que tengan las mismas técnicas de penetración. Cada herramienta se diferencia en sus métodos de exploración –que los administradores de seguridad pueden implementar–, así como en los tipos de vulnerabilidades que buscan. Algunas ofrecen un número ilimitado de direcciones IP o hosts para explotar; otras no. Algunas son específicas para los sistemas operativos, y otras son agnósticas.
He aquí un vistazo a una lista sugerida de herramientas de pruebas de penetración para las empresas del mercado medio. Esta lista cubre herramientas para poner a prueba tanto servicios de red, como aplicaciones web.
1. Zenmap
Nmap ha sido una herramienta multiplataforma gratuita favorita entre los administradores. Ahora viene con la interfaz gráfica Zenmap para ayudar a hacer su trabajo de escanear la red más fácil.
Con el Asistente de Comandos, los administradores de seguridad ven las opciones de línea de comandos en la parte superior de la pantalla para cada perfil (nuevo o predefinido). Ellos pueden editarlos de forma interactiva antes de ejecutarlos. Esta característica de interacción ayuda a ahorrar tiempo normalmente requerido para corregir errores de tipeado y/o de configuración.
Al crear un nuevo perfil, los administradores de seguridad pueden elegir una combinación de opciones entre exploración, ping, target, fuente, tiempo y otras técnicas avanzadas de pruebas de penetración. Ellos pueden guardar los resultados del análisis en una base de datos y compararlos en una fecha posterior para determinar cualquier patrón de tráfico inusual.
2. Burp
Las pruebas del ciclo de vida completo de las vulnerabilidades ayuda al administrador a tener una mejor visión de cómo diversas herramientas funcionan juntas. Una de las favoritas es Burp, una prueba de penetración gráfica de aplicaciones web que viene en dos ediciones: Limitada y Burp Suite Professional (299 dólares por usuario al año).
La edición gratuita permite a los administradores utilizar Burp Proxy para modificar el tráfico entre su navegador y la aplicación de destino, Burp Spider para el rastreo de contenido (por ejemplo, la búsqueda de nuevos intentos de conexión), Burp Repeater para reenviar las solicitudes individuales y Burp Sequencer para las pruebas de aleatoriedad de tokens de sesión .
Disponibles en la suite profesional hay dos herramientas más: Escáner, para automatizar el escaneo de vulnerabilidades, e Intruder para la personalización de los ataques para explotar vulnerabilidades inusuales. Esta suite permite al administrador buscar palabras clave, programar tareas, analizar objetivos y guardar, restaurar y comparar los resultados de escaneo. Para llevar a cabo tareas complejas, los administradores con conocimientos de Java pueden crear sus propios plugins.
3. OpenVAS
Los administradores que trabajaron con Nessus deben encontrarlo similar a OpenVAS (Sistema de Evaluación de Vulnerabilidades Abiertas). OpenVAS fue creado como una herramienta gratuita a partir de la última versión gratuita de Nessus en 2005. Ambos utilizan varios escáneres para descubrir vulnerabilidades en servidores desde una máquina cliente. Pero esto no significa que Nessus y OpenVAS pueden apuntar a los mismos tipos de vulnerabilidad.
Para instalar OpenVAS-8, el administrador puede elegir un paquete de terceros o compilar el código fuente. El escáner realiza actualizaciones diarias para las pruebas de vulnerabilidad de red (NVTs) a través del RSS OpenVAS NVT o a través de un servicio de fuentes comerciales. El administrador trabaja con el Asistente de Seguridad Greenbone, un servicio web delgado con una interfaz de usuario para navegadores web.
Coordinando con el módulo de servicio OpenVAS Manager, el administrador gestiona las cuentas de usuario, y puede cambiar las reglas para reiniciar el número de escáneres OpenVAS que pueden apuntar a las redes y/o hosts específicos de sistemas operativos al mismo tiempo. El administrador también puede cambiar las configuraciones para permitir que un usuario escanee su propio host o sincronice manualmente su propio repositorio NVT con una fuente OpenVAS NVT. Él o ella puede controlar los horarios de escaneo y mantener una base de datos SQL, como MySQL o SQLite, de configuraciones de escaneo y resultados.
4. Arachni
Algunas herramientas de prueba de penetración permiten el análisis en múltiples dispositivos móviles (además de las computadoras). Una de las favoritas es Arachni, una herramienta gratuita de código abierto para Linux y Mac OS X que viene con interfaces gráficas. Esta herramienta permite al administrador probar activamente aplicaciones web con scripting por todo el sitio (con variantes DOM), inyección de SQL, inyección de NoSQL, inyección de código, variantes de inclusión de archivos y otros tipos de inyecciones.
Los administradores pueden configurar la herramienta para limitar los controles pasivos de los archivos a los números de tarjetas de crédito, números de Seguro Social, direcciones IP privadas y otros tipos de información. Desde su máquina cliente, pueden escanear un solo servidor o varios servidores que se ejecutan en Windows, Solaris y/u otros sistemas operativos. Los administradores que actúan como examinadores de penetración y que utilizan la herramienta como parte de su conjunto de herramientas de evaluación están exentos de la exigencia de una licencia para el uso comercial.
Encontrar las herramientas de prueba de penetración adecuadas
Para construir un conjunto de herramientas funcionales para pruebas de penetración, los administradores deben tener en cuenta las capacidades de cada herramienta. Deben incluir los objetivos específicos a ser probados, las técnicas de pruebas de penetración, la gama de tipos de vulnerabilidades, la facilidad de uso y otras variables. Las herramientas de prueba de penetración, al usarse juntas siempre que sea posible, deben ayudar a los administradores a encontrar un mayor número de vulnerabilidades.
Sobre el autor: Judith M. Myerson es una profesional de ingeniería de sistemas y seguridad que ha investigado y publicado artículos sobre una amplia gama de temas de seguridad, gestión de riesgos y la internet de las cosas. Ella es la autora de RFID in the Supply Chain, y es CRISC (Certificada en Riesgos y Control de Sistemas de Información) y miembro de OPSEC e ISACA.