๐๏ธEscenario y KickOff
Nuestro cliente, Inlanefreight, ha contratado a nuestra empresa, Acme Security, Ltd., para realizar una prueba de penetraciรณn externa completa para evaluar la seguridad de su perรญmetro. El cliente nos ha solicitado que identifiquemos el mayor nรบmero posible de vulnerabilidades; por lo tanto, no se requieren pruebas evasivas. Quieren comprobar quรฉ tipo de acceso puede lograr un usuario anรณnimo en Internet. Segรบn las Reglas de Compromiso (RdC), si logramos vulnerar la DMZ y acceder a la red interna, nos piden que veamos hasta dรณnde podemos llegar con ese acceso, incluyendo la vulneraciรณn del dominio de Active Directory. El cliente no ha proporcionado credenciales de usuario de aplicaciones web, VPN ni Active Directory. Los siguientes rangos de dominios y redes estรกn dentro del alcance de las pruebas:
Pruebas externas
Pruebas internas
10.129.xx.xx
(host de destino "externo")
172.16.8.0/23
*.inlanefreight.local
(todos los subdominios)
172.16.9.0/23
INLANEFREIGHT.LOCAL (dominio de Active Directory)
El cliente ha proporcionado el dominio principal y las redes internas, pero no ha especificado los subdominios exactos dentro de este รกmbito ni los hosts activos que encontraremos en la red. Quieren que realicemos un descubrimiento para ver quรฉ tipo de visibilidad puede obtener un atacante contra su red externa (y la interna, si logramos establecernos).
Se permiten tรฉcnicas de prueba automatizadas, como la enumeraciรณn y el anรกlisis de vulnerabilidades, pero debemos actuar con cuidado para no causar interrupciones del servicio. Los siguientes aspectos quedan fuera del alcance de esta evaluaciรณn:
Phishing/Ingenierรญa social contra cualquier empleado o cliente de Inlanefreight
Ataques fรญsicos contra las instalaciones de Inlanefreight
Acciones destructivas o pruebas de denegaciรณn de servicio (DoS)
Modificaciones al entorno sin el consentimiento por escrito del personal de TI autorizado de Inlanefreight
Inicio del proyecto
En este punto, contamos con un Scope of Work (SoW)
firmado por la gerencia de nuestra empresa y un miembro autorizado del departamento de TI de Inlanefreight. Este documento detalla los detalles de las pruebas, nuestra metodologรญa, el cronograma, las reuniones y los entregables acordados. El cliente tambiรฉn firmรณ un documento separado de Rules of Engagement (RoE)
, comรบnmente conocido como Autorizaciรณn para el Pentesting
.
Es fundamental tener este documento a mano antes de comenzar las pruebas y detalla el alcance de todos los tipos de evaluaciรณn (URL, direcciones IP individuales, rangos de red CIDR y credenciales, si corresponde). Este documento tambiรฉn incluye al personal clave de la empresa de pentesting y de Inlanefreight (un mรญnimo de dos contactos de cada parte, incluyendo su nรบmero de telรฉfono y direcciรณn de correo electrรณnico). El documento tambiรฉn detalla detalles como la fecha de inicio y finalizaciรณn de las pruebas, y el perรญodo de prueba permitido.
Nos han dado una semana para realizar pruebas y dos dรญas adicionales para redactar el borrador del informe (en el que trabajaremos sobre la marcha). El cliente nos ha autorizado a realizar pruebas 24/7, pero nos ha pedido que realicemos anรกlisis de vulnerabilidades exhaustivos fuera del horario laboral habitual (despuรฉs de las 18:00, hora de Londres). Hemos revisado todos los documentos necesarios y contamos con las firmas requeridas de ambas partes. El alcance estรก completo, por lo que estamos listos para empezar desde el punto de vista administrativo.
Inicio del pentesting
Es lunes a primera hora de la maรฑana y estamos listos para empezar las pruebas. Nuestra mรกquina virtual de pruebas estรก configurada y lista para funcionar, y hemos configurado una estructura bรกsica de toma de notas y directorios para tomar notas con nuestra herramienta favorita. Mientras se ejecutan nuestros anรกlisis de descubrimiento iniciales, como siempre, completaremos la plantilla de informe tanto como sea posible. Esto es un pequeรฑo avance que podemos lograr mientras esperamos a que finalicen los anรกlisis para optimizar el tiempo disponible para el pentesting. Hemos redactado el siguiente correo electrรณnico para anunciar el inicio de las pruebas y hemos enviado una copia a todo el personal necesario.
Hacemos clic en enviar en el correo electrรณnico y damos inicio a nuestra recopilaciรณn de informaciรณn externa.
รltima actualizaciรณn
ยฟTe fue รบtil?