Cierre del pentesting

Hemos llegado al final del compromiso y hay algunas tareas que debemos realizar antes de concluirlo. Lo primero que debemos hacer es enviar a nuestro cliente un correo electrónico para notificarle que el período de prueba ha finalizado y el plazo específico en el que puede esperar que le entreguemos el informe. En este momento, también puede solicitarle que indique posibles horarios para una reunión de revisión del informe, pero suele ser mejor hacerlo más tarde, durante la entrega del informe. Algunas empresas también proporcionarán un resumen de los hallazgos después de la evaluación, pero esto varía según la empresa. Si se ha comunicado claramente con su cliente durante la evaluación, ya debería tener una buena idea de qué esperar. En resumen, no queremos que se entere de los hallazgos de mayor riesgo por primera vez al recibir el informe y que se sienta completamente desprevenido.

Resumen de la ruta de ataque

Describir la ruta de ataque de principio a fin es una buena idea para visualizar el camino seguido y los hallazgos que se pueden extraer. Esto también ayuda a completar el informe para resumir el recorrido de la cadena de ataque. Este resumen es una buena manera de garantizar que no se haya pasado por alto ningún punto crítico en la cadena, desde el acceso inicial hasta la vulneración del dominio. Este resumen solo debe mostrar la ruta de menor resistencia y no incluir los pasos adicionales realizados ni todo el proceso de prueba, ya que esto puede saturar el proceso y dificultar su seguimiento.

Algunos formularios de pruebas de penetración estructuran su informe de forma narrativa, con una guía paso a paso de cada acción realizada de principio a fin y destacando los hallazgos específicos a lo largo del proceso. El enfoque varía según la empresa. En cualquier caso, es recomendable tener esta lista a mano para facilitar la elaboración del informe, y si el cliente se pone en contacto para preguntarle cómo logró X.

Estructurando nuestros hallazgos

Idealmente, hemos anotado los hallazgos durante las pruebas, incluyendo la mayor cantidad posible de resultados de comandos y evidencia en nuestra herramienta de anotaciones. Esto debe hacerse de forma estructurada para que sea fácil incorporarlos al informe. Si no lo hemos hecho, debemos asegurarnos de tener una lista de hallazgos priorizada y todos los resultados de comandos y capturas de pantalla necesarios antes de perder el acceso a la red interna o suspender las pruebas externas. No queremos vernos en la situación de tener que pedirle al cliente que nos vuelva a conceder acceso para recopilar evidencia o realizar análisis adicionales. Deberíamos haber estructurado nuestra lista de hallazgos durante las pruebas de riesgo más alto a más bajo, ya que puede ser beneficioso enviarla al cliente al final de las pruebas y es muy útil para redactar nuestro informe.

Limpieza posterior al compromiso

Si esto fuera un compromiso real, deberíamos anotar:

Todos los escaneos
Intentos de explotación
Archivos colocados en un sistema
Cambios hechos(cuentas creadas, cambios menores de configuración, etc.)

Antes de finalizar la evaluación, debemos eliminar todos los archivos que subimos (herramientas, shells, cargas útiles, notas) y restaurar todo a su estado original. Independientemente de si logramos limpiarlo todo, debemos anotar en los apéndices de nuestro informe cada cambio, archivo cargado, vulnerabilidad de cuenta y vulnerabilidad de host, junto con los métodos utilizados.

También debemos conservar nuestros registros y un registro detallado de actividades durante un tiempo después de la evaluación, por si el cliente necesita correlacionar alguna de nuestras actividades de prueba con alguna alerta.

Comunicación con el cliente

Es fundamental informar al cliente de la finalización de las pruebas para que sepa cuándo cualquier actividad anormal que observe ya no está relacionada con ellas. También debemos mantener una comunicación fluida durante la fase de elaboración de informes, proporcionándole al cliente una fecha precisa de entrega y un breve resumen de nuestros hallazgos si lo solicita.

En ese momento, nuestro gerente o el gerente de proyecto podrían contactar al cliente para programar una reunión de revisión del informe, a la que previsiblemente asistiremos para analizar los resultados de nuestras pruebas. Si la repetición de pruebas forma parte del alcance del trabajo, debemos trabajar con el cliente para establecer un cronograma para la finalización de sus actividades de remediación.

Sin embargo, es posible que aún no tengan una idea clara, por lo que podrían contactarnos para consultar sobre las pruebas posteriores a la remediación más adelante. El cliente podría contactarnos periódicamente durante los próximos días o semanas para correlacionar las alertas recibidas, por lo que debemos tener nuestras notas y registros a mano por si necesitamos justificar o aclarar alguna de nuestras acciones.

Cierre interno del proyecto

Una vez entregado el informe y concluida la reunión de cierre, su empresa realizará diversas actividades para cerrar el proyecto, tales como:

Archivar el informe y los datos del proyecto asociado en una unidad compartida de la empresa
Realizar una sesión informativa sobre las lecciones aprendidas
Potencialmente, complete un cuestionario posterior al compromiso para el equipo de ventas.
Realizar tareas administrativas como facturación.

Si bien es mejor que el pentester original realice las pruebas posteriores a la remediación, es posible que los cronogramas no coincidan. Quizás debamos transferir el conocimiento interno a otro compañero. Ahora debemos reflexionar sobre lo que salió bien y lo que se podría mejorar durante la evaluación, y prepararnos para la siguiente.

AnteriorPost Explotación en Active Directory SiguienteAWS - Amazon Web Services

Última actualización hace 11 horas

¿Te fue útil?