👜Documentación
Antes de un ejercicio de pentesting necesitamos varios documentos que deben ser firmados por nuestro cliente y por nosotros para que puedan presentarse por escrito si es necesario.
Documentos necesarios
Cuestionario de alcance
Después de realizar el contacto inicial con el cliente, normalmente le enviamos un cuestionario de alcance para comprender mejor los servicios que busca. Este cuestionario de alcance debe explicar claramente nuestros servicios y, por lo general, puede pedirles que elijan uno o más de la siguiente lista:
Bajo cada uno de estos, el cuestionario debería permitir al cliente ser más específico acerca de la evaluación requerida. ¿Necesitan una evaluación de aplicación web o aplicación móvil? ¿Revisión de código seguro? ¿La prueba de penetración interna debería ser de caja negra y semievasiva? ¿Quieren solo una evaluación de phishing como parte de la Evaluación de Ingeniería Social o también llamadas de vishing? Esta es nuestra oportunidad de explicar la profundidad y amplitud de nuestros servicios, asegurarnos de que entendemos las necesidades y expectativas de nuestros clientes y asegurarnos de que podemos brindarles adecuadamente la evaluación que necesitan.
Contrato - Lista de verificación
Reglas de compromiso: Checklist
Reunión de Kickoff
El kick-off meeting
generalmente ocurre a una hora programada y en persona después de firmar todos los documentos contractuales. Esta reunión generalmente incluye POC del cliente (de Auditoría Interna, Seguridad de la Información, TI, Gobernanza y Riesgos, etc., según el cliente), personal de soporte técnico del cliente (desarrolladores, administradores de sistemas, ingenieros de redes, etc.) y el equipo de pruebas de penetración (alguien en una función de gestión (como el líder de práctica), los pentester reales y, a veces, un gerente de proyecto o incluso un ejecutivo de cuentas de ventas o similar).
Repasaremos la naturaleza de la prueba de penetración y cómo se llevará a cabo. Por lo general, no existe ninguna prueba de Denegación de Servicio (DoS). También explicamos que si se identifica una vulnerabilidad crítica, se pausarán las actividades de prueba de penetración, se generará un informe de notificación de vulnerabilidad, y se contactará a los contactos de emergencia. Por lo general, estos solo se generan durante las pruebas de penetración externa para detectar fallas críticas, como la ejecución remota de código (RCE) no autenticada, la inyección de SQL u otra falla que conduzca a la divulgación de datos confidenciales.
El propósito de esta notificación es permitir al cliente evaluar el riesgo internamente y determinar si el problema justifica una solución de emergencia.
Acuerdo de contratistas
Si la prueba de penetración también incluye pruebas físicas, se requerirá un acuerdo adicional con el contratista. Dado que no se trata sólo de un entorno virtual sino también de una intrusión física, aquí se aplican leyes completamente diferentes. También es posible que muchos de los empleados no hayan sido informados sobre la prueba. Supongamos que nos encontramos con empleados con una conciencia de seguridad muy alta durante el ataque físico y los intentos de ingeniería social, y nos atrapan. En ese caso, los empleados, en la mayoría de los casos, se pondrán en contacto con la policía. Este adicional Acuerdo de contratistas
es nuestra " tarjeta de salida de la carcel
" en este caso.
Acuerdo de contratistas: Checklist para evaluaciones físicas
Informe final
Nuestro informe entregable debe consistir en lo siguiente:
Una
cadena de ataque
(en caso de compromiso interno total o acceso externo a interno) que detalla los pasos tomados para lograr el compromiso.Un sólido
resumen ejecutivo
que una audienciano técnica
pueda entender.Hallazgos detallados específicos
del entorno del cliente que incluyen una calificación de riesgo, hallazgo de impacto, recomendaciones de remediación y referencias externas de alta calidad relacionadas con el problema.Pasos adecuados para
reproducir cada hallazgo
para que el equipo responsable de la remediación pueda comprender y probar el problema mientras implementa las soluciones.Recomendaciones
específicas para el medio ambiente a corto, mediano y largo plazo.Apéndices
que incluyen información como el alcance objetivo, datos OSINT (si son relevantes para el compromiso), análisis de descifrado de contraseñas (si es relevante), puertos/servicios descubiertos, hosts comprometidos, cuentas comprometidas, archivos transferidos a sistemas propiedad del cliente, cualquier creación de cuenta. /modificaciones del sistema, un análisis de seguridad de Active Directory (si corresponde), datos de escaneo relevantes/documentación complementaria y cualquier otra información necesaria para explicar un hallazgo o recomendación específica con más detalle
Última actualización