Son las palabras anglosajonas utilizadas para referirse a las técnicas y herramientas que se utilizan para evaluar la Seguridad de un Sistema.
Habitualmente estas técnicas se realizan mediante la aplicación de un método de trabajo (metodología) que garantiza, en cierta medida, que los resultados obtenidos se obtienen de forma repetible y verificable.
En definitiva, el pentesting es el "arte" de poner a prueba los Sistemas de Información mediante la aplicación de técnicas y/o herramientas de Hacking.
¿Por donde empiezo?
Una vez que se conoce el significado de las palabras "Pentesting", y se decide realizar un "test" al respecto, hay varios aspectos iniciales que se deberían de plantear:
Antes de comenzar a lanzar herramientas, examinar y guardar los resultado es conveniente realizar una planificación tanto del tiempo necesario para la prueba como de las herramientas o tipos de pruebas que se van a realizar. Para ello se recomienda realizar un "Test Plan", que consiste en un pequeño documento que describa "brevemente" cada una de las pruebas que van a realizarse y el tiempo aproximado que llevarán.
Además, es interesante incluir dentro del "Test Plan", los objetivos que se persiguen en cada prueba, así como requisitos previos y/o nombrar las herramientas que se van a utilizar.
El Test Plan persigue dos objetivos:
1. Organizar y planificar la prueba que se va a realizar.
2. Presentar ante el dueño del Sistema bajo "prueba" el proyecto, así como el tipo de pruebas que se van a realizar.
Preparación
Con la ayuda del "Test Plan" que se ha elaborado, se puede determinar los recursos (técnicos y/o humanos) necesarios para llevar a cabo el conjunto de pruebas que se recogen en dicho plan.
En este punto, el plan elaborado proporciona la organización tanto del tiempo, como de los recursos.
Según lo incluido en Test Plan, se podrá estimar los recursos necesarios para realizar las pruebas. Una vez conocido estos, se procederá a la preparación del entorno y material necesario para realizar las pruebas.
Si las necesidades del entorno y/o sistema que va a ser "analizado" requiere de la actuación de un equipo de personas, conviene reunirse con el equipo y realizar una puesta en común del "Test Plan". Así mismo se recomienda segmentar las pruebas y asignar a uno o varios responsables por cada una de ellas.
En este punto, cada "Pentester" debe de disponer de un equipo y/o entorno de trabajo preparado y personalizado según sus preferencias y habilidades. Es decir, cada uno de los miembros del equipo, deberá preparar su entorno de trabajo con las herramientas necesarias para las pruebas de las cuál es responsable, y es fundamental que este entorno haya sido probado previamente.
Continuará en la siguiente serie ...
0 comentarios:
Publicar un comentario