miércoles, 27 de octubre de 2004

Desmitificando los Test de Intrusión

Es conocido que una de las formas de evaluar la seguridad de una organización es realizando "Test de Intrusión". Consiste en contratar a una empresa de seguridad informática para que realice un "hacking controlado y ético". El auditor de seguridad debe simular ser un hacker y debe tratar de encontrar posibles vulnerabilidades de seguridad que un usuario malintencionado podría utilizar.

Existen diferentes metodologías para realizar estas auditorías. La mayoría de las empresas suelen ofrecer "Test automáticos" que consisten en lanzar herramientas de escaneo de vulnerabilidades como Nesssus, Retina, GFI Security Scanner, ISS, Shadow Security Scanner, etc. y entregar al cliente los resultados que éstas generan.Este tipo de servicios es interesante porque detecta vulnerabilidades no parcheadas y visibles desde Internet, pero creo que es mucho más interesante contratar test más profundos, con el uso de un experto en seguridad que simule un hacker de verdad y que trate de realizar una intrusión real para ver si es verdad o no que somos hackeables.

El Institute for Security and Open Metodologies (ISECOM) dispone de una metodología propia para realizar estos test de profundidad.

El siguiente enlace contiene un documento y presentación que describe y detalla en qué consiste un verdadero test de intrusión, que fases tiene y qué información se obtiene.
ASTALAVISTA SECURITY GROUP : Demystifying Penetration Testing
 
;