Penetration testing: auditoría profesional

Abstract

El siguiente documento presenta la metodología necesaria para efectuar una auditoría profesional de penetration testing. Su finalidad es encontrar vulnerabilidades en los sistemas informáticos para solucionarlas antes de que sean descubiertas por terceras personas. Así pues, este tipo de auditoría se considera fundamental para cualquier empresa que quiera garantizar la integridad en la seguridad de sus sistemas informáticos. Al tratarse de una auditoría un tanto intrusiva, se han tenido en cuenta los aspectos legales necesarios para garantizar que se realiza dentro del marco de la ley. Asimismo, se ha incidido en la correcta realización de un contrato laboral que detalle perfectamente el ámbito del trabajo a realizar. Para facilitar el seguimiento de la auditoría, se han detallado todas las fases necesarias para su correcta ejecución. A su vez, se ha incluido un listado de las herramientas más comúnmente utilizadas por los auditores de este área. Una vez que se ha detallado el contexto y las herramientas de trabajo, se continua con una parte más práctica en un laboratorio virtual. En el laboratorio se han instalado varias máquinas vulnerables, que servirán como ejemplo para demostrar cada una de las fases de la auditoría, así como para experimentar con el uso de las diferentes herramientas. De este modo se pretende simular una auditoría de una empresa en pequeña escala. Por último, el informe es el producto final que se ofrece al cliente donde se presentan los resultados de la auditoría junto con algunas recomendaciones de seguridad para solventar las vulnerabilidades detectadas.

The following document presents the required methodology to perform a professional penetration testing audit. Its goal is to find vulnerabilities within the information systems and solve them before they are found by third parties. Therefore, this type of audit should be considered by any company that wants to guarantee the integrity of their information systems. Due to this audit s intrusive nature, some legal aspects have been considered to make sure that all work is done within the law. At the same time, it is necessary that an adequate working contract is prepared containing the assignment´s scope. To ease the understanding of the audit, every required phase for the execution of the assignment has been explained in detail. Also, a list with the most used tools by penetration testers has been included. After the scope and working tools have been described, the project continues with the creation of a virtual lab. In the lab there are several vulnerable machines that will serve as an example to show all the phases from the audit and to experiment with some of the tools. With this approach, it is intended to simulate an audit within a small company. Lastly, the report is the final product that is delivered to the client. It includes the results of the audit together with some recommendations to solve the vulnerabilities that have been found.

El següent document presenta la metodologia necessària per efectuar una auditoria professional de penetration testing. La seva finalitat és trobar vulnerabilitats en els sistemes informàtics per a solucionar-les abans que siguin descobertes per terceres persones. Així doncs, aquest tipus d'auditoria es considera fonamental per a qualsevol empresa que vulgui garantir la integritat en la seguretat dels seus sistemes informàtics. A l'tractar-se d'una auditoria una mica intrusiva, s'han tingut en compte els aspectes legals necessaris per garantir que es realitza dins de el marc de la llei. Així mateix, s'ha incidit en la correcta realització d'un contracte laboral que detall perfectament l'àmbit de la feina a realitzar. Per facilitar el seguiment de l'auditoria, s'han detallat totes les fases necessàries per a la seva correcta execució. Al seu torn, s'ha inclòs un llistat de les eines més comunament utilitzades pels auditors d'aquesta àrea. Una vegada que s'ha detallat el context i les eines de treball, es continua amb una part més pràctica en un laboratori virtual. Al laboratori s'han instal·lat diverses màquines vulnerables, que serviran com a exemple per demostrar cadascuna de les fases de l'auditoria, així com per experimentar amb l'ús de les diferents eines. D'aquesta manera es pretén simular una auditoria d'una empresa en petita escala. Finalment, l'informe és el producte final que s'ofereix a el client on es presenten els resultats de l'auditoria juntament amb algunes recomanacions de seguretat per a solucionar les vulnerabilitats detectades.