PTES

JARION DIAZ QUINTERO
HAMYLTON BECERRA MENDOZA

CRISTIAN FERNANDO ORTEGA DIAZ
KENNY RICARDO DURAN FERNANDEZ
PENETRATION TESTING
EXECUTION STANDARD (PTES)
Una prueba de penetración o pentest es un ataque simulado y

autorizado contra un sistema informático con el objetivo de
evaluar la seguridad del sistema.
Evaluación de la Vulnerabilidad VS Prueba de penetración
 Utiliza un enfoque amplio para identificar  Intenta simular un ataque de la vida

fallas y vulnerabilidades en toda la empresa real por hackers y otros malos actores
 Escanea en una lista de riesgos conocidos,  Intenta obtener acceso a sistemas
proporcionada a través de una base de críticos e información sensible
datos de vulnerabilidades
 Se adapta según la resistencia e
 Se puede ejecutar automáticamente y de intenta encontrar nuevos vectores de
forma programada ataque
TIPOS DE PENTEST
TIPOS DE PENTEST
Fases del PenTest
Interacciones Recopilación de Modelado de

previas al la información amenazas
compromiso
Post-explotación Análisis de
Explotación
vulnerabilidades
Reporte
Fases del PenTest
Interacciones previas al compromiso
El pentest debe estar orientado al cumplimiento de una meta.

Esto quiere decir que el objetivo de la prueba es identificar las vulnerabilidades específicas
que conducen al compromiso de los objetivos comerciales del cliente Antes de comenzar
una prueba de penetración es beneficioso determinar el nivel de madurez de la postura de
seguridad del cliente
Fases del PenTest
Recopilación de la información
En esta fase del pentest nos dedicaremos a obtener toda la información posible de la
empresa disponible a través de arañas y de scanners para hacernos una idea de los sistemas
y programas en funcionamiento. La actividad de los empleados en redes sociales de la
empresa también puede revelar que sistemas utilizan, sus correos electrónicos, etc. Toda
esta información nos será de gran utilidad.
Tradicionalmente, el proceso de recogida de información se encuentra dividido en dos
fases:
• External Footprinting
• Internal Footprinting
Fases del PenTest
Modelado de amenazas
PTES, para la realización de un modelado de amenazas, elemento necesario para una
ejecución correcta de un pentest. El estándar no aplica un modelo específico, sino que
requiere que el modelo utilizado sea consistente en términos de su representación de
amenazas, sus capacidades, sus calificaciones según la organización objetivo y su
capacidad de aplicarse repetidamente a pruebas futuras con los mismos resultados.
El modelo debe documentarse claramente y entregarse como parte del informe final, ya que
los hallazgos del informe harán referencia al modelo de amenaza para crear una relevancia
y un puntaje de riesgo más preciso para la organización. El proceso de modelado de
amenazas de alto nivel consta de cuatro pasos:
1. Reunir documentación relevante.
2. Identificar y categorizar activos primarios y secundarios.
3. Identificar y categorizar comunidades de amenazas.
4. Asignación de comunidades de amenazas a activos primarios y secundarios.
Fases del PenTest
Análisis de vulnerabilidades
Los procesos de recolección de información y de análisis de vulnerabilidades comparten
algunos de sus métodos y herramientas. En este apartado se describe la fase de análisis de
vulnerabilidades, que puede ser estructurado en tres actividades:
• Pruebas
• validación
• investigación.
Fases del PenTest
Explotación
La fase de explotación de una prueba de penetración consiste en establecer el acceso a un
sistema o recurso eludiendo las restricciones de seguridad presentes. Si las fases anteriores
se realizaron correctamente, esta fase debe estar bien planificada para desplegar un ataque
preciso que tenga en cuenta la probabilidad de éxito y obtener el mayor impacto en la
organización objetivo.
Fases del PenTest
Post-explotación
La fase de post-explotación consiste en determinar el valor de la máquina comprometida y
mantener el control sobre esta. El valor de la máquina está determinado por la sensibilidad
de los datos almacenados en ella y su utilidad para comprometer la red a la que pertenece.
Los métodos descritos en esta fase están destinados a identificar y documentar datos
confidenciales, ajustes de configuración, canales de comunicación, relaciones con otros
dispositivos de red y configurar métodos para acceder a la máquina comprometida
posteriormente.
Fases del PenTest
Reporte
En esta sección se definen los criterios básicos para la realización informes de pruebas de
penetración. El informe se divide en dos secciones principales para comunicar a varias
audiencias los objetivos, métodos y resultados de las pruebas realizadas.
• Sumario Ejecutivo
• Reporte Técnico
METODOLOGÍAS PARA REALIZAR
PRUEBAS DE PENETRACIÓN
ASPECTOS ISSAF OSSTMM OWASP
Permite realizar pruebas y análisis de seguridad Si Si Si
Establece requisitos previos para la evaluación Si No Si
La metodología define un proceso detallado para la realización Si Si Si
de pruebas
Define áreas de alcance Si No Si
Contiene plantillas para realizar las pruebas Si Si Si
Detalla técnicas para cada prueba Si No Si
Contiene ejemplos de pruebas y resultados Si No Si
Recomienda herramientas para cada prueba Si No Si
Presenta procesos de análisis y evaluación de riesgos Si Si Si
Define dimensiones de seguridad a evaluar No Si Si
Establece valores o niveles de evaluación de riesgos Si Si Si
Enumera y clasifica las vulnerabilidades encontradas Si No Si
Realiza estimación de impacto Si Si Si
Genera reportes e informes Si No Si
Presenta contramedidas y recomendaciones Si No Si
Contiene referencias a documentación y enlaces externos Si No Si
HERRAMIENTAS PARA REALIZAR
PRUEBAS DE PENETRACIÓN

PTES

Cargado por

Copyright:

Formatos disponibles

PTES

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PTES

Cargado por

Copyright:

Formatos disponibles

JARION DIAZ QUINTERO

HAMYLTON BECERRA MENDOZA

Una prueba de penetración o pentest es un ataque simulado y

 Utiliza un enfoque amplio para identificar  Intenta simular un ataque de la vida

Interacciones Recopilación de Modelado de

El pentest debe estar orientado al cumplimiento de una meta.

También podría gustarte