Un día en la vida de un probador de pluma



Dos probadores de penetración comparten sus responsabilidades cotidianas, los desafíos que enfrentan y las habilidades que más valoran en el trabajo.

Todas las organizaciones tienen vulnerabilidades, pero no pueden repararlas hasta que las encuentren. Es el trabajo de los evaluadores de penetración ponerse en el lugar de un atacante y encontrar fallas antes de que lo hagan los malos.

La prueba de penetración, también conocida como prueba de lápiz, implica probar redes, sistemas informáticos y aplicaciones website y móviles para descubrir vulnerabilidades que podrían poner en riesgo a una organización. Las pruebas de lápiz pueden simular ataques de ingeniería social basados ​​en humanos o en tecnología contra los empleados de una organización para ver cómo las personas podrían poner en riesgo un negocio.

Algunas empresas tienen probadores de penetración en su equipo de seguridad interno para probar productos y sistemas en busca de vulnerabilidades. Muchos subcontratan pruebas de pluma a empresas de consultoría o servicios profesionales, que cuentan con profesionales capacitados para entrar en sistemas e informar al cliente qué aplicaciones o sistemas se infringieron, cómo se explotaron y cómo la organización puede mitigar esos problemas para defenderse contra futuros ataques cibernéticos.

La consultora de seguridad Gisela Hinojosa y la analista de seguridad Carlota Bindner son probadores de bolígrafos en Swift7. Las dos mujeres están en equipos separados bajo la división de pruebas de penetración de la empresa, y ambas pasan sus días en pruebas de penetración de redes internas y externas, pruebas de aplicaciones móviles y web, pruebas de World-wide-web de las cosas (IoT) y otros compromisos. «Depende del tipo de evaluación en la que se encuentre», dice Hinojosa, quien ha estado realizando pruebas con pluma en Fast7 durante aproximadamente tres años.

¿Cómo es el día de un probador de la pluma? Las mañanas suelen estar bastante ocupadas, dice, ya que es cuando comienzan las pruebas. Si está haciendo una prueba de lápiz interna, configurará las herramientas que necesita y comenzará a recopilar inteligencia de código abierto (OSINT), que puede usar para lanzar ataques. Hinojosa pasa la mayor parte del día probando, con reuniones ocasionales durante todo el día. El compromiso típico dura unos cinco días, pero puede ser más corto o más largo según el proyecto.

La prueba de lápiz externo es la práctica de probar los activos externos de una organización. Durante una prueba de lápiz externo, los probadores intentan acceder a la crimson interna explotando las fallas encontradas en los activos externos. Tienen que recopilar información sobre puertos abiertos, vulnerabilidades y otros aspectos del negocio para lanzar su ataque. Una vez que están dentro, pueden pasar a la prueba de pluma interna. Las pruebas de pluma externas son más introductorias Las pruebas internas implican más detalles y complejidad.

«Ahí es cuando encontramos el mayor botín», dice Hinojosa, quien agrega que las pruebas internas suelen ser más gratificantes porque es cuando intentan obtener acceso administrativo de dominio. «Pero también es mucho más trabajo, especialmente con la presentación de informes, porque es cuando tienes más resultados». La cantidad de informes requeridos también varía según el proyecto, continúa, pero intentan comenzar a compilar los informes a mitad de semana para no dejar todo hasta el último minuto.

Bindner, quien también pasa la mayor parte de sus días probando dispositivos y sistemas, con reuniones durante todo el tiempo, dice que el flujo de sus compromisos es similar: OSINT, escaneo, enumeración y búsqueda y explotación de vulnerabilidades. Las reuniones internas y del cliente marcan el comienzo y el closing del día, de modo que el cliente sabe cuándo han comenzado las pruebas y recibe una descripción common de lo que se encontró al closing del día. «Es para mantenerlos informados durante todo el compromiso», explica.

El proceso y las herramientas involucradas dependen de en lo que el asesor está entrando. Si están probando una aplicación web, por ejemplo, se les da una URL para probar. Para redes externas, reciben direcciones IP para aplicaciones móviles, se les da el nombre de la aplicación para descargar o el archivo .IPA si la aplicación aún no se ha lanzado, dice Hinojosa. Las pruebas móviles también requieren un dispositivo iOS con jailbreak o un dispositivo Android rooteado. Las pruebas de IoT requieren equipos, como estaciones de soldadura para eliminar chips, y a menudo se requiere depuración de hardware y software package, agrega Bindner. Speedy7 tiene un laboratorio, dice ella Algunos probadores tienen sus propios suministros.

«No se trata solo del dispositivo sentado solo», dice sobre las complejidades de las pruebas de IoT. «Son todos los diferentes componentes con los que interactúa».

Problemas de prueba de pluma y ventajas
Una de las frustraciones de las pruebas con bolígrafo es «se nos proporciona una cantidad limitada de tiempo para realizar el trabajo que hacemos», dice Bindner. Los evaluadores de la pluma deben permanecer dentro del alcance de cada compromiso, continúa. A veces encontrará algo que le interesa y quiere seguir cavando más profundo, pero los límites del compromiso significan que tienen que avanzar para terminar a tiempo.

Por otro lado, dice Hinojosa, a veces los clientes quieren agregar algo al alcance de un proyecto que no se acordó antes, lo que puede interferir con la línea de tiempo del compromiso.

A pesar de las frustraciones, ambas mujeres dicen que disfrutan las pruebas con bolígrafo porque «es como un rompecabezas que estás tratando de resolver, y es un desafío», dice Hinojosa, ex analista de control de calidad que realizó pruebas de software durante seis años antes de unirse a Swift7. Ella trajo sus habilidades de prueba de software program a su nuevo rol, donde aprendió de sus colegas y se capacitó en el trabajo para convertirse en un probador de pluma.

«Hay algo muy gratificante en saber … mientras que nuestras acciones podrían ser las de un atacante, lo estamos haciendo para asegurarnos de que las empresas sean más seguras a largo plazo», dice Bindner, si esas acciones están obteniendo secuencias de comandos en un sitio world wide web o pasar de una purple externa a una interna. Bindner, que tiene un título en ciencias animales, estudió en la Academia de Mujeres SANS y luego se capacitó en el programa de desarrollo de consultores de seguridad de Quick7.

Ambas mujeres coinciden en que las habilidades de investigación son primordiales para tener éxito como probadores de bolígrafos, ya que a menudo surgen nuevas vulnerabilidades y muchos escenarios de ataque diferentes de los que pueden no ser conscientes, dice Hinojosa. Siempre están investigando y aprendiendo a mantenerse al tanto. No solo se trata de poder buscar algo, están de acuerdo, sino de comprender qué buscar.

«Este campo, al igual que en cualquier otro campo complejo, requiere un aprendizaje continuo», dice Bindner.

Contenido relacionado:

Kelly Sheridan es la Editora de personalized de Dim Reading through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance policies & Technologies, donde cubrió asuntos financieros … Ver biografía completa

Más concepts





Enlace a la noticia initial