Prueba de pluma automatizada: ¿puede reemplazar a los humanos?



Estas herramientas han recorrido un largo camino, pero ¿están lo suficientemente avanzadas como para hacer obsoletos los probadores de lápiz humanos?

La automatización de la ciberseguridad ha aumentado drásticamente en los últimos años, pero las pruebas de penetración se han mantenido obstinadamente inmunes. Si bien la seguridad de colaboración colectiva evolucionó como una alternativa a las pruebas de penetración en los últimos 10 años, no se basa en la automatización, sino que simplemente arroja a más humanos a un problema (y, en el proceso, crea su propio conjunto de debilidades). Sin embargo, recientemente, las herramientas automáticas de prueba de lápiz han avanzado hasta un punto en el que se pueden utilizar en determinadas condiciones. Esto plantea la pregunta: ¿Pueden estas herramientas reemplazar a los probadores de lápiz humanos?

Pasé gran parte del año pasado probando estas herramientas y comparándolas en pruebas comparables con los probadores de escritura humanos, pero la advertencia es que estas herramientas de automatización están mejorando a un ritmo fenomenal, por lo que este análisis puede que ya esté desactualizado antes de leerlo.

Cómo funcionan los probadores de lápiz automatizados
Estas herramientas «entregan» una prueba de penetración mediante el uso de un agente o una máquina virtual (VM) que simula la computadora portátil del probador de penetración y / o el proxy de ataque que se conecta a su crimson. El bot de prueba de lápiz luego realiza un reconocimiento en su entorno haciendo escaneos idénticos a los que haría un humano: ejecutando un escaneo de vulnerabilidades con una herramienta preferida o simplemente un barrido de puertos y servicios con Nmap o Masscan. Una vez que las herramientas automatizadas hayan establecido dónde se ubican dentro del entorno, filtrarán lo que hayan encontrado. Aquí es donde terminan las similitudes con los escáneres de vulnerabilidades.

Los escáneres de vulnerabilidades simplemente enumeran una serie de vulnerabilidades y vulnerabilidades potenciales que encuentran, sin contexto sobre su explotabilidad. Simplemente regurgitan referencias de vulnerabilidades y exposiciones comunes (CVE) y puntuaciones del sistema de puntuación de vulnerabilidad común (CVSS). A veces pegan «pruebas» de que el sistema es susceptible, pero no atienden bien a los falsos positivos. Las herramientas automatizadas de prueba de lápiz luego eligen el «mejor» sistema de estos objetivos para tomar el management, tomando decisiones basadas en la facilidad de explotación, el ruido y otros factores. Por ejemplo, si el bot encuentra una máquina con Home windows que es vulnerable a EternalBlue, puede favorecer esto en lugar de forzar un puerto SSH abierto que se autentica con una contraseña, ya que es una cantidad conocida y un exploit mucho más rápido y fácil.

Una vez que la herramienta se afianza, se propagará a través de la purple, imitando cómo lo haría un probador de lápiz humano o un atacante. La diferencia es que instala una versión de su propio agente en la máquina explotada y continúa su pivote desde allí. Vuelve a iniciar el proceso desde cero, pero esta vez investiga forense la máquina para darle más munición para continuar su viaje a través de su purple. Aquí es donde podría volcar hashes de contraseña o buscar credenciales codificadas. Luego agrega esto a su repertorio para la siguiente ronda. Si bien anteriormente podría haber repetido el escaneo / explotación / pivote, esta vez intentará un ataque de «pasar el hash» o se conectará a un puerto SSH usando la clave que acaba de robar. Luego, gira nuevamente y así sucesivamente.

Si nota muchas similitudes en cómo se comportan los probadores de escritura humanos, tiene toda la razón: gran parte de esto es exactamente cómo se comportan los probadores de escritura (y en menor medida, los atacantes). Los conjuntos de herramientas son similares y las técnicas y vectores utilizados para pivotar son idénticos en muchos aspectos. Entonces, ¿qué es diferente?

Ventajas de las pruebas de lápiz automatizadas
La automatización ofrece algunas ventajas sobre la envejecida metodología de pruebas de penetración (y la igualmente caótica metodología de crowdsourcing).

En primer lugar, la velocidad de la prueba y los informes es mucho más rápida y los informes son sorprendentemente legibles. (Después de consultar con algunos evaluadores de seguridad calificados, verifiqué que aprobarán los diversos requisitos de prueba de penetración de PCI-DSS). No más días o semanas de espera para un informe redactado por manos humanas y algunas rondas de control de calidad antes de entregarlo. tus manos.

Esta es una de las principales debilidades de las pruebas de penetración humana en la actualidad: la entrega continua significa que muchos informes están desactualizados antes de ser entregados. El entorno se ha actualizado varias veces desde la prueba, lo que introduce nuevas vulnerabilidades potenciales y configuraciones erróneas que no existían durante la prueba. Esta es la razón por la que las pruebas de lápiz tradicionales son realmente una instantánea de su postura de seguridad en un momento determinado.

Las herramientas automatizadas de prueba de lápiz superan esta limitación ejecutando pruebas diariamente, dos veces al día o en cada cambio, y entregando un informe casi al instante. Esto significa que puede probar su entorno y detectar cambios de configuración potencialmente explotables a diario, en lugar de depender de un informe entregado semanas después.

La segunda ventaja de la automatización es el punto de entrada. Si bien puede darle a un probador de lápiz humano un punto de entrada específico a su red, una herramienta automatizada puede ejecutar la misma prueba de lápiz varias veces desde diferentes puntos de entrada para descubrir vectores vulnerables y monitorear varios escenarios de impacto según el punto de entrada. Si bien esto es teóricamente posible con un humano, requeriría un gran presupuesto para pagar cada vez una prueba diferente.

Desventajas de las pruebas de pluma automatizadas
Las herramientas de prueba de lápiz automatizadas tienen desventajas. Primero, no comprenden las aplicaciones internet, en absoluto. Si bien detectarán algo así como un servidor internet en el nivel de puertos / servicios, no entenderán que tiene una vulnerabilidad de referencia de objeto directo inseguro (IDOR) en su API interna o una falsificación de solicitud del lado del servidor (SSRF) en una página internet que un pen tester humano puede utilizar para girar aún más. Esto se debe a que la pila website de hoy en día es compleja, e incluso los escáneres especializados (como los escáneres de aplicaciones world wide web) tienen dificultades para detectar vulnerabilidades que no son frutas fáciles de alcanzar (como XSS o SQLi).

Esto conduce a otra debilidad en las herramientas automatizadas de prueba de penetración: solo puede usarlas «dentro» de la pink. Como la mayor parte de la infraestructura de la empresa expuesta está basada en la world-wide-web y las herramientas automatizadas de prueba de penetración no las entienden, aún tendrá que ceñirse a los buenos humanos para las pruebas de penetración desde el exterior.

Dónde están las cosas
Esta tecnología es muy prometedora, pero es pronto. Si bien todavía no puede hacer que los probadores de lápiz humanos sean redundantes, tiene un papel en el cumplimiento de los desafíos de seguridad ofensivos de hoy que no se pueden cumplir sin la automatización.

Alex Haynes es un ex pentester con experiencia en seguridad ofensiva y se le atribuye haber descubierto vulnerabilidades en productos de Microsoft, Adobe, Pinterest, Amazon Website Solutions e IBM. Él es un ex investigador clasificado entre los 10 primeros en Bugcrowd y miembro de Synack … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial