Metodología de Pruebas de Intrusión en la NIST SP 800-115

La Guía Técnica para Evaluaciones y Pruebas de Seguridad de la Información NIST SP 800-115 (Technical Guide to Information Security Testing and Assessment), fue publicada en septiembre del 2008 por el Instituto Nacional de Estándares y Tecnología (NIST) del gobierno de los EE.UU. Describe las pautas sobre como debe realizarse una Evaluación de Seguridad de la Información (ESI) y lo conceptualiza como el proceso de determinar cuan eficazmente una entidad es evaluada frente a objetivos específicos de seguridad. Define como activos y objetos de evaluación los servidores, redes de datos,  procedimientos y personas.

Para la realización de la ESI, pueden usarse tres métodos de evaluación:

  • Pruebas: Es el proceso de poner bajo pruebas uno o más objetos de evaluación bajo condiciones específicas para comparar el comportamiento real y el esperado.
  • Escrutinio: Es el proceso de comprobar, inspeccionar, revisar, observar, estudiar o analizar uno o mas objetos de evaluación para facilitar su comprensión, aclaración u obtener evidencias.
  • Entrevista: Es el proceso para la conducción de discusiones e intercambios con grupos de personas con el objetivo de facilitar la comprensión, aclaración o identificar la localización de evidencias asociadas a los objetos de evaluación.

Los resultados obtenidos a través de los métodos de evaluación son utilizados para determinar la efectividad de los controles de seguridad de la entidad.

La NIST SP 800-115 propone un proceso de ESI compuesto por al menos tres fases:

  • Planificación: Clasificada como una fase crítica para el éxito de la ESI. En ella se debe recopilar información sobre los activos que serán evaluados, las amenazas de interés contra estos activos y los controles de seguridad que pueden ser utilizados para mitigar esas amenazas.  Teniendo como principio que una ESI es un proyecto, debe establecerse un plan de gestión que incluya metas y objetivos específicos, alcance, requerimientos, roles y responsabilidades de los equipos, limitaciones, factores de éxito, condicionantes, recursos, planificación de tareas y entregables.
  • Ejecución: El objetivo principal de esta fase es identificar las vulnerabilidades y comprobarlas según la planificación establecida. Deben aplicarse métodos y técnicas de evaluación apropiados según el objetivo de la ESI.
  • Post-Ejecución: Centrada en el análisis de las vulnerabilidades encontradas para determinar la raíz de las causas de su presencia, establecer recomendaciones para su mitigación y desarrollar el reporte final.

Pruebas de Intrusión en la NIST SP 800-115

Las pruebas de intrusión son formalizadas como las pruebas de seguridad en la cual, los evaluadores simulan ataques del mundo real en un intento de identificar modos de evadir las características de seguridad de una aplicación, sistema o red de datos.

Se menciona además, que la mayoría de las pruebas de intrusión involucran la búsqueda de explotación combinada de vulnerabilidades en uno o más sistemas, de manera que puedan ser aprovechadas para ganar mayores privilegios de acceso que lo que pudiera haberse alcanzado a través de la explotación de una sola vulnerabilidad.

Según la NIST SP 800-115, las pruebas de intrusión pueden ser utilizadas para determinar:

  • La manera en que el sistema tolera los patrones de ataques del mundo real.
  • El nivel de sofisticación que un atacante necesita para comprometer con efectividad el sistema.
  • Las medidas adicionales que se deben emplear para mitigar las amenazas contra el sistema.
  • La habilidad de los defensores para detectar los ataques y responder apropiadamente a estos.

Fases de la prueba de intrusión

El proceso de pruebas de intrusión se desarrolla a través de cuatro fases:

nistsp880115-f1-fases-generales

Figura 1: Fases de una Prueba de Intrusión. Tomado de NIST SP 800-115.

  • Fase de Planificación: Se identifican las reglas que deben seguirse durante la prueba de intrusión, se determinan los objetivos a alcanzar y se gestionan las aprobaciones necesarias. Se crean las condiciones técnicas y organizativas adecuadas para el éxito de la prueba de intrusión. En esta fase no se realiza ningún tipo de prueba de seguridad.
  • Fase de Descubrimiento:
    • Se realiza el escaneo y recopilación de información de la infraestructura informática de la entidad.
    • Se realiza el descubrimiento de vulnerabilidades a partir de la información recopilada de servicios, base tecnológica y otras informaciones que permitan realizar búsquedas en bases de datos de vulnerabilidades públicas o propias.
  • Fase de Ejecución: En este proceso se realiza la comprobación de las  vulnerabilidades previamente descubiertas y es la fase principal del proceso (figura 2). Si un ataque es exitoso, debe aislarse y documentarse cuidadosamente la vulnerabilidad y proponerse medidas para mitigarla. Las actividades internas que se llevan a cabo son:
    • Ganar privilegios de accesos: Si la información recopilada en la fase anterior es suficiente, durante esta actividad es posible ganar privilegios de acceso al sistema.
    • Escalada de privilegios: Si en la actividad anterior solo se pudo ganar privilegios de acceso de bajo nivel (Ej. usuario básico), durante esta actividad, los evaluadores deben tratar de alcanzar el control total de sistema, semejante al que tendrían los administradores de este.
    • Navegación dentro del sistema: Con el control del sistema alcanzado en la actividad anterior, los evaluadores deben buscar información adicional que les permita comprender mejor la existencia y métodos para ganar privilegios de acceso en sistemas secundarios. Si se descubren nuevos datos e informaciones, se sumarían estos a los resultados de la fase de Descubrimiento y se planificaría la explotación de las nuevas vulnerabilidades descubiertas.
    • Instalación de herramientas adicionales: Durante el proceso de explotación de vulnerabilidades, puede requerirse la instalación de herramientas que permitan recopilar información adicional, ganar otros privilegios de accesos o ambas cosas a la vez.
nistsp880115-f1-fases-especificas.png

Figura 2: Actividades específicas de la Fase de Ejecución. Tomado de NIST SP 800-115.

  • Fase de Documentación y Reporte: Se desarrolla en paralelo con el resto de las fases del siguiente modo:
    • En la fase de Planificación se documenta el Plan de Evaluación o las Reglas de Interacción.
    • En la fase de Descubrimiento se almacenan los reportes generados por los escaneadores de vulnerabilidades e informaciones útiles obtenidas a través de otros medios.
    • En la fase de Ejecución se almacenan los reportes generados por las herramientas de explotación de vulnerabilidades.
    • Al concluir la prueba de intrusión, se genera un reporte con la descripción de las vulnerabilidades encontradas, presenta una puntuación de riesgos y brinda una guía sobre como mitigar las debilidades descubiertas.

Análisis

La NIST SP 800-115 describe una guía general para la realización de un proceso de Evaluación de Seguridad de la Información de una entidad y está orientada a la comprobación de aspectos técnicos en sistemas informáticos o redes de datos. Dentro de los elementos más destacables de la guía se encuentran:

  • El énfasis en la realización de todo el proceso enmarcado dentro de un proyecto estándar, aplicando las metodologías de gestión en correspondencia con ello.
  • La necesidad de establecer claramente los alcances, objetivos, limitantes, roles y otros componentes que permitan definir claramente, para todas las partes involucradas, los resultados, posibles afectaciones y mecanismos de mitigación, de manera tal que el proceso de ESI no impacte en el funcionamiento de la entidad, más allá de los límites permisibles.
  • Propone la realización de un documento base titulado Reglas de Interacción (Rules of Engagement), conteniendo todos los elementos descritos anteriormente, el cual debe ser firmados por todas las partes.

La NIST SP 800-115 no pretende ser la guía o metodología definitiva para la realización de ESI. Señala en todos los casos sus limitantes y deficiencias y hace referencia a otros documentos y metodologías que pueden ayudar a solventarlas. Las más significativas son:

  • El nivel de descripción de las actividades y procesos es demasiado general y requiere de una adaptación previo a las condiciones y requerimientos de la entidad y proceso de pruebas. No se proponen herramientas, pruebas de seguridad ni métodos específicos a emplear en cada fase.
  • Reconoce el incremento constante de los ataques contra las aplicaciones (Ej. aplicaciones web) y considera que las evaluaciones de seguridad a nivel de aplicaciones es un tema complejo con múltiples técnicas y métodos y por ese motivo se sale del alcance de la guía. Esto la hace inadecuada para ser empleada por si sola, en la realización de pruebas de seguridad en aplicaciones web.

Una contradicción contenida en la guía es la ambivalencia entre el concepto de Evaluación de Seguridad de la Información y Pruebas de Intrusión. Durante la mayor parte del documento, se tratan las Pruebas de Intrusión como un método para validar las vulnerabilidades encontradas mediante su explotación efectiva en la fase general de Ejecución. Sin embargo, cuando se describen las Pruebas de Intrusión, en la sección 5.2, se tratan actividades y procesos globales, incluyendo la redacción de la Reglas de Interacción, tarea que por otra parte, debió haberse realizado previamente.

Conclusiones

La NIST SP 800-115 concibe las pruebas de intrusión como un paquete de pruebas de seguridad que se realizan utilizando los mismos métodos y herramientas que emplean los atacantes reales. Se emplean para verificar las vulnerabilidades descubiertas en fases anteriores y sirven para demostrar como las vulnerabilidades pueden ser explotadas iterativamente para ganar privilegios de accesos al sistema.

Su concepción de la Evaluación de Seguridad de la Información gestionada mediante un proyecto estándar y la redacción de un documento conteniendo las Reglas de Interacción, lo convierten en referente para la construcción del proceso de gestión de las Prueba de Intrusión. Por otra parte, se evidencian limitantes que impiden que pueda ser tomado como base para la ejecución de pruebas de seguridad concretas en aplicaciones informáticas en sentido general y en aplicaciones web de manera específica.

Espero que este resumen que hicimos en el blog en español de la NIST SP 800-115 pueda ayudar a mejorar la seguridad de tu infraestructura tecnológica.

S4lud0s y h4st4 el próx1m0 p0st!!!

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s