a darle.................................................................................................
Una Prueba de Penetración es el proceso utilizado para realizar una evaluación o auditoría de seguridad de un alto nivel.
Una metodología define un conjunto de reglas, prácticas, procedimientos y
métodos que se siguen e implementan, durante la realización de cualquier programa de auditoría en seguridad de la información.
Una metodología de pruebas de penetración define una hoja de ruta con
ideas útiles y prácticas comprobadas, las cuales deben ser manejadas con cuidado para poder evaluar correctamente los sistemas de seguridad.
Tipos de Pruebas de Penetración:
Existen diferentes tipos de Pruebas de Penetración, las más comunes y aceptadas son Las Pruebas de Penetración de:
Caja Negra (Black-Box)
Caja Blanca (White-Box)
Caja Gris (Grey-Box)
Prueba de Caja Negra.
No se tienen ningún tipo de conocimiento anticipado sobre la red de la organización; Un ejemplo de este escenario, es cuando se realiza una prueba externa a nivel web, y está es realizada solo con el detalle de una URL o dirección IP, el cual es proporcionado al equipo de pruebas; Esto simula el rol de intentar irrumpir en el sitio web o red de la organización; Así
mismo simula un ataque externo realizado por un atacante malicioso.
Prueba de Caja Blanca.
El equipo de pruebas cuenta con acceso para evaluar las redes y ha sido dotado de diagramas de la red y detalles de hardware, sistemas operativos, aplicaciones, entre otra información, antes de que la prueba sea realizada. Esto no iguala a una prueba sin conocimiento pero puede acelerar el proceso en gran medida y obtener resultados más precisos, La cantidad de conocimiento previo conduce a realizar las pruebas a sistemas operativos específicos, aplicaciones y dispositivos de red que residen en la red en lugar de invertir tiempo enumerando lo que podría posiblemente estar en la red, Este tipo de prueba equipara una situación donde el atacante puede tener conocimiento completo de la red interna.
Prueba de Caja Gris
El equipo de pruebas simula un ataque que puede ser realizado por un miembro de la organización inconforme o descontento; El equipo de pruebas debe ser dotado con los privilegios adecuados a nivel de usuario y una cuenta de usuario, además de permitirle acceso a la red interna.
Haora... en mi opinion, se hace la que el cliente pida, pero en mi experiencia, siempre recomiendo la de caja blanca, ya que como antepusimos antes, se tiene toda la info a la mano y sabes a donde vas, de lo contrario, con la gris es mas que suficiente... si lo que quieren es ponerte a prueba, con la gris es mas que suficiente, la caja negra no se las recomiendo, ya que terminaran tirando los servicios de la empresa o algo peor, si el dominio esta en un hosting rentado, podria haber problemas posteriores..... ya lo demas son arreglos...
No hay comentarios:
Publicar un comentario