Cuatro herramientas de pen testing para mejorar la seguridad empresarial

1. Zenmap

Nmap ha sido una herramienta multiplataforma gratuita favorita entre los administradores. Ahora viene con la interfaz gráfica Zenmap para ayudar a hacer su trabajo de escanear la red más fácil.

Con el Asistente de Comandos, los administradores de seguridad ven las opciones de línea de comandos en la parte superior de la pantalla para cada perfil (nuevo o predefinido). Ellos pueden editarlos de forma interactiva antes de ejecutarlos. Esta característica de interacción ayuda a ahorrar tiempo normalmente requerido para corregir errores de tipeado y/o de configuración.

Al crear un nuevo perfil, los administradores de seguridad pueden elegir una combinación de opciones entre exploración, ping, target, fuente, tiempo y otras técnicas avanzadas de pruebas de penetración. Ellos pueden guardar los resultados del análisis en una base de datos y compararlos en una fecha posterior para determinar cualquier patrón de tráfico inusual.

2. Burp

Las pruebas del ciclo de vida completo de las vulnerabilidades ayuda al administrador a tener una mejor visión de cómo diversas herramientas funcionan juntas. Una de las favoritas es Burp, una prueba de penetración gráfica de aplicaciones web que viene en dos ediciones: Limitada y Burp Suite Professional (299 dólares por usuario al año).

La edición gratuita permite a los administradores utilizar Burp Proxy para modificar el tráfico entre su navegador y la aplicación de destino, Burp Spider para el rastreo de contenido (por ejemplo, la búsqueda de nuevos intentos de conexión), Burp Repeater para reenviar las solicitudes individuales y Burp Sequencer para las pruebas de aleatoriedad de tokens de sesión .

Disponibles en la suite profesional hay dos herramientas más: Escáner, para automatizar el escaneo de vulnerabilidades, e Intruder para la personalización de los ataques para explotar vulnerabilidades inusuales. Esta suite permite al administrador buscar palabras clave, programar tareas, analizar objetivos y guardar, restaurar y comparar los resultados de escaneo. Para llevar a cabo tareas complejas, los administradores con conocimientos de Java pueden crear sus propios plugins.

3. OpenVAS

Los administradores que trabajaron con Nessus deben encontrarlo similar a OpenVAS (Sistema de Evaluación de Vulnerabilidades Abiertas). OpenVAS fue creado como una herramienta gratuita a partir de la última versión gratuita de Nessus en 2005. Ambos utilizan varios escáneres para descubrir vulnerabilidades en servidores desde una máquina cliente. Pero esto no significa que Nessus y OpenVAS pueden apuntar a los mismos tipos de vulnerabilidad.

Para instalar OpenVAS-8, el administrador puede elegir un paquete de terceros o compilar el código fuente. El escáner realiza actualizaciones diarias para las pruebas de vulnerabilidad de red (NVTs) a través del RSS OpenVAS NVT o a través de un servicio de fuentes comerciales. El administrador trabaja con el Asistente de Seguridad Greenbone, un servicio web delgado con una interfaz de usuario para navegadores web.

Coordinando con el módulo de servicio OpenVAS Manager, el administrador gestiona las cuentas de usuario, y puede cambiar las reglas para reiniciar el número de escáneres OpenVAS que pueden apuntar a las redes y/o hosts específicos de sistemas operativos al mismo tiempo. El administrador también puede cambiar las configuraciones para permitir que un usuario escanee su propio host o sincronice manualmente su propio repositorio NVT con una fuente OpenVAS NVT. Él o ella puede controlar los horarios de escaneo y mantener una base de datos SQL, como MySQL o SQLite, de configuraciones de escaneo y resultados.

4. Arachni

Algunas herramientas de prueba de penetración permiten el análisis en múltiples dispositivos móviles (además de las computadoras). Una de las favoritas es Arachni, una herramienta gratuita de código abierto para Linux y Mac OS X que viene con interfaces gráficas. Esta herramienta permite al administrador probar activamente aplicaciones web con scripting por todo el sitio (con variantes DOM), inyección de SQL, inyección de NoSQL, inyección de código, variantes de inclusión de archivos y otros tipos de inyecciones.

Los administradores pueden configurar la herramienta para limitar los controles pasivos de los archivos a los números de tarjetas de crédito, números de Seguro Social, direcciones IP privadas y otros tipos de información. Desde su máquina cliente, pueden escanear un solo servidor o varios servidores que se ejecutan en Windows, Solaris y/u otros sistemas operativos. Los administradores que actúan como examinadores de penetración y que utilizan la herramienta como parte de su conjunto de herramientas de evaluación están exentos de la exigencia de una licencia para el uso comercial.

Encontrar las herramientas de prueba de penetración adecuadas

Para construir un conjunto de herramientas funcionales para pruebas de penetración, los administradores deben tener en cuenta las capacidades de cada herramienta. Deben incluir los objetivos específicos a ser probados, las técnicas de pruebas de penetración, la gama de tipos de vulnerabilidades, la facilidad de uso y otras variables. Las herramientas de prueba de penetración, al usarse juntas siempre que sea posible, deben ayudar a los administradores a encontrar un mayor número de vulnerabilidades.

Sobre el autor: Judith M. Myerson es una profesional de ingeniería de sistemas y seguridad que ha investigado y publicado artículos sobre una amplia gama de temas de seguridad, gestión de riesgos y la internet de las cosas. Ella es la autora de RFID in the Supply Chain, y es CRISC (Certificada en Riesgos y Control de Sistemas de Información) y miembro de OPSEC e ISACA.