Laboratorio

Metodología ISSAF

🛡️ Metodología ISSAF (Information Systems Security Assessment Framework)

ISSAF es un marco integral diseñado para garantizar que las pruebas de penetración y evaluaciones de seguridad sean eficientes y aborden todos los aspectos críticos de la infraestructura tecnológica. Esta metodología es ideal para evaluaciones tanto técnicas como de gestión.

📋 Etapas de la Metodología ISSAF

ISSAF se compone de varias fases estructuradas que aseguran un enfoque completo:

1. Planificación 🗂️

  • Objetivo: Definir el alcance, los objetivos y las reglas de la evaluación.

  • Acciones clave:

    • Reunirse con las partes interesadas para entender los requisitos.

    • Establecer acuerdos de confidencialidad (NDA) y permisos.

  • Ejemplo: Crear un documento de planificación:

    Alcance: Aplicaciones web internas y externas.
No atacar: Servidores de producción críticos.
Horario: 9:00 a 18:00.

  • Documentación: Asegúrate de incluir acuerdos como las reglas de engagement (RoE).

2. Reconocimiento (Recopilación de Información) 🕵️

  • Objetivo: Obtener información pasiva y activa sobre los sistemas objetivo.

  • Técnicas:

    • Reconocimiento pasivo:

      • Buscar información pública en redes sociales, registros DNS y motores de búsqueda.

      • Herramienta: theHarvester:

        theHarvester -d example.com -b all

    • Reconocimiento activo:

      • Escanear redes y sistemas para identificar puertos abiertos y servicios.

      • Herramienta: nmap:

        nmap -sS -sV -oN scan_results.txt example.com

3. Mapeo de Infraestructura y Análisis 🔍

  • Objetivo: Comprender la arquitectura del sistema objetivo.

  • Pasos clave:

    • Identificar tecnologías utilizadas en las aplicaciones web.

    • Analizar configuraciones de servidores y servicios.

  • Ejemplo práctico: Utilizar Wappalyzer o extensiones del navegador para detectar frameworks y tecnologías web.

4. Evaluación de Vulnerabilidades (Scanning) 🚨

  • Objetivo: Identificar vulnerabilidades conocidas en los sistemas y aplicaciones.

  • Herramientas recomendadas:

    • OpenVAS: Escaneo de vulnerabilidades.

      openvas-start

    • Nessus: Para obtener informes detallados.

      nessus-cli scan start

5. Explotación (Ataque) 💥

  • Objetivo: Validar las vulnerabilidades detectadas explotándolas de forma controlada.

  • Ejemplo práctico:

    • SQL Injection: Usar sqlmap:

      sqlmap -u "<https://example.com?id=1>" --dbs

    • Explotación de SMB con Metasploit:

      msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS <IP>
run

6. Post-Explotación (Impacto y Movimientos Laterales) 🖥️

  • Objetivo: Evaluar el alcance y la gravedad del acceso obtenido, identificar datos sensibles, recursos críticos y evaluar posibles movimientos laterales dentro de la red.

  • Tareas clave:

    1. Recopilación de información interna:

      • Enumerar usuarios, grupos y permisos del sistema comprometido.

      • Extraer credenciales o hashes almacenados.

      • Herramienta: meterpreter en Metasploit:

        meterpreter > sysinfo
meterpreter > hashdump

    2. Movimientos laterales:

      • Intentar acceder a otros sistemas en la red mediante las credenciales obtenidas.

      • Herramienta: PsExec en Metasploit:

        use exploit/windows/smb/psexec
set RHOSTS <IP>
set SMBUser <usuario>
set SMBPass <contraseña>
run

    3. Exfiltración de datos:

      • Analizar y transferir datos sensibles (si está permitido en el alcance).

      • Herramienta: scp o exfiltration scripts.

        scp usuario@servidor:/ruta/datos_sensibles .

  • Consideraciones:

    • Evitar dañar la infraestructura.

    • Documentar cada acción realizada para el informe final.

7. Análisis y Mitigación de Vulnerabilidades 🔧

  • Objetivo: Proponer soluciones para corregir las vulnerabilidades explotadas y mejorar la seguridad general del sistema.

  • Pasos clave:

    1. Análisis de causas raíz:

      • Determinar por qué la vulnerabilidad existía.

      • Evaluar si los controles de seguridad son insuficientes o inexistentes.

    2. Recomendaciones:

      • Parches para software vulnerable.

      • Fortalecimiento de configuraciones.

      • Implementación de controles adicionales, como IDS/IPS.

  • Ejemplo práctico:

    Si una inyección SQL fue explotada, recomendar:

    • Uso de consultas preparadas (Prepared Statements).

    • Validación de entradas de usuario en el backend.

8. Informe Final y Presentación 📄

  • Objetivo: Documentar todos los hallazgos, el impacto de las vulnerabilidades explotadas y las recomendaciones para mitigarlas.

  • Estructura del informe:

    1. Resumen Ejecutivo:

      • Resumen de los hallazgos principales y su impacto en términos de negocio.

    2. Metodología:

      • Descripción de las herramientas y técnicas utilizadas.

    3. Hallazgos Técnicos:

      • Detalles de las vulnerabilidades, con evidencia.

      • Clasificación según CVSS (Common Vulnerability Scoring System).

    4. Recomendaciones:

      • Acciones específicas para mitigar cada vulnerabilidad.

  • Ejemplo de formato:

    Vulnerabilidad: SQL Injection
Impacto: Acceso a la base de datos principal.
Evidencia: Captura de pantalla del ataque exitoso.
Recomendación: Implementar consultas parametrizadas y sanitizar entradas.

  • Consejo: Incluir gráficos o tablas para resumir los riesgos.

🌐 Recursos Adicionales

  • Documentación oficial de ISSAF:

    Aunque ISSAF ya no se actualiza oficialmente, puedes encontrar información valiosa en sitios de referencia de ciberseguridad.

  • Herramientas recomendadas:

    • Kali Linux (plataforma con herramientas integradas).

    • OWASP ZAP (para pruebas de aplicaciones web).

🤓 Ejemplo práctico: Movimientos laterales con CrackMapExec

crackmapexec smb <IP_RANGO> -u usuario -p contraseña --shares

  • Explicación:

    • Escanea recursos compartidos (shares) en una red.

    • Permite detectar posibles vectores para movimientos laterales.

AnteriorMetodología PTESSiguienteMetodología OSSTMM

Última actualización

¿Te fue útil?