Metodología ISSAF

🛡️ Metodología ISSAF (Information Systems Security Assessment Framework)

ISSAF es un marco integral diseñado para garantizar que las pruebas de penetración y evaluaciones de seguridad sean eficientes y aborden todos los aspectos críticos de la infraestructura tecnológica. Esta metodología es ideal para evaluaciones tanto técnicas como de gestión.

📋 Etapas de la Metodología ISSAF

ISSAF se compone de varias fases estructuradas que aseguran un enfoque completo:

1. Planificación 🗂️

• Objetivo: Definir el alcance, los objetivos y las reglas de la evaluación.

• Acciones clave:

  • Reunirse con las partes interesadas para entender los requisitos.

  • Establecer acuerdos de confidencialidad (NDA) y permisos.

• Ejemplo: Crear un documento de planificación:

  Copiar

  Alcance: Aplicaciones web internas y externas.
  No atacar: Servidores de producción críticos.
  Horario: 9:00 a 18:00.
  

• Documentación: Asegúrate de incluir acuerdos como las reglas de engagement (RoE).

2. Reconocimiento (Recopilación de Información) 🕵️

• Objetivo: Obtener información pasiva y activa sobre los sistemas objetivo.

• Técnicas:

  • Reconocimiento pasivo:

    • Buscar información pública en redes sociales, registros DNS y motores de búsqueda.

    • Herramienta: theHarvester:

      Copiar

      theHarvester -d example.com -b all
      

  • Reconocimiento activo:

    • Escanear redes y sistemas para identificar puertos abiertos y servicios.

    • Herramienta: nmap:

      Copiar

      nmap -sS -sV -oN scan_results.txt example.com
      

3. Mapeo de Infraestructura y Análisis 🔍

• Objetivo: Comprender la arquitectura del sistema objetivo.

• Pasos clave:

  • Identificar tecnologías utilizadas en las aplicaciones web.

  • Analizar configuraciones de servidores y servicios.

• Ejemplo práctico: Utilizar Wappalyzer o extensiones del navegador para detectar frameworks y tecnologías web.

4. Evaluación de Vulnerabilidades (Scanning) 🚨

• Objetivo: Identificar vulnerabilidades conocidas en los sistemas y aplicaciones.

• Herramientas recomendadas:

  • OpenVAS: Escaneo de vulnerabilidades.

    Copiar

    openvas-start
    

  • Nessus: Para obtener informes detallados.

    Copiar

    nessus-cli scan start
    

5. Explotación (Ataque) 💥

• Objetivo: Validar las vulnerabilidades detectadas explotándolas de forma controlada.

• Ejemplo práctico:

  • SQL Injection: Usar sqlmap:

    Copiar

    sqlmap -u "<https://example.com?id=1>" --dbs
    

  • Explotación de SMB con Metasploit:

    Copiar

    msfconsole
    use exploit/windows/smb/ms17_010_eternalblue
    set RHOSTS <IP>
    run
    

6. Post-Explotación (Impacto y Movimientos Laterales) 🖥️

• Objetivo: Evaluar el alcance y la gravedad del acceso obtenido, identificar datos sensibles, recursos críticos y evaluar posibles movimientos laterales dentro de la red.

• Tareas clave:

  1. Recopilación de información interna:

     • Enumerar usuarios, grupos y permisos del sistema comprometido.

     • Extraer credenciales o hashes almacenados.

     • Herramienta: meterpreter en Metasploit:

       Copiar

       meterpreter > sysinfo
       meterpreter > hashdump
       

  2. Movimientos laterales:

     • Intentar acceder a otros sistemas en la red mediante las credenciales obtenidas.

     • Herramienta: PsExec en Metasploit:

       Copiar

       use exploit/windows/smb/psexec
       set RHOSTS <IP>
       set SMBUser <usuario>
       set SMBPass <contraseña>
       run
       

  3. Exfiltración de datos:

     • Analizar y transferir datos sensibles (si está permitido en el alcance).

     • Herramienta: scp o exfiltration scripts.

       Copiar

       scp usuario@servidor:/ruta/datos_sensibles .
       

• Consideraciones:

  • Evitar dañar la infraestructura.

  • Documentar cada acción realizada para el informe final.

7. Análisis y Mitigación de Vulnerabilidades 🔧

• Objetivo: Proponer soluciones para corregir las vulnerabilidades explotadas y mejorar la seguridad general del sistema.

• Pasos clave:

  1. Análisis de causas raíz:

     • Determinar por qué la vulnerabilidad existía.

     • Evaluar si los controles de seguridad son insuficientes o inexistentes.

  2. Recomendaciones:

     • Parches para software vulnerable.

     • Fortalecimiento de configuraciones.

     • Implementación de controles adicionales, como IDS/IPS.

• Ejemplo práctico:

  Si una inyección SQL fue explotada, recomendar:

  • Uso de consultas preparadas (Prepared Statements).

  • Validación de entradas de usuario en el backend.

8. Informe Final y Presentación 📄

• Objetivo: Documentar todos los hallazgos, el impacto de las vulnerabilidades explotadas y las recomendaciones para mitigarlas.

• Estructura del informe:

  1. Resumen Ejecutivo:

     • Resumen de los hallazgos principales y su impacto en términos de negocio.

  2. Metodología:

     • Descripción de las herramientas y técnicas utilizadas.

  3. Hallazgos Técnicos:

     • Detalles de las vulnerabilidades, con evidencia.

     • Clasificación según CVSS (Common Vulnerability Scoring System).

  4. Recomendaciones:

     • Acciones específicas para mitigar cada vulnerabilidad.

• Ejemplo de formato:

  Copiar

  Vulnerabilidad: SQL Injection
  Impacto: Acceso a la base de datos principal.
  Evidencia: Captura de pantalla del ataque exitoso.
  Recomendación: Implementar consultas parametrizadas y sanitizar entradas.
  

• Consejo: Incluir gráficos o tablas para resumir los riesgos.

🌐 Recursos Adicionales

• Documentación oficial de ISSAF:

  Aunque ISSAF ya no se actualiza oficialmente, puedes encontrar información valiosa en sitios de referencia de ciberseguridad.

• Herramientas recomendadas:

  • Kali Linux (plataforma con herramientas integradas).

  • OWASP ZAP (para pruebas de aplicaciones web).

🤓 Ejemplo práctico: Movimientos laterales con CrackMapExec

crackmapexec smb <IP_RANGO> -u usuario -p contraseña --shares

• Explicación:

  • Escanea recursos compartidos (shares) en una red.

  • Permite detectar posibles vectores para movimientos laterales.