Pentest Externo (Blackbox) -- 2

En este caso se encarará la infraestructura externa en un modelo de Black Box o Caja Negra. Lo expresado implica que toda la verificación se hará sin contar con credenciales de acceso a la infraestructura, servidores, servicios, etc. La misma está compuesta por 70 IPs públicas (se cuenta con un documento que detalla las IP objeto de análisis). No se incluye la denegación de servicios por razones obvias. Cuando se realiza una prueba de penetración, se rige por las siguientes guías estandarizadas: • OWASP Testing Guide V4 • NIST SP – 800-115 La valoración de riegos de cada vulnerabilidad encontrada se basa en el estándar de cálculo de riesgos CVSSv3. La metodología NIST SP 800-115 que comprende las siguientes fases: 2.1. Planificación En la fase de planificación, se crea este documento “Reglamento de de compromiso” que define los objetivos, los documentos de aprobación de la administración y establece metas de pruebas. 2.2. Relevamiento En la fase de reconocimiento, se intentará identificar y obtener información sobre los objetivos dentro de su alcance. 2.3. Detección de Vulnerabilidades Durante la fase de detección de vulnerabilidades, se intentará descubrir y validar las vulnerabilidades en los sistemas enumerados en la fase de reconocimiento. Se realizarán pruebas de seguridad, tratando de obtener acceso a sistemas o datos sensibles y evaluar las vulnerabilidades. 2.4. Explotación En la fase de explotación, se tendrá la información sobre la vulnerabilidad y lo utilizará para obtener acceso a datos restringidos de otro modo, tomar el control de los sistemas, hacerse pasar por usuarios y realizar otras acciones diseñadas para demostrar las posibles consecuencias de las vulnerabilidades descubiertas. 2.5. Generación de Informes En la fase de presentación de informes, se documentará las vulnerabilidades y los intentos de explotación, así como recomendar acciones de remediación descubiertas.