Las pruebas de penetración (o pentests) son ataques simulados llevados a cabo en un entorno controlado por especialistas de seguridad externos. Un pentest revelará si una organización es potencialmente vulnerable a ataques cibernéticos y brinda recomendaciones sobre cómo fortalecer su postura de seguridad. Las pruebas de penetración se han convertido en una de las tácticas de seguridad más conocidas para ayudar a las organizaciones a descubrir vulnerabilidades críticas, fortalecer sus defensas de seguridad y cumplir con los requisitos de cumplimiento como PCI DSS.
Existe una gran demanda de probadores profesionales de penetración o los denominados «hackers éticos», y cada vez más profesionales de la seguridad persiguen certificaciones relevantes, como el Hacker ético certificado (C | EH), el Probador de penetración autorizado (LPT) y el Probador de penetración certificado ( CPT) o GIAC Penetration Tester (GPEN).
A continuación te contamos sobre 10 herramientas útiles investigadas por los propios Penetration Testers de Hitachi Systems Security que te ayudarán a mantenerte al día con el cambiante panorama de la piratería ética.
Offensive Security es un sitio web de pruebas de penetración y entrenamiento de seguridad de la información líder en la industria que ofrece capacitaciones y certificaciones, laboratorios de pruebas de penetración virtuales, etc. Brinda también entornos seguros de red virtual a través de sus laboratorios de pruebas de penetración para ayudar a aspirantes y experimentados con la preparación de pruebas de penetración. En términos de certificaciones, Ofensive Security ofrece la certificación Ofensive Security Certified Professional (OSCP), la joya de la corona de todas las certificaciones relacionadas, si no contamos con los certificados de nivel superior, como OSCE (Expertos certificados en seguridad ofensiva).
La base de datos de Exploit es un archivo en línea de exploits públicos y software vulnerable correspondiente, desarrollado y mantenido por Offensive Security para la información y el uso de investigadores de vulnerabilidades y probadores de penetración. Los exploits enumerados en la base de datos se recopilan a través de listas de correo, envíos directos y otros recursos disponibles públicamente.
El SANS Institute es una organización privada de capacitación con fines de lucro, conocida como una de las más grandes del mundo en información y educación de seguridad informática. Mantiene una amplia variedad de blogs y recursos destinados a todas las subcategorías de TI y seguridad de TI. Los recursos para probar la penetración incluyen cursos de capacitación sobre pruebas de penetración y hacking ético y una amplia biblioteca de artículos sobre SANS Penetration Testing Blog.
PentesterLab ofrece una colección de laboratorios de pruebas de penetración de diversos grados de dificultad para ayudar a los evaluadores de penetración a comprender y probar los sistemas en busca de vulnerabilidades. Al completar los ejercicios en línea, pueden obtener certificados de finalización.
Cybrary es posiblemente uno de los mejores sitios educativos de seguridad de la información en internet. Contiene videos completos de cursos universitarios, desde la creación de redes básicas hasta la capacitación para certificaciones, explicaciones de codificación segura, pruebas de penetración y todo lo relacionado con la seguridad. La mayoría del contenido de Cybrary es gratuito.
Laboratorio de Práctica de Pruebas de Penetración
Desarrollar tus habilidades a través de la experimentación práctica en el laboratorio es vital en la vida del evaluador de penetración. Aman Hardikar, construyó un mapa mental que muestra varias distinciones, desafíos y otros recursos gratuitos y disponibles públicamente para practicar sus habilidades.
Ethical Hacking LinkedIn Group
Ethical Hacking es un grupo de LinkedIn creado específicamente para que los hackers éticos tengan un medio para intercambiar conocimientos, ideas y técnicas específicas para las pruebas de penetración.
Kioptrix es un blog práctico que proporciona a los evaluadores de penetración imágenes defectuosas del sistema operativo que pueden descargar. Una vez descargados, pueden configurar su propia máquina virtual e intentar atacar estos sistemas operativos para conocer las vulnerabilidades y agujeros de seguridad más comunes.
EHacking.net es otro gran recurso para contenido gratuito sobre pruebas de penetración y escaneo de vulnerabilidades, que incluye un directorio de herramientas de código abierto, pruebas de penetración y tutoriales de Metasploit, artículos de blog, videos, etc.
GitHub: impresionante prueba de penetración
GitHub es el hogar de más de 20 millones de desarrolladores que trabajan juntos para alojar y revisar códigos, administrar proyectos y crear software en conjunto. GitHub compiló una publicación llamada «Awesome Penetration Testing» que enumera una colección de «asombrosos recursos para pruebas de penetración, herramientas y otras cosas brillantes». En resumen, realmente es increíble. Los evaluadores de penetración pueden encontrar recursos sobre bases de datos de vulnerabilidad, plantillas de informes, libros, cursos de seguridad, conferencias, revistas, etc.
Si está interesado en obtener más información acerca de las pruebas de penetración en Hitachi Systems Security, contáctanos y solicita más información.