La idea que tenemos sobre seguridad es diferente sobre lo que históricamente las organizaciones han ido utilizando. ¿Realmente es lo que necesitaban? Pensamos que un sistema continuo de pentesting proporciona a la organización una revisión al día de como se encuentra su infraestructura. Algo hay claro y es que la seguridad cambia diariamente por lo que las revisiones de seguridad cada ‘equis’ meses puede no ser una buena solución.
Nuestra primera medida, bajo el modo Pentesting by Design, se denomina FaaS, FOCA As A Service. ¿Qué es FaaS? Es un sistema capaz de enumerar, analizar y explotar los activos de una organización con el fin de encontrar agujeros de seguridad que podrían ser explotados por otros usuarios con fines maliciosos, provocando pérdidas a la organización. Es la evolución natural de la aplicación FOCA, Fingerprinting Organizations with Collected Archives. En la siguiente imagen se puede observar un esquema del modelo y lo que FaaS representa y es capaz de realizar.
Figura 1: Esquema del modelo |
El punto de partida de nuestro sistema son tres valores principales que toda empresa u organización dispone en Internet, de manera explícita o implícita por desconocimiento. Los valores son los siguientes:
- Dominio. Los dominios son la cara visible y un activo importante en la imagen de una organización o empresa. FaaS realizará un estudio sobre los dominios públicos y obtendrá información sobre ellos, enumerándolos de tal manera que podrá realizar un proceso de pentesting sobre los activos a partir de los dominios públicos.
- Metadatos. Los documentos publicados en la web por las organizaciones pueden llevar consigo información interesante para inferir datos sobre como se organiza la empresa, nombres de usuarios, mails, versiones de software y otros datos de interés que pueden ser utilizados en contra de la organización, por ejemplo para llevar a cabo un APT, Advanced Persistent Threat.
- Servicios. FaaS encontrará los servicios públicos de una organización y realizará acciones para evaluar la seguridad de éstos. Todo servicio público es un punto crítico de una organización, ya que una mala configuración o una aplicación desactualizada puede provocar una intrusión y pérdida o daño en los activos de la organización.
El sistema proporciona una serie de módulos con los que FaaS organiza toda la información recogida y evaluada con las pruebas de análisis y explotación de recursos. El módulo de reporting es imprescindible para que los usuarios puedan entender todo lo realizado sobre sus activos. FaaS prioriza la notificación de vulnerabilidades y recomendaciones de seguridad en configuraciones catalogadas como erróneas, además de enumerar y mostrar los activos que contiene una organización.
Figura 2: Módulos de FaaS |