Cómo obtener un modelo de visión global de amenazas (con FaasT)

viernes, 14 de febrero de 2014

En Eleven Paths, seguimos trabajando para hacer que el sistema de pentesting persistente FaasT no solo sea capaz de detectar vulnerabilidades en tiempo real y además de informar al cliente para que  pueda acometer las medidas de corrección adecuadas, sino que vaya mucho más allá. Nos gusta pensar en FaasT como una herramienta de visión global y continua, porque en su fase de "descubrimiento" utiliza ciertos recursos que aumentan con el paso del tiempo para lograr tener un mapa de activos lo más complejo y rico posible.

La riqueza de la fase de descubrimiento es una de las bases del éxito en el proceso de inventariado en el pentesting. Y en FaasT se intenta cuidar mucho este aspecto. Hemos explorado muchas alternativas y vías que nos permitan asegurar un mapa de activos con el que poder lanzar de la forma más efectiva las diferentes pruebas en fases posteriores. Porque aunque todo proceso comience con la fase de descubrimiento, es necesario recordar que ciertas pruebas en fase de análisis y explotación pueden reportar elementos que a su vez disparen de nuevo la fase de descubrimiento. Por ejemplo, la aparición de un nuevo dominio gracias a la detección y explotación de una vulnerabilidad. Este dominio llevaría asociado todo el camino en el árbol de acciones del pentesting.

Llevamos meses de análisis, diseño, implementación y pruebas. Durante todo este tiempo hemos orientado la herramienta hacia algo que va mucho más allá de lo que tradicionalmente se entiende como herramienta de pentesting basado en web. Hemos observado cómo FaasT ha madurando hacia un sistema mucho más complejo que permite una visión global y continua de la seguridad de una compañía de una forma mucho más amplia. FaasT evalúa muchos otros factores de forma inteligente y permite obtener un mapa de activos en Internet (todo lo que una empresa puede estar ofreciendo públicamente). Esto permite adoptar las medidas recomendadas de forma ordenada y constante.

A modo de ejemplo, vamos a ver brevemente algunos de los aspectos que cubre FaasT, otros se han hablado ya en este blog, y cómo se mostrarían a un cliente de FaasT en pantalla.
La consola FaasT mostrando metadatos en ficheros PDF en servidores web
  • Usuarios y correos: La recolección de usuarios y correos (localizables desde Internet) de una organización ya sea por detección y explotación de vulnerabilidad o análisis exhaustivo de activos, puede ser un punto de inflexión que desemboque en nuevas amenazas (desde ataques dirigidos hasta las técnicas más básicas de fuerza bruta). 
Esta es una muestra de los datos recopilados en forma de árbol
  •  Software: Conocer las versiones de software que están en uso o se han utilizado en una empresa otorga un conocimiento muy valioso al pentester. Permite buscar un fallo explotable en la actualidad, o en función de la familia de productos y del fabricante, en un futuro a corto plazo. Para conseguirlo se realiza una recopilación por distintas vías de todo el software posible que es utilizado alrededor de la organización. 
Versiones de software encontradas en escaneo
  •  Comprobación continua de errores: En algunas ocasiones vulnerabilidades o despistes en la configuración  típicos, conocidos desde hace muchos años, vuelven a aparecer en el entorno empresarial debido a que los administradores y proveedores de software relajan la política o vuelven a versiones desactualizadas por compatibilidad. Como curiosidad, en este período de tiempo hemos comprobado que ciertos dominios se encontraban con, por ejemplo, las famosas transferencias de zona de los servidores DNS durante ciertos periodos de tiempo. Con esta vulnerabilidad la capacidad de ataque y conocimiento sobre dominios y máquinas de la infraestructura crece en su explotación. FaasT la detecta rápidamente, y permite alertar de sus consecuencias, ofreciendo información relevante sobre sus potenciales peligros y cómo solucionarlo.
Error típico de transferencia de zona en servidores DNS, cómo lo muestra FaasT
  • ¿Qué hemos obtenido con cada fallo? Una de las características de FaasT es su capacidad para indicar al usuario claramente "¿Qué se ha obtenido de esta vulnerabilidad?". Gracias a esta información, el usuario puede entender mejor en qué perjudica un fallo o vulnerabilidad concreta a la organización,  y en qué ayuda al pentester la explotación de la vulnerabilidad. Cómo le permite avanzar en la investigación continua y desarrollar  una auditoría mucho más compleja.
Clasificación de los resultados y datos obtenidos en cada vulnerabilidad
Estos son solo algunos ejemplos que nos parecen interesantes, y que creemos que hacen de FaasT una herramienta muy diferente (mucho más rica, compleja y completa) que un "simple" sistema de búsqueda de vulnerabilidades online.

Pablo González
pablo.gonzalez@11paths.com

1 comentario:

  1. YO envié un par de correos para preguntar el valor del servicio Faast, pero nunca tuve una respuesta de nadie.

    ResponderEliminar