Estamos planeando una prueba de penetración para nuestra red y aplicación.
¿Qué se debe compartir con el probador de penetración? Por ejemplo, ¿deberíamos compartir la topología de nuestra red? ¿Debemos proporcionar descripciones de nuestros servidores? ¿Deberán los evaluadores tener acceso remoto a alguno de nuestros servidores? ¿Necesitarán visitar nuestras instalaciones?
¿Hay algún tipo de estándar para esto, o existen diferentes tipos de pruebas de penetración?
Supongo que, dado que ha formulado esta pregunta dos veces, no puede / planea proporcionar los detalles adicionales, pero hay comentarios muy breves para explicar el problema con su pregunta, así que aquí hay algo más de información hasta esta. se cierra :)
Tu pregunta es esencialmente imposible de responder. La razón de esto es que hay una gran variedad de técnicas de seguridad que se agrupan bajo el término "pruebas de penetración" y la mejor respuesta depende de cuál de ellas está buscando.
La que estés buscando dependerá de cuáles sean tus objetivos. Ahora voy a asumir que al hacer esta pregunta su organización no ha tenido muchas "pruebas de pluma" antes y basar este consejo en esa premisa (pero puede ver aquí si hubiera proporcionado más detalles en la pregunta). No habría tenido que hacer lo que bien podría ser una suposición errónea que podría hacer que esta respuesta sea irrelevante)
Básicamente, existen dos enfoques para las pruebas de seguridad (no me gusta el término prueba de lápiz), caja blanca y caja negra. En una prueba de caja blanca, proporciona al probador las credenciales y el conocimiento de su entorno. Esto permite que se extraigan niveles mucho más grandes de información de una manera segura y no intrusiva, y le proporcionará mucha más información (si se hace correctamente) que una prueba de caja negra. En mi opinión, si es su primera prueba, este es probablemente el mejor enfoque. Una prueba de caja blanca es buena para responder a la pregunta "qué problemas de seguridad tenemos en este entorno"
Una prueba de caja negra toma un punto de vista más "adverso", donde el probador no recibe credenciales / acceso y tiene que intentar obtenerlos. Esto es apropiado una vez que cree que tiene un buen nivel de seguridad y está buscando una prueba para demostrar que ha alcanzado ese nivel de seguridad. Esto es bueno para responder a la pregunta "¿hemos alcanzado el nivel de seguridad que creemos que tenemos?"
Otra pregunta relevante es "cuál es mi objetivo con esta prueba de seguridad" de manera realista, es posible que desee que el evaluador encuentre cosas para mejorar su seguridad o que desee minimizar los hallazgos (por ejemplo, cuando esta prueba se basa en el cumplimiento y desea tenerla). un "informe limpio" para la organización que le ordenó someterse a la prueba).
En este último caso, te recomiendo que vayas definitivamente por "caja negra" y restrinjas el alcance tanto como puedas, ya que eso probablemente limitará lo que el probador puede encontrar :)
En realidad, es poco probable que realmente te ayude a mejorar tu seguridad. Si desea mejorar su seguridad, le recomiendo que le proporcione al probador la mayor cantidad de información posible y que trabaje con ellos para identificar las áreas que realmente le preocupan, de modo que obtenga el mejor beneficio de las pruebas que está realizando.
Esto podría basarse en la opinión y hasta el alcance de trabajo acordado. Si no desea compartir información, asegúrese de que ambas partes sepan que antes de definir y firmar un contrato o alcance. Sin embargo, aquí hay algunos escenarios que veo haciendo a mi compañía.
Esta es una evaluación completa con acceso a toda la información que necesitaría para proporcionar un informe más detallado y completo. Por ejemplo, he determinado que un ataque de fuerza bruta no es factible, por lo que pido acceso para probar las partes internas también.
Aquí es donde no sé nada acerca de la red, excepto lo que puedo reunir a través de mis métodos, esto podría incluir (y para mis contratos) los intentos de ingeniería social de reunir todo lo que pueda para penetrar en una empresa.
Esta podría ser una combinación de las dos, por ejemplo, el cliente podría querer que se complete una prueba exhaustiva en la red interna y los controles, pero que quiera una prueba de caja negra de las aplicaciones orientadas a la web o viceversa.
Hasta ahora, todos mis exámenes de prueba me han permitido permanecer en las instalaciones mientras realizo mi prueba, de esta manera puedo sentirme cómodo y no preocuparme por interrumpir los servicios. Sin embargo, si el cliente quería que intentara ingresar y no se me permitiera el acceso a la LAN (fácilmente), entonces puedo estacionarme en el estacionamiento con acceso a wifi con un dispositivo que vuelve a casa y luego ir a mi oficina para hacer la prueba.
Si está preguntando qué información sería beneficiosa compartir, entonces definitivamente comparta la dirección IP que se va a probar, los rangos totales de direcciones IP que se van a probar, las URL, pasarelas, cualquier VLAN o VPN a tener en cuenta, y estos son solo algunos.
Lea otras preguntas en las etiquetas penetration-test