Por Arame 25/05/2018 

Las pruebas de penetración (o pentests) son ataques simulados llevados a cabo en un entorno controlado por especialistas de seguridad externos. Un pentest revelará si una organización es potencialmente vulnerable a ataques cibernéticos y brinda recomendaciones sobre cómo fortalecer su postura de seguridad. Las pruebas de penetración se han convertido en una de las tácticas de seguridad más conocidas para ayudar a las organizaciones a descubrir vulnerabilidades críticas, fortalecer sus defensas de seguridad y cumplir con los requisitos de cumplimiento como PCI DSS.

<<También podría interesarte: Protección de datos en 2018. Lo que los clientes deben saber>>

Existe una gran demanda de probadores profesionales de penetración o los denominados «hackers éticos», y cada vez más profesionales de la seguridad persiguen certificaciones relevantes, como el Hacker ético certificado (C | EH), el Probador de penetración autorizado (LPT) y el Probador de penetración certificado ( CPT) o GIAC Penetration Tester (GPEN).

A continuación,  10 herramientas útiles investigadas por los propios Penetration Testers de Hitachi Systems Security que te ayudarán a mantenerte al día con el cambiante panorama de la piratería ética.

Seguridad ofensiva

Offensive Security es un sitio web de pruebas de penetración y entrenamiento de seguridad de la información líder en la industria que ofrece capacitaciones y certificaciones, laboratorios de pruebas de penetración virtuales, etc.  Brinda también entornos seguros de red virtual a través de sus laboratorios de pruebas de penetración para ayudar a aspirantes y experimentados con la preparación de prueba de penetración. En términos de certificaciones, Ofensive Security ofrece la certificación Ofensive Security Certified Professional (OSCP), la joya de la corona de todas las certificaciones relacionadas, si no contamos con los certificados de nivel superior, como OSCE (Expertos certificados en seguridad ofensiva).

Base de Datos de Exploit

La base de datos de Exploit es un archivo en línea de exploits públicos y  software vulnerable correspondiente, desarrollado y mantenido por Offensive Security para la información y el uso de investigadores de vulnerabilidades y probadores de penetración. Los exploits enumerados en la base de datos se recopilan a través de listas de correo, envíos directos y otros recursos disponibles públicamente.

 Instituto SANS

El SANS Institute es una organización privada de capacitación con fines de lucro, conocida como una de las más grandes del mundo en información y educación de seguridad informática. Mantiene una amplia variedad de blogs y recursos destinados a todas las subcategorías de TI y seguridad de TI. Los recursos para probar la penetración incluyen  cursos de capacitación sobre pruebas de penetración y hacking ético y una amplia biblioteca de artículos  sobre SANS Penetration Testing Blog.

PentesterLab

PentesterLab ofrece una colección de laboratorios de pruebas de penetración de diversos grados de dificultad para ayudar a los evaluadores de penetración a comprender y probar los sistemas en busca de vulnerabilidades. Al completar los ejercicios en línea, pueden obtener certificados de finalización.

 Cybrary

Cybrary es posiblemente uno de los mejores sitios educativos de seguridad de la información en Internet. Contiene videos completos de cursos universitarios, desde la creación de redes básicas hasta la capacitación para certificaciones, explicaciones de codificación segura, pruebas de penetración y todo lo relacionado con la seguridad. La mayoría del contenido de Cybrary es gratuito.

Laboratorio de Práctica de Pruebas de Penetración

Desarrollar tus habilidades a través de la experimentación práctica en el laboratoribuo es vital en la vida del evaluador de penetración. Aman Hardikar, construyó un mapa mental que muestra varias districiones, desafíos y otros recursos gratuitos y disponibles públicamente para practicar sus habilidades.

Ethical Hacking LinkedIn Group

Ethical Hacking es un grupo de LinkedIn creado específicamente para que los hackers éticos tengan un medio para intercambiar conocimientos, ideas y técnicas específicas para las pruebas de penetración.

Kioptrix

Kioptrix es un blog práctico que proporciona a los evaluadores  de penetración imágenes defectuosas del sistema operativo que pueden descargar. Una vez descargados, pueden configurar su propia máquina virtual e intentar atacar estos sistemas operativos para conocer las vulnerabilidades y agujeros de seguridad más comunes.

EHacking.net

EHacking.net es otro gran recurso para contenido gratuito sobre pruebas de penetración y escaneo de vulnerabilidades, que incluye un directorio de herramientas de código abierto, pruebas de penetración y tutoriales de Metasploit, artículos de blog, videos, etc.

GitHub: impresionante prueba de penetración

GitHub es el hogar de más de 20 millones de desarrolladores que trabajan juntos para alojar y revisar códigos, administrar proyectos y crear software en conjunto. GitHub compiló una publicación llamada «Awesome Penetration Testing» que enumera una colección de «asombrosos recursos para pruebas de penetración, herramientas y otras cosas brillantes». En resumen, realmente es increíble. Los evaluadores de penetración pueden encontrar recursos sobre bases de datos de vulnerabilidad, plantillas de informes, libros, cursos de seguridad, conferencias, revistas, etc.

Si está interesado en obtener más información acerca de las pruebas de penetración en Hitachi Systems Security, contáctanos y solicita más información.

  •  ¿Qué te pareció este artículo? Cuéntanoslo en los comentarios.

Este artículo fue tomado de Hitachi Systems Security Inc. partner de Arame.  [1]https://www.hitachi-systems-security.com/blog/penetration-testing-resources/ 

Siguienos en nuestras redes sociales