Términos y condiciones adicionales: Penetration testing

servicio-PE

Este documento corresponde a la versión 2024071101 de los Términos y condiciones que gobiernan la prestación del Servicio de reconocimiento y exploración de sitios web de Gobierno, provisto por el CSIRT del Gobierno de Chile.

Este documento es adicional a los Términos y condiciones del sitio web del CSIRT, que pueden ser revisados en https://csirt.gob.cl/terminos-y-condiciones/.

1. Introducción

1.1. Propósito y alcance

Este documento describe los términos y condiciones del servicio de penetration testing (o “pentesting”), brindado por el CSIRT de Gobierno a Organismos de Administración del Estado. La prestación del servicio por parte del CSIRT de Gobierno (en adelante, “CSIRT”) a una organización (en adelante, “organización cliente” o simplemente “cliente”) requiere de la aceptación de lo establecido en este documento.

Este documento define los roles y responsabilidades en el CSIRT y en la organización cliente en el marco de la prestación del servicio de pentesting.

1.2. Descripción del servicio

El servicio de pentesting es una serie de actividades de prueba de penetración a uno o más sistemas o flujos pre-acordados entre el CSIRT y la organización cliente, con el objetivo de mejorar la seguridad defensiva de la infraestructura de tecnologías de información, los sistemas, los servicios y las aplicaciones del cliente. Una prueba de penetración es un ciberataque simulado que se utiliza para identificar vulnerabilidades de software y lagunas de seguridad, configuraciones erróneas y fallos en la lógica de negocio.

El servicio de pentesting sigue un principio de mejor esfuerzo dentro de las capacidades técnicas, recursos y tiempos empleados en la ejecución del servicio.

El servicio de pentesting no incluye:

  • Pruebas de ingeniería social (phishing, vishing, smishing, etc.)
  • Intrusiones físicas en las instalaciones de la institución
  • Pruebas de carga sobre servidores y servicios (denegación de servicio distribuido)

El servicio de pentesting no genera una carga apreciable sobre los servidores o aplicaciones sobre los cuales se realizan pruebas. Por tanto, no es necesario solicitar que las pruebas se realicen en horarios alternos al horario hábil.

Independientemente de lo anterior, el especialista podrá decidir en qué horarios, frecuencia y qué tipo de ejecuciones efectuará con el objetivo de simular un evento real de ataque considerando técnicas de análisis silencioso, horarios inoportunos y patrones de ataque ofuscados.

1.3. Definiciones

Adicionalmente a los términos definidos en los Términos y condiciones del sitio web del CSIRT, para los propósitos de estos Términos y condiciones los siguientes términos tendrán los significados indicados a continuación:

  • Activo objetivo, u Objetivo: Sistema o flujo, que se define como meta en el servicio de pentesting.
  • Agente de amenaza: Persona, cargo o figura que supone una amenaza potencial.
  • Aplicación web: Software provisto mediante el uso de un servidor web, que proporciona capacidades y funcionalidades específicas al usuario final.
  • Backdoor: Software que permite abrir un acceso remoto hacia el dispositivo comprometido, con el objetivo de establecer una conexión persistente.
  • Common Vulnerabilities and Exposures (CVE): Registro de vulnerabilidades y exposiciones conocidas.
  • Common Weakness Enumeration (CWE): Sistema de categorías para debilidades y vulnerabilidades.
  • Exploit: Programa informático que permite explotar una vulnerabilidad específica para ejecutar acciones arbitrarias.
  • Organización cliente: La institución que solicita y recibe el servicio.
  • OSINT: Inteligencia de fuentes abiertas.
  • Payload: Carga útil contenida en un exploit para la ejecución de acciones deseadas.
  • Puerto: Canal lógico de recepción y/o envío de información sobre un servicio determinado
  • RCE: Red de Conectividad del Estado.
  • Reconocimiento activo: Información recopilada mediante interacción directa con el objetivo, y por tanto detectable por el objetivo.
  • Reconocimiento pasivo: Información de un objetivo recopilada indirectamente; esto es, con mínima o nula interacción con el objetivo.
  • Red interna: Segmento de red interna que permite una intercomunicación entre dispositivos que se encuentren dentro de ésta.
  • Reglas de Involucramiento: Conjunto de reglas acordadas con la organización cliente, que restringen y delimitan las acciones y activos que pueden ser objetivo de evaluación.
  • Servicio: Software que provee y expone funcionalidades y capacidades específicas a los dispositivos con los que tenga interconexión por medios físicos y/o digitales.
  • Servidor: Dispositivo físico o virtual que provee servicios específicos expuestos a Internet o a una o más redes internas.
  • Vector de ataque: Vía o medio por el que es posible ejecutar un ataque exitoso contra el objetivo.
  • Vulnerabilidad: Brecha de seguridad que posibilita una explotación determinada en un activo TI específico.

1.4. Aplicabilidad

El servicio de pentesting es brindado sólo a organizaciones públicas; y a organizaciones privadas con las que el CSIRT de Gobierno haya firmado un convenio.

El servicio de pentesting es independiente de la RCE: no es un requisito estar conectado a la RCE para obtener el servicio.

2. Procedimiento de pentesting

Las siguientes son las actividades desarrolladas durante el pentesting:

  1. Compromiso Previo:
    1. La institución realiza la solicitud de reunión con un analista mediante formulario, indicando su información de contacto y la institución a la cual pertenece.
    2. En el transcurso de la reunión, el analista encargado presenta al solicitante los detalles del servicio, su objetivo y propósito, los ámbitos en los que se desarrolla y los resultados obtenidos de su ejecución. Además, el analista presenta el formulario de solicitud, indicando la información que debe proporcionar y cómo debe proporcionarla para hacer efectiva su solicitud. Posteriormente, el analista abre un espacio de consultas para orientar al solicitante a definir el enfoque ideal y le comparte los términos y condiciones y el formulario de solicitud.
    3. El solicitante llena el formulario con la información solicitada por el analista en la reunión inicial y hace entrega de este junto con el documento de términos y condiciones firmado.
    4. El analista realiza la revisión de las especificaciones técnicas, valida que toda la información solicitada sea consistente y notifica a la institución si la información técnica entregada es válida o no. Un resultado de información técnica inválida, permite al solicitante la posibilidad de rectificar la información y enviarla nuevamente. Posteriormente, y solo si la validación resulta correcta, se realiza el registro a la cola para ser gestionados en orden de prioridad a criterio del CSIRT.
    5. Un analista disponible realiza la revisión de este registro y asigna un período de realización de las pruebas. Esta asignación es notificada a la institución, quien deberá confirmar o rechazar el período. Dado el primer caso, se comenzarán las pruebas en la fecha establecida. Si la institución rechaza el plazo, se deberá agendar una nueva fecha que cumpla con sus requerimientos.
  2. Recopilación de Información:
    1. El analista realiza la selección del activo objetivo según lo indicado por la institución.
    2. Con el objetivo marcado, el analista realiza una investigación OSINT con el objetivo de documentar información desde fuentes abiertas. La inteligencia generada se registra para un mejor entendimiento de la institución y sus operaciones, en complemento a la información proporcionada por la organización cliente.
    3. Posterior a la generación de inteligencia accionable, el analista realiza actividades de reconocimiento pasivo, obteniendo información respecto a las tecnologías empleadas en el desarrollo del activo objetivo, su implementación, puertos y servicios, versiones, y más información obtenible mediante nula o mínima interacción con el objetivo.
    4. De forma consecutiva, se inician actividades de reconocimiento activo del objetivo, permitiendo recopilar información sobre la lógica de negocio, detalles de su desarrollo, información y datos organizacionales, formularios de inicio de sesión, directorios internos e identificación de activos secundarios y detección de vectores de ataque.
    5. El analista finalmente identifica mecanismos de protección y contramedidas implementadas en los distintos vectores identificados.
  3. Análisis de Vulnerabilidades:
    1. Se realiza un proceso de prueba pasivo en el que se realiza la identificación de vulnerabilidades (CVE) y debilidades (CWE) basada en tecnologías e implementación.
    2. Se realiza el proceso de prueba activa en el que se validan las vulnerabilidades identificadas y se identifican vulnerabilidades adicionales mediante métodos manuales, correlación entre herramientas empleadas, pruebas en laboratorios aislados y creación de árbol de ataques.
    3. Se realiza investigación de vulnerabilidades identificadas para su posterior registro y clasificación.
  4. Explotación:
    1. El analista selecciona los medios (exploits) y cargas útiles (payloads) que se usarán para la explotación de las vulnerabilidades y debilidades identificadas previamente en la fase de análisis de vulnerabilidades, siempre y cuando cumplan debidamente con las Rules of Engagement.
    2. Como resultado de la identificación de contramedidas y mecanismos de protección, se evalúan los métodos de evasión óptimos para estos y se aplicarán si existe factibilidad de ejecución. Caso contrario se tomarán alternativas de explotación.
    3. El resultado positivo de la explotación se documenta debidamente y se registrará su evidencia para el posterior informe.
    4. El proceso de explotación concluirá con la explotación exitosa, prueba de concepto, teoría de explotabilidad o resultado de fallo según corresponda a cada caso.
  5. Explotación Posterior:
    1. Con el resultado de la obtención del activo objetivo, el analista comienza las actividades de análisis de extracción de información y evidencias del activo objetivo u otros que se encuentren dentro del alcance. La información obtenida se almacenará en un servidor protegido debidamente, y se mantendrá completamente cifrada hasta la finalización del plazo acordado. El analista identifica las rutas de exfiltración realizables desde el activo comprometido hacia Internet.
    2. El analista realiza las pruebas de las rutas identificadas extrayendo porciones mínimas de información que resulten como evidencia probable. Esta prueba tiene como objetivo medir los controles implementados para la protección de la confidencialidad de los activos de información, y como ejercicio para los equipos de respuesta.
    3. El analista identifica métodos de persistencia tales como la instalación de backdoors y escalamiento de privilegios que permitan mantener un acceso permisivo disponible al dispositivo comprometido y los implementa dependiendo de las limitaciones técnicas o de tiempo.
    4. Previo a cumplir el plazo acordado, el analista realiza el borrado de huellas y eventos registrados en sistema, archivos ejecutables y archivos temporales del/los sistema/s comprometido/s.
  6. Reporte:
    1. Resumen ejecutivo:
      1. Hallazgos generales de la prueba de penetración.
      2. Sumario de recomendaciones de mitigación de las vulnerabilidades identificadas.
      3. Plan de remediación priorizado que trace los objetivos identificados y el resultado obtenido en el modelamiento de amenazas.
    2. Reporte técnico:
      1. Información e inteligencia recopilada en el desarrollo del servicio de pentesting.
      2. Análisis de las vulnerabilidades identificadas, métodos de identificación, validación manual y su exposición general.
      3. Confirmación de explotación y/o vulnerabilidad, indicando línea de tiempo de explotación, actividades y métodos de explotación, proporción éxito/fracaso y niveles de acceso concedido.
      4. Explotación previa, indicando caminos de elevación de privilegios, acceso a información crítica, capacidades de exfiltración y efectividad de contramedidas.

3. Condiciones del servicio

3.1. Precondiciones y alcance

Las organizaciones interesadas en utilizar este servicio deben proveer:

  • Un punto de contacto: El nombre y email institucional de la persona que solicita el servicio, y un número de teléfono donde pueda ser ubicado tanto en horario hábil como inhábil. Los emails provistos deben ser institucionales, y deben corresponder a una institución de gobierno: no se aceptarán correos electrónicos gratuitos, como Gmail u otros.
  • Flujos o sistema para analizar: Flujos de usuario final (máximo a definir por el analista) o sistema (solo uno) que el cliente considera dentro del alcance de las pruebas de penetración.
  • Descripción y detalle de los objetivos: Esquemas, diagramas, material gráfico, capturas de pantalla y documentación relacionada que describa el funcionamiento y objetivo del proceso, sistema o flujo/os a evaluar.
  • Credenciales y privilegios de acceso: Credenciales de acceso a los recursos que se encuentren con la restricción respectiva y que su acceso sea considerado dentro del alcance y objetivo.
  • Contexto y naturaleza del objetivo: Explicación concisa del contexto y naturaleza en la que el objetivo se encuentra incluido y detalles del proceso que lo contiene.

Antes de prestar el servicio, el CSIRT verificará que los activos indicados sean propiedad de la organización solicitante, o hayan sido contratados por la organización solicitante. No se permite solicitar servicios de pentesting a nombre de terceros.

El pentesting sólo se aplicará a los sitios web, servidores o endpoints que la organización cliente indique a través de un formulario de solicitud. En cada solicitud, la organización puede solicitar el pentesting de uno y sólo uno de los siguientes tipos:

  1. Sistema: Un activo informático que se encuentra ubicado física o lógicamente en dependencias bajo la administración de la institución solicitante.
  2. Flujo: Un flujo específico de usuario final que cumple una función transaccional dentro de un sistema.

3.2. Criterios de prestación

El pentesting se ejecuta en orden de prioridad definida por el CSIRT. En caso de ocurrencia de incidentes significativos, el CSIRT de Gobierno puede priorizar el pentesting de servicios específicos, o incluso suspender temporalmente el servicio de pentesting.

El servicio de pentesting se presta en una modalidad Best Effort, en horario hábil (de lunes a jueves de 9:00 a 18:00, y el viernes de 9:00 a 17:00). No es posible solicitar que se realice fuera de este horario.

3.3. Confidencialidad de la información

Toda la información provista por una organización cliente para solicitar el servicio de pentesting descrito en este documento es confidencial, así como la información descubierta por el CSIRT durante la ejecución del pentesting. Esta información se rige por la Política de Privacidad del CSIRT de Gobierno.

Los resultados del pentesting son estrictamente confidenciales, y serán entregados sólo al punto de contacto indicado en el formulario de solicitud. Los resultados pueden ser pedidos formalmente por la máxima autoridad de la organización cliente.

3.4. Interrupción del servicio

Durante el servicio de pentesting es posible descubrir intervención de terceros en los sistemas siendo probados. En caso de que se descubra evidencia de esto, se detendrá inmediatamente el servicio de pentesting, y se entregará la información al contacto.

4. Cambios de estos términos y condiciones

Estos Términos y condiciones pueden ser actualizados para reflejar cambios en los servicios provistos por el CSIRT, o para reflejar cambios en las leyes aplicables. Los cambios serán debidamente informados a través del Sitio Web, o a través de correos electrónicos enviados a los encargados de ciberseguridad.