Ocho herramientas para mejorar la seguridad
Características expuestos por los sistemas de pruebas de intrusión enumerados utilizan las mismas capacidades explotados por atacantes ataques
Si existe la posibilidad de que los activos digitales de su empresa se convierten en blanco de los matones no te asusta, no lea este artículo. Ahora, si usted vive en la misma realidad que el resto de nosotros, así que aquí está tu oportunidad de tomar algunos consejos para realizar pruebas preventivas contra la intrusión.
Evan Saez, analista de inteligencia en el ciberataques Lifars, separa las que considera las mejores herramientas disponibles. Según el experto, las características expuestas por estos sistemas son esenciales para garantizar la seguridad de su empresa, que son las mismas capacidades utilizadas por los ataques de los atacantes.
Metasploit
El Metasploit es un marco con una sólida base de fans entre los programadores. Añade herramientas de pruebas personalizadas, en busca de puntos débiles en los sistemas operativos y aplicaciones. Los módulos personalizados son lanzados noGitHub y Bitbucket, repositorios en línea para proyectos de código.
“El Metasploit es la herramienta de pruebas de penetración más popular,” exalta Saez, señalando que la tecnología ofrece tanto la interfaz de Rubí y la CLI, para ser elegidos en base a la utilización busca alcanzar. “La interfaz de Ruby es más útil para probar una amplia red ya ejecutar comandos en CLI sería muy aburrido,” defensores.
Nessus Vulnerability Scanner
Nessus Vulnerability Scanner también es popular en la localización de las vulnerabilidades. La tecnología escanea las computadoras y servidores de seguridad en busca de puertas abiertas para la instalación de software potencialmente malicioso. “Como una herramienta de prueba, se comunica con el sistema operativo para encontrar vulnerabilidades. Se utiliza comúnmente para el cumplimiento, determinar si los parches están al día “, dijo Garrett Payer, proveedor de tecnología líder de soluciones de ICF International. “Exploraciones Nessus única compara las bases de datos de debilidades conocidas”, añadió Sáez.
Nmap
Nmap determina los tipos de ordenadores, servidores y empresas de hardware se han conectado a las redes corporativas. La capacidad de estas máquinas son identificables a través de la exploración externa es en sí mismo una vulnerabilidad explotada por atacantes para establecer planes de ataque.
Utilice Nmap para buscar hosts, puertos abiertos, versiones de software, sistemas operativos, hardware y debilidades – mapeo general la superficie de ataque de red. Es útil en todas las etapas de pruebas de penetración, la identificación de los componentes conectados a entrar en un nuevo segmento de red. “Esta herramienta, con su capacidad de secuencias de comandos, es útil para enumerar el acceso de los usuarios”, indica Pagador.
Burp Suite
El Burp Suite es otra prueba de penetración de aplicaciones. Asigna y analiza las aplicaciones web mediante la búsqueda y explotación de las debilidades. Úselo con su navegador para mapear las aplicaciones en la web. Las herramientas dentro de la suite descubren agujeros de seguridad y ataques de lanzamiento personalizada. Además, la suite Burp automatiza funciones repetitivas sin perder la elección del usuario cuando se necesita tener el control de opciones individualizadas. “Esta herramienta rica investiga cross site scripting y otras vulnerabilidades utilizando un proxy, proporcionando transparencia en relación con el hecho de que el sitio envía al servidor”, explica Pagador.
OWASP ZAP
Sin ánimo de lucro, el OWASP ZAP ofrece escaneo manual y automática de aplicaciones web, tanto para principiantes como para los veteranos en pruebas de penetración. Con el código abierto, está disponible en GitHub.
La herramienta realiza una serie de pruebas, incluyendo análisis de puertos, ataques de fuerza bruta y fuzzing, todo para identificar el código malicioso. Su usuario utiliza la interfaz gráfica intuitiva, similar a una aplicación de Microsoft o de otras herramientas de diseño web (como Arachnophilia).
Una vez que haya navegado y actividades jugado en un sitio, utiliza la ZAP para ver el código y otros procesos realizados durante estas actividades. Cuando se configura como un servidor proxy, el OWASP ZAP controla el procesamiento de tráfico web. “Esta herramienta es más reciente que la Burp Suite. No es tan rico, pero es gratuito y de código abierto. Proporciona un conjunto de características y una interfaz gráfica que son útiles para las personas nuevas en pruebas de penetración “, argumenta Pagador.
Sqlmap
A su vez, el SQLmap automatiza el descubrimiento de agujeros de inyección SQL, explotando esas debilidades y tomar el control de las bases de datos y servidores subyacentes. El sqlmap se puede instalar en Linux Ubuntu en una máquina virtual (VM).
Utilice SqlMap para probar sitios códigos impropias y URLS vinculados a bases de datos a través de la línea de comandos de Python. Si un enlace malicioso a bases de datos de información de atraer el código equivocado, entonces la URL está sujeto a ataque.
“Otra herramienta-script amable, la sqlmap puede determinar si un programador tiene entradas parametrizados”, dice Pagador. “Si no lo hacía, un atacante podría enviar un comando SQL y ejecutarlo en la base de datos, obtener el control.”
Kali Linux
El Kali Linux es un conjunto de herramientas preinstaladas para la penetración de las pruebas, la seguridad y la medicina forense. “Tiene características para las personas con conocimientos de seguridad de cero”, dice Sáez.
Según él, Kali instalar el Linux y abrir cualquiera de más de una docena de herramientas que tiene. “Viene con un gran volumen de documentación para el usuario”, dice.
Jawfish
A diferencia de la mayoría de las herramientas, que son por lo general basada en firmas, el Jawfish – donde Saez es un desarrollador – utilizando algoritmos genéticos. “Parece que las cosas en el contexto de búsqueda”, anota Saez. Sobre la base de criterios de búsqueda, Jawfish busca de vulnerabilidades.
Puedes probarlo utilizando la interfaz gráfica de usuario (GUI) disponibles. Establecer una dirección IP para el servidor, una dirección web sin protección que, la vulnerabilidad y el método deseado y entonces el mensaje de finalización IP. La herramienta devuelve el texto cuando el sitio ha sido hackeado con éxito. El Jawfish es nuevo y no está listo para la adopción empresarial.
Artículo completo: http://cio.com.br/