Análisis de los objetivos de investigación

Para la realización de este trabajo de investigación se definieron un conjunto de objetivos que fueron cumplidos de manera sistemática siguiendo las actividades anteriormente descritas. A continuación, se presenta un resumen en donde se muestra cómo se cumplió con cada objetivo propuesto.

● OE1. Caracterizar el rendimiento de los dispositivos SBC de bajo costo para seleccionar los más apropiados en el contexto de pentesting sobre aplicaciones web.

En la sección Estudio de Dispositivos SBC de Bajo Costo se realizó una caracterización de los dispositivos actuales, se estableció unos criterios de selección y evaluación, se analizaron los resultados para cada SBC y por último se escogió el dispositivo que fuera más acorde con las necesidades del proyecto de investigación. ● OE2. Diseñar e implementar un prototipo hardware y software, basado en la metodología OWASP que identifique los tipos de ataque más comunes siguiendo una metodología de pentesting.

En el capítulo Diseño e Implementación del Prototipo Hardware y Software se estableció la arquitectura de red del cluster, la tecnología para la comunicación entre los diferentes dispositivos SBC, la construcción y configuración del cluster con Raspberry Pi y las pruebas de concepto implementadas para identificar las vulnerabilidades más comunes.

● OE3. Aplicar la metodología de cálculo de riesgo según OWASP, con el fin de determinar la severidad de los riesgos identificados.

En la sección Uso de la Metodología del Cálculo de Riesgo Según OWASP se tuvo en cuenta la explotabilidad, prevalencia, detectabilidad e impacto técnico para cada categoría según el documento OWASP Top 10-2017, se describieron los factores para el agente de amenaza y se definieron cuatro preguntas para calcular el impacto de negocio y lograr obtener la severidad general del riesgo.

● OE4. Automatizar los reportes de mediciones de riesgos de seguridad en el pentesting sobre aplicaciones web, para generar el reporte técnico y ejecutivo. En la sección Despliegue del Prototipo Hardware y Software e Interfaz de la aplicación web y generación de Reportes se especificaron las tecnologías utilizadas para transformar el contenido del reporte en formato PDF y lograr visualizar el reporte técnico y ejecutivo a través de la interfaz de la aplicación web ScanLynx.

97 ● OE5. Evaluar el prototipo construido, para medir la eficiencia y eficacia en la

identificación de vulnerabilidades mediante un experimento controlado.

En el capítulo Experimento Controlado se definieron una serie de actividades para medir la eficacia de las vulnerabilidades identificadas mediante un análisis de curvas ROC y se realizó un análisis para determinar la eficiencia del cluster comparando el tiempo de ejecución que tardó sobre cada aplicación web con respecto a otras herramientas.

● OG. Construir un prototipo hardware y software basado en dispositivos SBC de bajo costo, que automatice el pentesting sobre aplicaciones web, aplicando la metodología OWASP para identificar vulnerabilidades y generar reportes de mediciones de riesgos de seguridad automáticos.

Como resultado de cumplir cada uno de los cinco objetivos propuestos, se cumplió con el objetivo principal de manera satisfactoria. Se logró construir un cluster (prototipo hardware y software) junto con una aplicación web llamada ScanLynx que permitiera identificar vulnerabilidades conocidas en cinco sitios web vulnerables y lograr generar los reportes técnicos y ejecutivos con su respectiva severidad del riesgo.

5.2 Conclusiones

El prototipo hardware y software llamado ScanLynx, tuvo un buen comportamiento en la medición tanto de la eficiencia como la eficacia. Gracias al análisis de las curvas ROC se pudo realizar las respectivas comparaciones en términos de detección de vulnerabilidades de ScanLynx con las diferentes herramientas que actualmente son las más apetecidas en el mercado. Gracias a este método estadístico, se puede decir que hasta el momento, la herramienta propuesta a lo largo de este trabajo de investigación es eficiente, lo que significa que el hallazgo de vulnerabilidades se considera confiable. Por otro lado, con respecto a la medición de la eficiencia, el producto desarrollado con las 37 pruebas de concepto implementadas, se mantiene en un rango óptimo términos de segundos con respecto a las demás herramientas al momento de realzar el pentest a cada aplicación web vulnerable, en otras palabras, hasta el momento ScanLynx puede realizar un pentest de tipo completo a una aplicación web dentro del intervalo 600 a 2400 segundos como tiempo estimado. En la revisión bibliográfica de los estudios relacionados con el pentesting sobre aplicaciones web, la mayoría están enfocados hacia la evaluación de herramientas comparando unas con otras para determinar cuál es más eficaz a la hora de realizar un pentest, gracias a esto se pudo concretar rápidamente el tipo de análisis estadístico utilizar para obtener de forma cualitativa y cuantitativa la eficacia de nuestro prototipo hardware y software con respecto a otras herramientas que tienen una alta demanda en el mercado hoy en día. Los estudios restantes se centraron en la creación de herramientas con el fin de minimizar la cantidad de falsos positivos que detectan las herramientas que automatizan el pentest, siendo este uno de los grandes problemas que padecen dichas herramientas, algunos mencionan las metodologías

98 existentes que mejor encajan en el contexto de las aplicaciones web como otro que crearon una que incluían características extras, esto dio un gran espectro para poder seleccionar una metodología acorde a las necesidades de este proyecto de investigación.

La ausencia de conocimiento en áreas de la matemática como la estadística análitica para comprender el uso de las fórmulas y poder graficar las curvas ROC que permitieron determinar la eficacia del cluster, dificultaron la comprensión de algunos artículos e investigaciones relacionadas. Para darle solución a ese problema se buscó soporte en el programa de matemáticas de la Universidad del Cauca para la comprensión de los mismos y esto a su vez generó una sinergia con tal departamento para el desarrollo del trabajo y futuras investigaciones.

Con respecto a los estudios a los estudios tomados en el capítulo II, se encontró que la mayoría de proyectos sobre dispositivos SBC de bajo costo que estuvieran enfocados al pentesting sobre aplicaciones web, eran proyectos sin fines investigativos, sin embargo, se pudieron identificar las tecnologías que permiten el procesamiento paralelo y distribuido, así como el conocimiento de otros dispositivos SBC que pudieran ser una alternativa para un trabajo futuro.

Por otro lado, cabe resaltar que los datos obtenidos pudieron ser alterados al llevar a cabo el experimento controlado, debido a que no se contemplaron algunas características elementales que conforman un cluster Beowulf como es el uso de una red dedicada, debido a que el ambiente de pruebas se sitúo en establecimientos de la Universidad del Cauca donde el ancho de banda es compartido por otros equipos externos. Por otro lado, se tuvieron limitaciones con respecto al hardware en el dispositivo SBC seleccionado, ya que este posee una interfaz de red que proporciona una velocidad máxima de 100 Mbps (FastEthernet), lo cual, pudieron verse afectado algunos datos debido que por naturaleza un pentest sobre una aplicación web requiere un número elevado de peticiones HTTP, así como también en la descarga y transferencia de archivos.

Gracias a la revisión bibliográfica se pudo catalogar el nivel donde se encuentran las investigaciones y hacia donde apuntan los trabajos futuros. Se pudo notar que al revisar cada artículo, libro y página web no se ha establecido de manera formal la selección de una metodología enfocada hacia el pentesting sobre aplicaciones, asimismo, como la selección de los dispositivos SBC de bajo costo para el mismo fin. Por tanto, la propuesta de métricas que fueron mencionadas en las secciones 2.3 y 2.7.1 generaron un gran aporte para formalizar a organización del cluster y las actividades que se deben seguir para la construcción de una herramienta que permita automatizar el pentesting sobre aplicaciones web con sus respectivos reportes.