martes, 13 de enero de 2009

Time and Attack Mapper (TA-Mapper): Application Penetration Testing Effort Estimator

Time and Attack Mapper (alternatively known as TA-Mapper) is an effort estimator tool for blackbox security assessment (or Penetration Testing) of applications. This tool provides more accurate estimation when compared to rough estimation. Penetration testers who always has hard time explaining/justifying the efforts charged (or quoted) to their customers can find this tool handy by able to calculate efforts with greater accuracy required for application penetration testing.


Sergio Hernando
en su blog publico lo siguiente en relación a este recurso:

Estimación de consumo de recursos en auditoría perimetral y pentesting con Time and Attack Mapper (TA-Mapper)
Maneras de generar una oferta de servicios de seguridad hay varias. Suele ser frecuente, al menos en mi experiencia, toparse con dos métodos diferenciados, dependiendo de la capacidad de planificación, tiempo disponible y conocimiento que tenga el oferente. Desde levantar el dedo al aire y decidir si una cosa cuesta 1000, 2000 o nmil euros, a realizar un estudio detallado para ofertar un servicio de una manera certera y ajustada a los consumos de recursos previstos y los beneficios esperados. El abanico es tremendamente amplio, y os puedo asegurar que he visto absolutamente de todo.
Independientemente de las distintas modalidades de análisis de recursos que podamos encontrar, parece sensato pensar que, siempre que sea posible, es deseable que las estimaciones que conducen a una oferta económica sean lo más certeras posibles. De lo contrario, pueden darse eventos no deseados: pillarse los dedos ofertando un trabajo costoso a bajo precio o quedarnos sin vender por haber pedido demasiado dinero por un trabajo que apenas consume recursos (y que tu competencia, sin recurrir a tirar precios, oferta a la mitad). También podemos acertar y generar una oferta económica adecuada, pero si vamos a basar el éxito comercial de las empresas en ver si atinamos o no con las ofertas, sin esforzarnos en planificar bien la presupuestación, mejor dedicarse a la videncia.

En el caso de auditorías perimetrales, test de penetración y trabajos de seguridad similares podemos apoyarnos en herramientas de cálculo y generación de presupuestos de diversa índole. La experiencia es fundamental, ya que para realizar ofertas comerciales correctas la clave está en hacer bien las valoraciones previas de consumo de recursos. Esto cobra especial importancia en las pruebas de caja negra, en las que hay que estimar teniendo un acceso limitado al servicio a analizar, con lo que las probabilidades de equivocarnos valorando son elevadas.
Para facilitar este tipo de estimaciones podemos emplear Time and Attack Mapper (TA-Mapper). Esta utilidad es muy elemental, y de hecho, no todo el mundo podrá usarla porque está pensada para ser ejecutada en entornos Windows (es un ejecutable W32 y además depende de una hojita Excel, entre otras cosas) pero creo que puede ser tremendamente útil a la hora de hacer estimaciones certeras en trabajos relacionados con la auditoría perimetral y los test de intrusión.

El método detrás de TA-Mapper es simple: desglosar el servicio de seguridad a efectuar en tareas, lo más atómicas posibles, para luego poder ponderar los consumos de recursos, especialmente, de tiempo. Teniendo en cuenta lo que queremos cobrar por hora trabajada, y estimando de un modo certero el número de horas necesarias, realizar una oferta acertada es cuestión de tener tino con el cálculo de beneficios esperados y costes a imputar al trabajo.

A mí, que vengo del campo de la ingeniería, este formato me recuerda mucho al fundamento de un presupuesto de obra, donde no resulta complicado imaginar lo arriesgado que es ofertar poniendo dedos al viento. Hay que efectuar mediciones, hay que conocer bien los precios precios unitarios, hay que saber desglosar en precios descompuestos y finalmente, hay que saber armar un presupuesto (de ejecución material, y de ejecución por contrata, dependiendo de si contemplanos o no el beneficio y los gastos generales)


[Download TA-Mapper]
Date of release: 01/01/2009

No hay comentarios: