Pruebas de Intrusión

Prevenir, Detectar y Responder son los pilares del servicio de Pentesting

Pon a prueba la infraestructura, web, app móvil, entorno cloud y descubre qué tan vulnerables son

Pentesting, Test de Intrusión, Auditoría de Seguridad o Hacking Ético es una actividad de descubrimiento de vulnerabilidades y explotación de las mismas con el objetivo de valorar con exactitud el alcance del problema. Es decir, encontrar vías de fuga de información; acceso a zonas restringidas de forma no autorizada, etc.

Esta actividad se puede afrontar a través de diferentes perspectivas, las cuales dan menos o más facilidad al equipo de pentester en función del acceso a la información inicial que proporcione el cliente. Los distintos tipos de pentesting/test de intrusión son «caja negra», «caja gris», y «caja blanca», los cuales permiten auditar en mayor o menor profundidad, dependiendo del tipo de escenario escogido.

Visión Interna y Externa - Poniendo a prueba todos los sistemas y la infraestructura

La mejor forma de estudiar la seguridad de los sistemas frente a un ataque es someterlos a un ataque, pero de forma controlada y con ética (ataques simulados – pruebas). En este tipo de análisis, además de descubrir las vulnerabilidades presentes en los equipos, se procede a la explotación de las mismas con el objetivo de evaluar las repercusiones y el impacto que tienen en los sistemas, fuga de información, corrupción del código, extracción de usuarios… y su peligrosidad específica.

Para cumplir con una normativa existente como PCI-DSS, ISO 27001, OEA, requerimientos de clientes, entrar en una licitación, o para conocer con exactitud el estado de seguridad de nuestra infraestructura, la ejecución de un pentesting/test de intrusión, permite conocer el estado de nuestra seguridad (pagina web, servidores, web app, comercio electrónico, infraestructura cloud, infraestructura local) y establecer un plan de mejora para mitigar riesgos que ha quedado demostrado que existen, ya que han sido explotados. A2SECURE trabaja de manera acorde a las normativas, como lo son el OSSTM, OWASP, PCI-DSS, NIST, Mitre att&ck, así como otros marcos.

Incorporando nuestro servicio de tests de intrusión, ya sea para sistemas, aplicaciones web o aplicaciones móviles en tu empresa te ayuda a conocer qué opciones reales hay de atacar a tus sistemas antes que esto realmente ocurra y poder obtener de la mano de expertos el Informe de resultados técnicos y ejecutivo para la dirección y los clientes, el soporte, la validación y el apoyo en la remediación y sesiones de formación orientadas a entender los fallos detectados.

Tests de aplicaciones web

Atacar estas aplicaciones es una forma fácil de llegar a información vital de las empresas y, en muchos casos, un firewall clásico no es capaz de ofrecer en muchos casos cobertura a este tipo de ataque.

Las validaciones a realizar en este tipo de proyectos dependen del alcance del mismo y pueden incluir entre otras:

  • Vulnerabilidades Top 10 OWASP
  • Clásicos XSS, inyección SQL
  • Intentos de defacements
  • Password Cracking (descifrado de contraseñas)
  • Secuestro de sesiones
  • Ataques a la lógica de las aplicaciones tales como, modificación de precios, modificación de parámetros/objetos, códigos de descuento, etc.

Tests de aplicaciones móviles

A través de diversas técnicas de análisis de seguridad es posible evaluar la seguridad de las apps con el objetivo de garantizar tanto la seguridad de sus usuarios, como la comunicación con otros activos de seguridad de las empresas que las sustentan. Estas técnicas van desde:

  • Análisis estático
  • Análisis dinámico
  • Revisión del código fuente
  • Comprobación de la base de datos
  • Utilización de un proxy para analizar las comunicaciones
  • Análisis del manejo de archivos, memoria y red
  • Estudio de la estructura de protección del almacenamiento de datos
  • Control de los snapshots y keyloggers
  • Decompilación de la aplicación

Red Teaming

Incorporando un Red Team (equipo encargado de hacer tests de intrusión periódicos y acompañarte durante todo el ciclo de gestión de las vulnerabilidades) a tu equipo te asegurará que se ejecutan tests de penetración periódicos adaptados a las diferentes necesidades de la empresa, así como disponer de una plantilla con altos conocimientos de seguridad y pentesting, asegura que no solo se hacen proyectos de pentesting puntuales si no que se dispone de un equipo acompañándote durante todo momento en el ciclo de gestión de vulnerabilidades.

¡HABLEMOS!

Uno de nuestros expertos se pondrá en contacto contigo
Consentimiento*
El envío de este formulario es una acción positiva de que deseas estar en contacto comercial/profesional con A2SECURE. En cualquier momento podrás indicarnos que no quieres continuar. Para más información accede a nuestra política de privacidad y aviso legal.

A2SECURE Stories

Canal de Denuncia y El Data Protection Officer

En enero de 2023 ha entrado en funcionamiento en España la Ley reguladora de la protección de las personas que…

Leer más

Novedades PCI DSS v4.0

El 31 de marzo de 2022, el PCI Security Standards Council (PCI SSC), foro mundial de seguridad en los pagos,…

Leer más

Directiva NIS2 – Resiliencia en Ciberseguridad

Han pasado 5 años desde que la Unión Europea publicó la Directiva de seguridad de red y de seguridad de…

Leer más

The Trust Issue

Have you ever considered the amount of trust that is needed to acquire goods or services? As our partner Knowbe4…

Leer más