Pruebas de Intrusión
Prevenir, Detectar y Responder son los pilares del servicio de Pentesting
Pon a prueba la infraestructura, web, app móvil, entorno cloud y descubre qué tan vulnerables son
Pentesting, Test de Intrusión, Auditoría de Seguridad o Hacking Ético es una actividad de descubrimiento de vulnerabilidades y explotación de las mismas con el objetivo de valorar con exactitud el alcance del problema. Es decir, encontrar vías de fuga de información; acceso a zonas restringidas de forma no autorizada, etc.
Esta actividad se puede afrontar a través de diferentes perspectivas, las cuales dan menos o más facilidad al equipo de pentester en función del acceso a la información inicial que proporcione el cliente. Los distintos tipos de pentesting/test de intrusión son «caja negra», «caja gris», y «caja blanca», los cuales permiten auditar en mayor o menor profundidad, dependiendo del tipo de escenario escogido.
Visión Interna y Externa - Poniendo a prueba todos los sistemas y la infraestructura
La mejor forma de estudiar la seguridad de los sistemas frente a un ataque es someterlos a un ataque, pero de forma controlada y con ética (ataques simulados – pruebas). En este tipo de análisis, además de descubrir las vulnerabilidades presentes en los equipos, se procede a la explotación de las mismas con el objetivo de evaluar las repercusiones y el impacto que tienen en los sistemas, fuga de información, corrupción del código, extracción de usuarios… y su peligrosidad específica.
Para cumplir con una normativa existente como PCI-DSS, ISO 27001, OEA, requerimientos de clientes, entrar en una licitación, o para conocer con exactitud el estado de seguridad de nuestra infraestructura, la ejecución de un pentesting/test de intrusión, permite conocer el estado de nuestra seguridad (pagina web, servidores, web app, comercio electrónico, infraestructura cloud, infraestructura local) y establecer un plan de mejora para mitigar riesgos que ha quedado demostrado que existen, ya que han sido explotados. A2SECURE trabaja de manera acorde a las normativas, como lo son el OSSTM, OWASP, PCI-DSS, NIST, Mitre att&ck, así como otros marcos.
Incorporando nuestro servicio de tests de intrusión, ya sea para sistemas, aplicaciones web o aplicaciones móviles en tu empresa te ayuda a conocer qué opciones reales hay de atacar a tus sistemas antes que esto realmente ocurra y poder obtener de la mano de expertos el Informe de resultados técnicos y ejecutivo para la dirección y los clientes, el soporte, la validación y el apoyo en la remediación y sesiones de formación orientadas a entender los fallos detectados.
Tests de aplicaciones web
Atacar estas aplicaciones es una forma fácil de llegar a información vital de las empresas y, en muchos casos, un firewall clásico no es capaz de ofrecer en muchos casos cobertura a este tipo de ataque.
Las validaciones a realizar en este tipo de proyectos dependen del alcance del mismo y pueden incluir entre otras:
- Vulnerabilidades Top 10 OWASP
- Clásicos XSS, inyección SQL
- Intentos de defacements
- Password Cracking (descifrado de contraseñas)
- Secuestro de sesiones
- Ataques a la lógica de las aplicaciones tales como, modificación de precios, modificación de parámetros/objetos, códigos de descuento, etc.
Tests de aplicaciones móviles
A través de diversas técnicas de análisis de seguridad es posible evaluar la seguridad de las apps con el objetivo de garantizar tanto la seguridad de sus usuarios, como la comunicación con otros activos de seguridad de las empresas que las sustentan. Estas técnicas van desde:
- Análisis estático
- Análisis dinámico
- Revisión del código fuente
- Comprobación de la base de datos
- Utilización de un proxy para analizar las comunicaciones
- Análisis del manejo de archivos, memoria y red
- Estudio de la estructura de protección del almacenamiento de datos
- Control de los snapshots y keyloggers
- Decompilación de la aplicación
Red Teaming
Incorporando un Red Team (equipo encargado de hacer tests de intrusión periódicos y acompañarte durante todo el ciclo de gestión de las vulnerabilidades) a tu equipo te asegurará que se ejecutan tests de penetración periódicos adaptados a las diferentes necesidades de la empresa, así como disponer de una plantilla con altos conocimientos de seguridad y pentesting, asegura que no solo se hacen proyectos de pentesting puntuales si no que se dispone de un equipo acompañándote durante todo momento en el ciclo de gestión de vulnerabilidades.
¡HABLEMOS!
"*" señala los campos obligatorios
A2SECURE Stories
Nuevos criterios de elegibilidad para el SAQ A: ¿Qué implica este cambio anunciado por el PCI SSC?
El 30 de enero de 2025, el PCI Security Standards Council (PCI SSC) anunció una actualización significativa que impacta directamente…
¿Cómo afectará la nueva Ley de Coordinación y Gobernanza de la Ciberseguridad (NIS2) a mi negocio?
El 14 de enero de 2025 el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de…
¿Qué controles PCI pasarán a ser obligatorios en marzo de 2025?
Actualmente, el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS), es el conjunto de…
7 desafíos de ciberseguridad que han cobrado fuerza este 2024
Cuando se acerca el cierre el año, es importante hacer balance sobre las principales amenazas y desafíos de ciberseguridad que…