Pruebas de Penetración

Lleve sus pruebas de la teoría a la práctica

Un prueba de penetración simula un ataque en la infraestructura de red de la organización o aplicaciones. El enfoque de las pruebas de penetración es la de determinar que atacantes pueden acceder y qué problemas pueden causar.

Durante estas pruebas controladas, un consultor certificado y experimentado revisa la seguridad de la infraestructura de red y aplicaciones utilizando las mismas herramientas y técnicas que un atacante podría utilizar. Las pruebas se pueden realizar inclusive en secreto, sin el conocimiento de las personas quienes administran y operan los sistemas.

Para emular un atacante del mundo real, demostramos dónde existen brechas y fallas de procedimientos, el nivel de acceso que un atacante podría obtener y cómo asegurar apropiadamente los sistemas.

Tipos de Pruebas

Pruebas de Penetración Externas

Una simulación de pruebas de penetración externa es dirigida desde Internet y desde cualquier sitio en el mundo. Un atacante externo puede dirigirse a la organización por elección o porque la organización utiliza una plataforma tecnológica en particular o tiene una configuración específica.

Pruebas de Penetración Internas

Un prueba de penetración interna replica un ataque desde adentro de la red de la organización. El atacante puede ser un empleado inconforme o un proveedor que está autorizado para acceder a la red, o un atacante que encontró una brecha de seguridad externa para conseguir acceso a la red interna. Este atacante tiene acceso detrás del firewall con credenciales limitas o nulas.

Por qué es importante

Las pruebas de penetración son una de las maneras más efectivas de probar la seguridad porque esta dirigida a los responsables del control y la protección de la red.

Esto le ayudará para:

  • Determinar la efectividad de las políticas y controles de seguridad.
  • Identificar la debilidad de estas políticas y controles.
  • Demonstrar el impacto que puede tener la empresa debido a estas debilidades.

Una prueba de penetración chequea varios aspectos del plan de seguridad de la organización, e involucra tanto al personal como a la tecnología. Se evalúa tanto firewall, sistemas de prevención de intrusos y otros controles técnicos para medir si son efectivos y si están correctamente configurados para prevenir acceso no autorizado a los sistemas. Las pruebas determinan además si todos los parches de seguridad han sido aplicados, y cómo el equipo de TI detecta y responde a un ataque.

El valor de una prueba de penetración es su habilidad para demostrar el impacto de cualquier vulnerabilidad de seguridad. Es muy común que los administradores y otros tomadores de decisión pasen por alto los reportes de los Auditores de TI que indican el potencial de un ataque malicioso. Los resultados de las pruebas de penetración, sinembargo, capturan inmediatamente su atención al exponer cómo los atacantes penetran en los sistemas y lo que son capaces de hacer, como tomar el control de un servidor financiero u obteniendo acceso a información confidencial.

Cómo podemos ayudarlo

Nuestra pruebas de penetración son escalables al fin de cubrir las necesidades del negocio. Blue Hat Consultores ofrece una matriz de componentes de prueba críticos que pueden ser incluidos como parte de una prueba de penetración.

Blue Hat Consultores aplica una metodología flexible y probada que provee pruebas de alto valor evitando el sacrificar el desempeño o la disponibilidad de los sistemas que serán parte de estas pruebas.

Las pruebas se dividen en las siguientes fases:

  • Reconocimiento y Descubrimiento – Realizamos un estudio de la red ó aplicación y enumera dispositivos, servicios y versiones de software.
  • Análisis de Vulnerabilidades – Identificamos agujeros de seguridad y vulnerabilidades y verifica si las v vulnerabilidades son legítimas, no "falsos positivos."
  • Ataque y Penetración – Nuestros experimentados consultores intentarán explotar las vulnerabilidades encontradas, escalar privilegios y expandir el acceso a otros sistemas y cuentas.

Ejecutamos nuestras pruebas de manera que constituya un riesgo mínimo para las operaciones normales del negocio, mientras intentamos descubrir las debilidades que un atacante podría usar para interrumpir esas operaciones.

Reportería Procesable y Detallada

El valor de las pruebas de penetración dependen de la habilidad de comprender y actuar sobre los resultados. Es por eso que redactamos nuestros reportes para cumplir las necesidades tanto del Departamento de TI, Auditores Internos y Externos y Examinadores. Nuestros reportes claramente definen el alcance de la prueba, describen la metodología usada, detallan los resultados de la prueba y proveen recomendaciones para direccionar los hallazgos.

Pruebas de Infraestructura de Red

Un prueba de la infraestructura de red se enfoca en qué tan bien está configurada la red para prevenir intrusiones.

Además de un escaneo de vulnerabilidades, también realizamos pruebas manuales para descubrir potenciales agujeros en la red. Probamos dispositivos de red, segmentación, servidores y estaciones de trabajo. Esta prueba va más allá del análisis de vulnerabilidades. Una vez que las áreas son identificadas, un consultor certificado intenta explotar las vulnerabilidades para intentar acceder a los sistemas.

Pruebas de Control Físico (Opcional)

Los controles físicos son contramedidas tales candados, jaulas, video vigilancia y guardias de seguridad. Estos controles son usualmente visibles, pero su efectividad es a menudo pasada por alto por las revisiones de seguridad.

Blue Hat Consultores puede replicar los pasos que un atacante real ejecuta cuando intenta vulnerar su entorno. Usando múltiples métodos, incluyendo suplantación, espío sobre el hombro y escarbado de basura. El objetivo es aprovechar los resultados de estas pruebas para reforzar defensas.

Pruebas de Aplicación

Las aplicaciones representan algunos de los riesgos más significativos para los datos de la organización y las aplicaciones web son críticas para su presencia online.

Asegurar y probar aplicaciones es complejo y requiere conocimiento especializado. Además de herramientas comerciales, Blue Hat Consultores usa métodos de inspección manual para descubrir vulnerabilidades en aplicaciones.

A través de pruebas de Aplicaciones Web, le ayudamos a descubrir debilidades, incluyendo los 10 principales riesgos de seguridad de aplicaciones web de OWASP (Open Web Application Security Project), que están dirigidos a los datos de la organización y sistemas asi como a todos los objetivos cliente y navegadores web.

Dichas pruebas además pueden ser ejecutadas con o sin credenciales de usuarios para ampliar la detección de vulnerabilidades a zonas de sus aplicaciones que normalmente estarían disponibles para usuarios autenticados.

Ingeniería Social

Ingeniería Social es un nombre sutil que se le dá a la técnica que usan los atacantes para manipular al personal para conseguir información sensible o confidencial sobre la organización o un individuo en particular. Este método de ataque ha probado ser uno de los más efectivos, haciendo ineficientes a muchos controles técnicos y administrativos.

Nuestros consultores de seguridad intentan conseguir información sensible mediante múltiples métodos, incluyendo llamadas telefónicas "tretexto" y campañas de correo electrónico de tipo "phishing". Nuestras pruebas están diseñadas para descubrir amenazas debido a revelación de información, uso indebido por parte de los empleados de esta información y administración de credenciales de usuario ineficientes.