Evaluación de vulnerabilidades, gestión de vulnerabilidades y comprobación de penetración
La evaluación de vulnerabilidades (EV) hace referencia al análisis de seguridad pensado para detectar todas las posibles vulnerabilidades de los sistemas y de las aplicaciones de una red, a través de la identificación y valoración de los posibles daños que el atacante pueda causar a la actividad.
La actividad de evaluación de vulnerabilidades puede llevarse a cabo desde el interior y desde el exterior de la red de la empresa y permite simular diversos escenarios que podrían darse en una empresa. Proporciona un informe final con las vulnerabilidades que deben resolverse para garantizar una mayor seguridad y un sistema más seguro. La evaluación de vulnerabilidades debe garantizarse, de forma periódica, en presencia de datos sensibles, sobre todo después de la introducción del RGPD.
A continuación de la evaluación de vulnerabilidades, se entrega un informe que describe las vulnerabilidades identificadas seguidas de posibles soluciones.
Los servicios de evaluación de vulnerabilidades que ofrecemos son:
- Escaneos relacionados con las redes de trabajo y, por tanto, con los dispositivos de red: realizamos escaneos de toda la red detectando puertos abiertos, anfitriones activos, versión del sistema operativo, versiones del servidor web y análisis de paquetes de red.
- Escaneos de redes inalámbricas: realizamos escaneos de toda la red inalámbrica con el objetivo de identificar vulnerabilidades y contraseñas débiles.
- Escaneo de aplicaciones web: escaneamos una aplicación web completa en busca de vulnerabilidades desde una única IP/URL. Disponemos de herramientas que detectan la presencia de scripts vulnerables dentro de la aplicación web. Además, probaremos las vulnerabilidades ya conocidas para obtener una posible respuesta. Identificaremos los fallos que permiten que se produzcan las inyecciones SQL, para evitar que se pierda el control de los servidores DBMS. Por último, se enumeran todas las vulnerabilidades halladas según su criticidad.
- Escaneos relacionados con el IdC: constatamos la presencia de contraseñas débiles o por defecto de los dispositivos que podrían hacer que usuarios no autorizados accedieran a la red Comprobamos la existencia de comunicaciones no cifradas, la presencia de firmware obsoleto y controlamos los protocolos utilizados, todo ello para evitar la manipulación y el uso de dispositivos sin autorización.
- Pruebas de seguridad de las aplicaciones: realizamos análisis estáticos (SAST), dinámicos (DAST) e híbridos (IAST) con el objetivo de identificar vulnerabilidades. Además, probaremos las vulnerabilidades conocidas para obtener información.
- Escaneo de usuarios privilegiados: escaneamos sistemas Windows, Unix y Linux en busca de usuarios privilegiados. En los sistemas Unix/Linux, también escaneamos las claves SSH presentes en los repositorios estándar. A continuación, proporcionaremos correlaciones sobre los accesos entre los servidores, con el fin de evitar los ataques de tipo "pass-the-hash".
La gestión de la vulnerabilidad (GV) es una práctica cíclica y totalmente automatizada destinada a identificar, clasificar, priorizar, remediar y mitigar las vulnerabilidades.
Las vulnerabilidades pueden identificarse mediante un escáner de vulnerabilidades, que explora un sistema en busca de vulnerabilidades conocidas, como puertos abiertos, configuraciones de software inseguras y susceptibilidad a infecciones de cualquier tipo de malware.
Esta actividad cíclica garantiza la supervisión continua del sistema para que una vulnerabilidad, una vez resuelta, no pueda volver a producirse.
Supervisión y control: se utilizan técnicas que permiten identificar y resolver problemas en todos los puntos finales -fijos, móviles, físicos y virtuales- en cuestión de minutos. Utilizamos herramientas que ayudan a los equipos de seguridad a identificar y priorizar con precisión las amenazas en toda la empresa y proporcionan observaciones inteligentes que permiten a los equipos responder rápidamente para reducir el impacto de los incidentes.
También consolidamos los datos de incidencias de registro de miles de dispositivos, puntos finales y aplicaciones distribuidas en toda la red, correlacionando toda la información diferente y agrupando las incidencias relacionadas en alertas individuales para acelerar el análisis de incidentes y su reparación.
Las pruebas de penetración son indispensables para evaluar la seguridad de un sistema informático, validando y verificando la eficacia de los controles de seguridad informática.
En la práctica, se trata de una simulación real de un ataque de hacker que tiene como objetivo un perímetro limitado del sistema. Este tipo de pruebas suelen llevarse a cabo mediante tecnologías manuales o automatizadas con el objetivo de comprometer deliberadamente los sistemas.
Estas pruebas se realizan solo después de haber obtenido la autorización del objetivo. Después de la prueba de penetración, se entrega un informe de anotaciones, en el que se describen las vulnerabilidades identificadas y las técnicas utilizadas para vulnerar el sistema. El último paso es la corrección de las vulnerabilidades identificadas.
Tenemos la posibilidad de realizar dos tipos de prueba de penetración: caja negra y caja blanca.
Una prueba de ataque de caja negra no tiene información sobre la infraestructura de TI en la que se van a realizar las pruebas. Nuestros probadores actúan en la piel de un verdadero cracker, por lo que se llevarán a cabo ataques reales para identificar las vulnerabilidades. Nuestro servicio analiza la estructura y, por tanto, la seguridad de sus sistemas de información.
El objetivo de la técnica de caja negra es analizar toda la seguridad de los sistemas mediante diversas técnicas, como los ataques ad hoc o el uso de técnicas de ingeniería social para identificar los puntos débiles. Realizamos pruebas de los sistemas informáticos, de su personal y de la seguridad física (copias de seguridad).
Las pruebas de caja negra incluyen todos o la mayoría de nuestros servicios:
- pruebas de penetración de aplicaciones web;
- uso de la ingeniería social;
- ataques del lado del cliente;
- uso de malware controlado (puertas traseras, shells inversos);
- pruebas de penetración de contraseñas.
En resumen, en la técnica de la caja negra no se nos ofrece ninguna información sobre la infraestructura. El cliente nos proporcionará alguna dirección o simplemente el nombre de la empresa. Este servicio es de carácter adaptativo y se presta siempre a través de un equipo de profesionales con diferentes competencias en todos los ámbitos de la seguridad. Nuestros profesionales están certificados y se actualizan continuamente en la dinámica del campo de la seguridad. También se ocupan en primera persona de la inteligencia de amenazas para estar al tanto de los comportamientos de los nuevos programas maliciosos y de las vulnerabilidades más recientes.
En una prueba de ataque de caja blanca, los probadores habrán recibido información detallada sobre los distintos objetivos y toda la infraestructura. Este tipo de prueba implica la simulación de escenarios.
Algunas de las informaciones proporcionadas a los probadores pueden ser: documentación, arquitectura, código fuente o contraseñas de acceso al sistema. Esta prueba garantiza una mayor cobertura de diferentes tipos de ataques que podrían pasar desapercibidos en las pruebas de caja negra.
Con esta prueba se puede ganar tiempo, ya que no es necesario realizar la fase de reconocimiento como en la caja negra, ya que toda la información será proporcionada por el cliente.
En las pruebas de la caja blanca proporcionamos:
- evaluación de la vulnerabilidad;
- pruebas de penetración de aplicaciones web;
- ataques del lado del cliente;
- utilización de exploits a partir de la información proporcionada en los sistemas;
- pruebas de penetración en el tráfico de la red;
- uso de malware controlado (puertas traseras, shells inversos).
Los servicios de pruebas de penetración que ofrecemos son:
- Pruebas de penetración en aplicaciones web: realizamos pruebas en aplicaciones web, identificando las vulnerabilidades presentes. Podemos entrar en los sistemas utilizando puertas abiertas, configurando mal el sistema o explotando las vulnerabilidades causadas por versiones antiguas de cierto software. Tenemos herramientas que nos permiten realizar también penetraciones manuales.
- Utilizar exploits para realizar pruebas de intrusión en Windows, Linux y Mac OS X: adoptamos técnicas que utilizan exploits con el fin de aprovechar vulnerabilidades conocidas y entrar en los sistemas y así recuperar datos sensibles sin autorización.
- Pruebas de penetración en el tráfico de red: empleamos técnicas para interceptar el tráfico de red y recuperar los datos sensibles que viajan sin cifrar. Utilizamos herramientas que realizan el rastreo de la red. Disponemos de un conjunto completo de herramientas para realizar ataques de intermediario.
- Pruebas de penetración de contraseñas: hacemos que las contraseñas sean más seguras a través de crackers muy rápidos que realizan ataques de fuerza bruta basados en listas de palabras con el objetivo de identificar las contraseñas débiles y sustituirlas.
- Actuación de publicidad en línea maliciosa: se estructura de forma que se genera y envía a una lista de usuarios un correo electrónico falso bien estructurado que contiene un enlace, con el objetivo de identificar a todos los usuarios que no comprueban el remitente del correo electrónico y que naturalmente hacen clic en el enlace. El enlace apunta a un servidor web que mapea al usuario que realizó esta operación.