Objetivo del Servicio
Las Pruebas de Penetración se realizan desde la posición de un atacante potencial de manera remota y local. A través de técnicas de Hackeo Ético se busca explotar activamente las vulnerabilidades de seguridad para obtener información relevante. Tal como lo intentaría un intruso con propósitos adversos para la organización. En conjunto con el cliente diseñamos y ejecutamos escenarios reales que permitirán identificar áreas de oportunidad para disminuir el impacto y la probabilidad de ciberataques.
Beneficios
El mejor modo de saber cómo los intrusos entrarán de verdad en su red es simular un ataque en condiciones controladas. No hay mejor forma de probar la fortaleza de los sistemas de seguridad que atacarlos.
El Servicio de Hacking Ético o Pentesting permite conocer el impacto real de un ataque informático.
Tolerancia
La resistencia de(los) sistema(s) a ataques sin afectar su funcionamiento.
Complejidad
Complejidad de los ataques necesarios para afectar a un sistema.
Detección
Capacidad de la infraestructura de seguridad para detectar ataques.
Alcances
Contamos con expertos con una amplia experiencia en la ejecución de este tipo de pruebas. Por esta razón podemos apoyar a nuestros clientes con dimensionamientos y tiempos de ejecución apegados a sus necesidades.
Los alcances son definidos en base a la necesidad del cliente con apoyo estratégico de nuestros expertos en seguridad.
- Red Interna (Redes y Vlans con direccionamiento interno)
- Red Externa (Direcciones IPs Publicas)
- Red DMZ
- Sitios y/o Aplicaciones Web
- Dispositivos Móviles
- Entre Otros
Descubrimiento de Activos
Técnicas de atacantes reales
Equipo experto en Seguridad
Implementar Mejores Prácticas
¿Por qué Realizar Pruebas de Penetración?
- Conocer su madurez en Seguridad Informática: Organizaciones que requieren conocer de forma amplia y profunda la efectividad de sus controles y el estado actual de su seguridad en Tecnologías de Información.
- Cumplimiento Regulatorio: Instituciones que necesitan cumplir con regulaciones como LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de Particulares), ISO/IEC 27001, PCI-DSS, etc., y requieren realizar pruebas de penetración de forma periódica.
- Mejores Prácticas: Más allá del cumplimiento regulatorio, muchos marcos de trabajo globalmente aceptados como ISO, COBIT, etc. recomiendan la ejecución de pruebas de penetración como parte de una gestión de seguridad proactiva.
- Obligaciones Contractuales: Muchas organizaciones requieren hacer pruebas de penetración como parte de obligaciones contractuales con socios o clientes.
¿Cómo se lleva a cabo una prueba de penetración?
- Planificación y Recopilación de Información.
Definición e identificación de los sistemas a auditar. - Descubrimiento de Activos.
Detección de Equipos, Servidores, Sistemas, Aplicaciones y/o Servicios en la red. - Análisis de Vulnerabilidades
Detección de las debilidades en los sistemas - Validación de Vulnerabilidades
Explotación de las vulnerabilidades, escalamiento de privilegios y evaluación del impacto. - Documentación.
Generación de reporte con explicación detallada de los resultados y recomendaciones de corrección.
Metodología
Utilizamos metodologías mundialmente aceptadas para pruebas de Seguridad y las adaptamos de acuerdo a las necesidades del cliente
Las clasificaciones de riesgo priorizadas se basan en el modelo CVSS (Common Vulnerability Scoring System). Tienen en cuenta varios criterios empresariales para ofrecerle una visión cuantitativa de la situación de seguridad de su red.
¿Interesado en este producto?
Solicite una evaluación gratuita y sin riesgos