En Internet Security Auditors creemos que una auditoría puede ser mucho más que el ejercicio de examinar sistemáticamente.

Test de Intrusión

El objetivo del Test de Intrusión es evaluar el estado de los sistemas frente a ataques de tipo intrusivo. No hay una mejor forma de probar la fortaleza de los sistemas de seguridad que atacarlos, por eso los profesionales de Internet Security Auditors auditan los sistemas de seguridad desde el punto de vista de posibles ataques externos por parte de hackers con intenciones malévolas.

Características del servicio

El cliente no proporciona información sobre la estructura de sus redes o las características de sus sistemas. Es el equipo de seguridad que realiza la auditoría el que obtiene esta información. De esta forma los Servicios de Hacking Ético son objetivos y siguen los mismos pasos que un atacante que estuviese intentando vulnerar los sistemas de la empresa llevaría a cabo.

Los Servicios de Hacking Ético se pueden llevar tanto de forma remota, desde las instalaciones de Internet Security Auditors, como desde las instalaciones del cliente dependiendo de los objetivos buscados y al ámbito de la auditoría.

La mejor manera de hacer esta evaluación de la seguridad es realizando ataques controlados sobre los sistemas, simulando la acción de un atacante externo que quisiera entrar en los sistemas analizados sin tener ningún conocimiento sobre los mismos.

Ámbito de Actuación

Un Test de Intrusión se compone de las siguientes fases:

  1. Planificación: Definición e identificación de los sistemas a auditar.
  2. Auditoría: Realización de las pruebas que se llevan a cabo de forma progresiva hasta conseguir la intrusión y, una vez conseguida, escalado en los sistemas.
  3. Documentación: Redacción de todos los resultados obtenidos.

Ámbito de las pruebas

Para realizar estos ataques se utilizarán tanto técnicas como herramientas de hacking. Las herramientas utilizadas serán las mismas que las utilizadas en el mundo underground por los propios hackers para realizar los ataques, así como herramientas creadas por el equipo técnico de Internet Security Auditors para realizar los Test de Intrusión y elaboradas a partir de las pautas definidas en los estándares OSSTMM, ISSAF PTES.

  1. Análisis de la Información Pública
    El éxito de una intrusión depende, en gran medida, del nivel de conocimiento que dispone el atacante sobre los sistemas objetivo. Es decir, cuanta más información, detallada y precisa disponga, mayor probabilidad de conseguir su propósito. Para ellos se realizarán análisis de las webs corporativas, metadatos, redes sociales, ofertas de trabajo, listas negras y reputación, foros y webs externas a la entidad. Y búsquedas en Internet de información relacionada con la entidad, marca o servicio entre otros datos:
    • Análisis de webs corporativas.
    • Análisis de metadatos.
    • Análisis de redes sociales.
    • Análisis de ofertas de trabajo.
    • Análisis de listas negras y reputación.
    • Análisis de foros y webs externas a la entidad.
    • Análisis de otras fuentes de información.
  2. Análisis de Seguridad a Nivel de Red El análisis de la red consiste en la recolección de datos y la obtención de información y políticas de control de los sistemas analizados, con el objetivo de obtener la máxima información acerca de los componentes hardware y software, así como sobre la disposición de todos estos elementos. Para realizar este análisis de la red se seguirán los siguientes pasos:
    • Sondeo de red.
    • Mapa de red.
    • Escaneo de puertos.
    • Identificación de servicios.
    • Identificación de sistemas operativos.
  3. Análisis de Seguridad a Nivel de Sistemas La detección de vulnerabilidades se realiza tanto de forma automática como de forma manual y, en ambos casos, se lleva a cabo una fase de validación de las vulnerabilidades identificadas para descartar falsos positivos.
    Para realizar este análisis de los sistemas se ejecutan las siguientes actuaciones:
    • Análisis de actualizaciones.
    • Análisis de Configuraciones.
    • Identificación de vulnerabilidades no publicadas.
    • Análisis de sistemas de autenticación.
  4. Análisis de Seguridad a Nivel de Aplicaciones El análisis a nivel de aplicación está limitado a aquellas aplicaciones accesibles desde Internet, y sigue la filosofía de caja negra. Es decir, no se dispone de información privilegiada sobre la aplicación (como credenciales de autenticación) y no se incluye en el alcance el análisis del código fuente de la aplicación. El motivo de esta metodología de trabajo es la de simular la actuación real de un atacante que, a través de las aplicaciones auditadas y sin disponer de información sobre las mismas, intenta comprometer la seguridad de la aplicación:
    • Inventario de aplicaciones.
    • Análisis de la configuración en la infraestructura.
    • Análisis de sistemas de autenticación.
    • Análisis del esquema de autorización.
    • Análisis de la gestión de sesiones.
    • Análisis del mecanismo de validación de datos.
  5. Análisis de los Sistemas de Seguridad En muchas ocasiones, estos dispositivos y herramientas pueden no encontrarse debidamente configurados y/o monitorizados, con lo que su efectividad puede verse reducida en gran medida. Entre estos sistemas de seguridad, se analizarán los siguientes:
    • Análisis de Firewalls.
    • Análisis de WAF (Web Application Firewall)
      • Detección e identificación del WAF.
      • Análisis del comportamiento del WAF frente a distintos ataques.
      • Evasión del WAF.
    • Análisis de IDS / IPS.
    • Análisis de Antivirus/ Antimalware.


Resultados

Informe
Se elabora un informe detallado donde se incluye:

  • Resumen ejecutivo de alto nivel con la clasificación de los resultados.
  • Detalle de todas las pruebas realizadas especificando su objetivo.
  • Resultados obtenidos en los diferentes test que se han realizado con descripciones paso a paso del proceso de detección y explotación de cada vulnerabilidad.
  • Recomendaciones que permitan solucionar de la forma más acertada los problemas de seguridad encontrados.
  • Clasificación de los problemas de seguridad según su nivel de peligro, incluyendo valores CVSS. Esto permitirá a la empresa poder elaborar un plan de actuación eficiente para resolver estos problemas de seguridad.

Workshop: Reunión orientada a explicar los resultados obtenidos en la auditoría y asesorar sobre las posibles soluciones que existan para los problemas de seguridad encontrados.