Test de Intrusión / Penetration Test

El éxito de una intrusión depende, en gran medida, del nivel de conocimiento que dispone el atacante sobre los sistemas objetivo. Es decir, cuanta más información, detallada y precisa disponga, mayor probabilidad de conseguir su propósito. Para ellos se realizarán análisis de las webs corporativas, metadatos, redes sociales, ofertas de trabajo, listas negras y reputación, foros y webs externas a la entidad. Y búsquedas en Internet de información relacionada con la entidad, marca o servicio entre otros datos:

• Análisis de webs corporativas.
• Análisis de metadatos.
• Análisis de redes sociales.
• Análisis de ofertas de trabajo.
• Análisis de listas negras y reputación.
• Análisis de foros y webs externas a la entidad.
• Análisis de otras fuentes de información.

El análisis de la red consiste en la recolección de datos y la obtención de información y políticas de control de los sistemas analizados, con el objetivo de obtener la máxima información acerca de los componentes hardware y software, así como sobre la disposición de todos estos elementos. Para realizar este análisis de la red se seguirán los siguientes pasos:

• Sondeo de red.
• Mapa de red.
• Escaneo de puertos.
• Identificación de servicios.
• Identificación de sistemas operativos.

La detección de vulnerabilidades se realiza tanto de forma automática como de forma manual y, en ambos casos, se lleva a cabo una fase de validación de las vulnerabilidades identificadas para descartar falsos positivos.
Para realizar este análisis de los sistemas se ejecutan las siguientes actuaciones:

• Análisis de actualizaciones.
• Análisis de Configuraciones.
• Identificación de vulnerabilidades no publicadas.
• Análisis de sistemas de autenticación.

El análisis a nivel de aplicación está limitado a aquellas aplicaciones accesibles desde Internet, y sigue la filosofía de caja negra. Es decir, no se dispone de información privilegiada sobre la aplicación (como credenciales de autenticación) y no se incluye en el alcance el análisis del código fuente de la aplicación. El motivo de esta metodología de trabajo es la de simular la actuación real de un atacante que, a través de las aplicaciones auditadas y sin disponer de información sobre las mismas, intenta comprometer la seguridad de la aplicación:

• Inventario de aplicaciones.
• Análisis de la configuración en la infraestructura.
• Análisis de sistemas de autenticación.
• Análisis del esquema de autorización.
• Análisis de la gestión de sesiones.
• Análisis del mecanismo de validación de datos.

En muchas ocasiones, estos dispositivos y herramientas pueden no encontrarse debidamente configurados y/o monitorizados, con lo que su efectividad puede verse reducida en gran medida. Entre estos sistemas de seguridad, se analizarán los siguientes:

• Análisis de Firewalls.
• Análisis de WAF (Web Application Firewall)
  • Detección e identificación del WAF.
  • Análisis del comportamiento del WAF frente a distintos ataques.
  • Evasión del WAF.
• Análisis de IDS / IPS.
• Análisis de Antivirus/ Antimalware.

• Resumen ejecutivo de alto nivel con la clasificación de los resultados.
• Detalle de todas las pruebas realizadas especificando su objetivo.
• Resultados obtenidos en los diferentes test que se han realizado con descripciones paso a paso del proceso de detección y explotación de cada vulnerabilidad.
• Recomendaciones que permitan solucionar de la forma más acertada los problemas de seguridad encontrados.
• Clasificación de los problemas de seguridad según su nivel de peligro, incluyendo valores CVSS. Esto permitirá a la empresa poder elaborar un plan de actuación eficiente para resolver estos problemas de seguridad.
• Reunión orientada a explicar los resultados obtenidos en la auditoría y asesorar sobre las posibles soluciones que existan para los problemas de seguridad encontrados