Hacking / Test de Intrusión

Nuestro equipo pondrá a prueba tu infraestructura de seguridad para encontrar posibles fallos por los cuales podrían atacarte tanto del exterior como del interior. Una vez detectados, te daremos las recomendaciones más acertadas para las vulnerabilidades que te afecten. De esta manera proporcionaremos mejor y mayor protección a la infraestructura de tu empresa tanto si el posible atacante proviene del exterior o del interior.

Estos tests a ciegas se suelen realizar sin información previa de la estructura para así simular el escenario real de un posible atacante que quisiera atentar o infiltrarse a los sistemas de la empresa desde el exterior.

Por otro lado, en caso de un interés por simular el ataque interno del sistema de la empresa y sus redes, se realizaría el Test de Intrusión desde la misma empresa con la misma información que poseen los colaboradores internos. De esta manera sabremos hasta donde pueden llegar si tuvieran intenciones maléficas.

Este proceso es la mejor manera de demostrarle a tu comité de dirección / consejo de administración de la empresa la importancia real de invertir en seguridad. Verán realmente el daño que le pueden hacer un atacante con malas intenciones, ya no solo económicamente si no en cuanto a prestigio, marca o reputación. Con el Test de Intrusión le demostraremos que es posible obtener privilegios, acceder a información confidencial, o incluso mover dinero con el fin de tener el impacto deseado.

El Test se determina por alcance, es decir, se determina un tiempo concreto de actuación por nuestra parte. En este tiempo que se nos concede realizaremos todo lo que está a nuestro alcance para infiltrarnos en sus sistemas y demostrarle lo que conlleva no tomar medidas preventivas o descuidar las ya existentes.

Las tres etapas del servicio:

Etapa 1: Evaluación.

En esta fase se contemplan dos escenarios. En el primero la empresa nos proporciona datos básicos y esenciales para iniciar el test. Esta forma de actuar se contempla para acortar el tiempo de actuación, haciéndolo ágil y siendo realistas que un atacante tiene todo el tiempo del mundo. Estos datos se pueden obtener por una series de vías en cuestión de días, días que ralentizan el análisis. Los medios o vías para obtener la información son a través de cualquier medio ya sea a fuentes abiertas o privadas. El otro escenario, es completamente obtención de datos a ciegas. La compañía que requiere los servicios quiere saber cuanto fácil es la obtención de datos y intrusión en los sistemas. Así, posteriormente tomar las medidas oportunas para corregir protocolos, aplicaciones, tipologías... Muchas de estas contempladas en normativas como ISO27001 o 27002

Etapa 2: Hacking.

Se empieza a actuar sobre el alcance, se analizan en busca de vulnerabilidades ya sea en la infraestructura, sistemas operativos, servicios disponibles o aplicaciones existentes. Todo ello con todos los datos de la fase 1 de recopilación de información. A medida que se inician los tests en los sistemas y las búsquedas de vulnerabilidades, se irán obteniendo evidencias de nuestra intrusión para la posterior documentación y demostración del trabajo de intrusión.

Etapa 3: Documentación:

En esta fase se constatará toda la información respecto a los hallazgos durante la Etapa 2 en un lenguaje accesible y ejecutivo ya que el informe no solo será revisado por personal de un perfil técnico, sino por directivos y responsables de otras áreas. Se registrará todo lo que haya sido detectado en los sistemas, incluso se realizarán informes intermedios de las intrusiones con mayor impacto y las evidencias de cómo se ha podido perpetrar la intrusión. Finalmente se confeccionará una presentación señalando aquellos puntos que se crean que requieren especial importancia o que provocan los problemas más graves o inmediatos.

Se puede concluir indicando:

Tests de intrusión con información: se utiliza información privada otorgada por la empresa, sobre sus sistemas informáticos. Se trata de simular ataques hechos desde el ámbito interno de la empresa y con cierto grado de información privilegiada.

Test de intrusión sin información: se utiliza la información pública del alcance, junto con ingenería social para tratar de romper el perímetro de seguridad informática y ver hasta donde se puede llegar a través de vulnerabilidades.

Tests de intrusión externo:se realiza de manera externa a las instalaciones de la empresa. La intención y objetivo es evaluar los sistemas perimetrales de seguridad.

Tests de intrusión interno: es realizada dentro de las instalaciones de la empresa con el motivo de probar las políticas y los mecanismos internos de seguridad de la empresa.

Este servicio proporciona un informe exhaustivo de las vulnerabilidades de la empresa. Con esta radiografía de la situación actual se obtendrá la información necesaria para actuar sobre los sistemas que lo requieren y de forma eficaz ya que dicho informe brinda una lista de recomendaciones a aplicar. Así su equipo de seguridad podrá apoyarse para rediseñar el programa de control.