Ciberseguridad

Seguridad

Ofensiva

La Seguridad Ofensiva, toma como premisa la frase “La mejor defensa es un buen ataque”. Esta rama de la ciberseguridad consiste en implementar medidas de seguridad, aplicando técnicas de hacking que permitan la detección de vulnerabilidades previas a un ciberataque real.

En otras palabras, la seguridad ofensiva hace uso de las herramientas, técnicas y metodologías que utilizaría un cibercriminal, con el fin de detectar vulnerabilidades estando un paso por delante a un intento de intrusión futuro y en caso de sufrir una intrusión disponer de un plan de contingencia, saber como responder y mantener bajo control la situación.

Nuestro equipo de Auditores pondrá a prueba la seguridad de las organizaciones simulando un ataque real desde diferentes ámbitos.
En la Seguridad Ofensiva existen 3 modalidades de auditoria según alcance que permita el proyecto:

Los verdaderos hackers siguen un cierto conjunto de reglas éticas, que les impiden lucrarse o causar daño en sus actividades

- Kevin Mitnick

Análisis de Vulnerabilidades

Este tipo de auditoria tiene como objetivo evaluar las debilidades que puedan existir en un determinado sistema, aplicación o software que pudiera afectar a su integridad durante su vida útil. Con este servicio se determina el nivel de seguridad en el que se encuentra la empresa y como puede llegar a afectar estas vulnerabilidades a la continuidad de negocio.

Según entorno

El análisis variará dependiendo del entorno donde realicemos las pruebas.

Interno

El análisis de Vulnerabilidades interno, es el que se realiza desde la red interna del cliente, su propia intranet, en sus oficinas o mediante una VPN.

Externo

El análisis de Vulnerabilidades externo, es el que se realiza desde el exterior de la red, desde internet.

Pentesting

El pentesting está enfocado a la realización de pruebas de penetración, atacando a los sistemas de información o a la propia organización.

Estas pruebas tienen la finalidad de descubrir cualquier tipo de vulnerabilidad que pudiera afectar al entorno y tener las bases que permitan prevenir este tipo de ataques.

Para la realización de este tipo de auditorías, nos apoyamos en metodologías entre las que destacamos OWASP, OWASP Mobile, OWISAM, OpenSAMM, OSSTMM, OSINT, entre otras. Adicionalmente, nos basamos en el framework CVSS con el que establecemos las métricas de las características, impacto y severidad de las vulnerabilidades detectadas.

SEGÚN INFORMACIÓN

CAJA BLANCA

El auditor conoce información sobre la infraestructura, aplicación o sistemas que debe atacar, se dispone de un usuario con permisos limitados y, en algunos casos, se tendría acceso al código fuente. Se realiza en las oficinas del cliente o mediante VPN proporcionada por el cliente.

Ej: Empleado desleal, empleado que quiere dañar la reputación de la empresa.

CAJA GRIS

El auditor conoce información parcial sobre la infraestructura, aplicación o sistema que debe atacar. Esta modalidad de Pentesting se trata de una mezcla de las otras dos.

CAJA NEGRA

El auditor no conoce información alguna de la infraestructura, aplicación o sistemas que debe atacar. Únicamente el nombre de la empresa y el alcance definido.

Ej: Ciberdelincuente o empresa de la competencia que quiere dañarle o hacerse con información importante de sus clientes.

SEGÚN ENTORNO

El pentesting al igual que el análisis de vulnerabilidades, variará dependiendo del entorno donde realicemos las pruebas.

Interno

El análisis de Vulnerabilidades interno, es el que se realiza desde la red interna del cliente, su propia intranet, en sus oficinas o mediante una VPN

Externo

El análisis de Vulnerabilidades externo, es el que se realiza desde el exterior de la red, desde internet

Tipos de Pentesting

Infraestructura
Web/Web App
Móvil

Hacking Ético / Red Team

Cuando hablamos de realizar un “Hacking ético” nos referimos a realizar un pentesting que abarca absolutamente TODO. O, dicho de otro modo, no hay un objetivo determinado, todo es explotable y no hay limitación más allá de la pactada con el cliente para la realización de las pruebas, en la que se pueden excluir algún tipo de pruebas.

En ejercicios de este tipo se simula el comportamiento de un ataque real realizado por un grupo cibercriminal que tiene el objetivo de comprometer la organización en su totalidad haciendo uso de técnicas propias de bandas cibercriminales organizadas.

Este tipo de pruebas son los que están más a la vanguardia en cuanto a seguridad ofensiva, haciendo uso de vectores de ataque poco conocidos o incluso diseñando nuevos vectores para poner a prueba las defensas de las mejores organizaciones.

La duración de estos ejercicios suele variar entre unas pocas semanas y varios meses y son pactados en el alcance del proyecto. En resumidas cuentas, un Hacking ético aporta el mayor valor para el cliente en cuestiones de auditoria de seguridad técnica, teniendo como objetivo la toma del control de la organización bajo cualquier concepto e incluso persistiendo en la red hasta la finalización del ejercicio.

TIPOLOGÍA
ANÁLISIS DE VULNERABILIDADES
PENTESTING
ETHICAL HACKING / RED TEAM
OBJETIVO PRINCIPAL
Enumerar vulnerabilidades conocidas
Descubrir y enumerar vulnerabilidades en los procesos de negocio
Obtener el control de la organización bajo cualquier concepto
METODOLOGÍA
Sin metodología
OWASP, OSSTMM
Uso de varias metodologías, y metodologías propias de cada equipo
REALIZADO POR
Normalmente hecho por personal interno con credenciales y accesos privilegiados. No es necesario un alto conocimiento técnico.
Auditoria de seguridad realizada por personal especializado. Con un alto nivel técnico
Equipo de expertos en seguridad ofensiva, simulando una organización cibercriminal especializada
VALOR PRINCIPAL
Detectar sistemas y aplicaciones con vulnerabilidades que puedan ser comprometidas
Identificar vulnerabilidades que pongan en riesgo la seguridad de los sistemas de información. Reducir y mitigar los riesgos derivados
Evaluación e identificación de vulnerabilidades
INFORME
Informe técnico comprensivo donde se numeran todas las vulnerabilidades identificadas, ranking de vulnerabilidades por riesgo y tareas de remediación recomendadas
Informe técnico y ejecutivo de las vulnerabilidades, incluyendo vectores de ataque y ataques satisfactorios, Ranking de vulnerabilidades por riesgo y tareas de remediación recomendadas
Informe técnico y ejecutivo de los vectores de ataque usados en la organización, pruebas de ingeniería social, nivel de concienciación de los empleados e informes de debilidades de la infraestructura de seguridad. Nivel de impacto en el negocio, vectores de ataque satisfactorios e información exfiltrada durante la auditoria, nivel de acceso obtenido. enumeración de mayor riesgo y Tareas de remediación por prioridad.

SAST y DAST

Las pruebas de seguridad de aplicaciones estáticas son un conjunto de tecnologías enfocadas al análisis del código fuente de la aplicación y los binarios para las condiciones de codificación y diseño que son indicativas de vulnerabilidades de seguridad. Las soluciones SAST analizan una aplicación desde el código fuente en un estado que no se ejecuta.

En este servicio el cliente nos proporciona el código fuente a analizar y se realizan tanto pruebas manuales (revisando el código, línea por línea manualmente) como automatizadas.

Mediante el uso de software especializado en análisis estático de código, se detectan debilidades en el código fuente aportado. Una vez finalizado, se entrega un informe al cliente con los defectos encontrados en él código y recomendaciones de mejora.

Como plus adicional nuestro equipo de desarrollo y calidad examinará la calidad y fiabilidad del código fuente proporcionado, aportando las recomendaciones necesarias.