Skip to main content
Ciberseguridad

Seguridad
ofensiva

Decía Sun Tzu que la mejor defensa es un buen ataque. Escribió “El arte de la guerra” en el siglo VI a.C y aún no sabía que muchas guerras futuras se librarían en una realidad digital.

La seguridad ofensiva es una variante de la ciberseguridad que consiste en intentar atacar las medidas de seguridad de tu organización como lo haría un ciberdelincuente y de esa manera detectar las vulnerabilidades antes de que sucediera de verdad, poniéndoles remedio con mucha antelación.

Auditech te ayudará a estar un paso por delante de un intento de intrusión y, en el caso de que sucediera, tu empresa dispondría de un plan de contingencia para saber cómo responder y mantener bajo control la situación.

Los verdaderos hackers siguen un cierto conjunto de reglas éticas, que les impiden lucrarse o causar daño en sus actividades

- Kevin Mitnick

En la seguridad ofensiva existen tres modalidades de auditoría según las capacidades de tu empresa:

Análisis de Vulnerabilidades

Este tipo de auditoría tiene como objetivo evaluar las debilidades que puedan existir en un determinado sistema, aplicación o software que pudiera afectar a su funcionamiento e integridad durante su vida útil.

Con este servicio determinamos el nivel de seguridad que tiene tu empresa y cómo, las vulnerabilidades que encontremos, pueden afectar a la salud de tu negocio.

Es importante remarcar que el análisis de vulnerabilidad variará dependiendo del entorno donde realicemos las pruebas:

Red Interna Auditech.
Interno

El que se realiza desde tu red interna, tu propia intranet, en tus oficinas o mediante una VPN.

Red Externa Auditech.
Externo

El que se realiza desde fuera gracias al internet público.

Infographic Auditech Seguridad Ofensiva

Pentesting

El pentesting está enfocado a la realización de pruebas de asalto, atacando a los sistemas de información o a la propia organización.

Estas pruebas tienen la finalidad de descubrir cualquier tipo de vulnerabilidad que pudiera afectar al entorno interno o externo de tu empresa y tener las bases que permitan prevenir este tipo de ataques

Para la realización de este tipo de auditorías nos apoyamos en muchas metodologías como OWASP, OWASP Mobile, OWISAM, OpenSAMM, OSSTMM, OSINT entre otras.

Además, nos basamos en el framework CVSS con el que establecemos las métricas de las características, impacto y severidad de las vulnerabilidades detectadas.

Recuerda que podemos aplicar esta técnica para probar tu infraestructura, la web o web app y en móviles.

El pentesting se puede enfrentar desde dos áreas distintas:

  • Según la información de la que disponemos.
  • Según el entorno
OWASP LOGO Auditech v1
OSSTMM LOGO Auditech V1
cvss LOGO Auditech V1

SEGÚN INFORMACIÓN

WHITE HAT 1

CAJA BLANCA

Nuestro auditor conoce información sobre la infraestructura, aplicaciones o sistemas que debe atacar, dispone de un usuario con permisos limitados y, en algunos casos, tendría acceso al código fuente. Se realiza en tus instalaciones o mediante VPN proporcionada por tu organización para lograr la máxima seguridad.

Por ejemplo se podría usar en caso de sufrir las acciones de un empleado desleal o que quiere dañar la reputación de la empresa.

GREYHAT AUDITECH 1

CAJA GRIS

Nuestro auditor conoce información parcial sobre la infraestructura, aplicaciones o sistemas que debe atacar, por ejemplo, tiene mapas de red pero no usuario, o un usuario con bajos privilegios o, sencillamente, empezamos por un caja negra y continuamos en un caja blanca donde descubriremos las vulnerabilidades más profundas y recónditas.

BLACKHAT AUDITECH

CAJA NEGRA

Nuestro auditor no conoce nada de la infraestructura, aplicaciones o sistemas que debe atacar. Únicamente el nombre de la empresa y el alcance que se haya definido con anterioridad con nuestros consultores de ciberseguridad.

Por ejemplo, esta variante se usaría si el ciberdelincuente o empresa de la competencia quiere dañarte o hacerse con información importante de manera ilícita.

SEGÚN ENTORNO

INTERNO

El análisis de Vulnerabilidades interno, es el que se realiza desde la red interna del cliente, su propia intranet, en sus oficinas o mediante una VPN

EXTERNO

El análisis de Vulnerabilidades externo, es el que se realiza desde el exterior de la red, desde internet

TIPOS DE PENTESTING

Infraestructura
Web/Web App
Móvil

¿Simulamos un ciberataque?

Hacking Ético /
Red Team

Cuando hablamos de aplicar hacking ético nos referimos a realizar un pentesting que abarca absolutamente TODO.

No hay un objetivo determinado, todo es susceptible de atacarse y no hay limitación más allá de la pactada contigo previamente para la realización de las pruebas, en la que puedes excluir algunos tipos.

En los ejercicios de estas características simulamos un ataque realizado por un grupo cibercriminal que tiene el objetivo de comprometer gravemente a tu organización haciendo uso de las técnicas más sofisticadas de ciberataques.

Este tipo de pruebas son las que están a la vanguardia en cuanto a seguridad ofensiva, haciendo uso de técnicas poco conocidas o incluso teniendo que diseñar nuevas aproximaciones para poner a prueba las defensas de las organizaciones más seguras.

La duración de estas pruebas suele variar entre unas pocas semanas a varios meses, aunque esos plazos los pactaremos con anterioridad con el alcance del proyecto.

El hacking ético es la joya de la corona en cuestiones de auditoría de seguridad técnica, porque nuestro equipo trabaja sin descanso para tomar el control de tu organización usando todos los recursos y técnicas conocidas, persistiendo en la red hasta que se consiga o se demuestre que tu empresa está armada hasta los dientes en términos de ciberseguridad.

Infographic Auditech Seguridad Ofensiva.SAST DAST.V1

SAST Y DAST

Esas siglas pertenecen a pruebas de seguridad de aplicaciones estáticas.

Son un conjunto de tecnologías y técnicas enfocadas al análisis del código fuente y los binarios de la aplicación para estudiar las condiciones de desarrollo y diseño que puedan derivar en vulnerabilidades de seguridad.

Las soluciones SAST analizan una aplicación desde el código fuente en un estado que no se ejecuta.

En este servicio nos proporcionas el código fuente a analizar y realizamos tanto pruebas manuales, revisando el código línea por línea manualmente, como automatizadas.

Una vez finalizado, te entregaremos un informe pormenorizado con los defectos que hemos encontrado en el código y las recomendaciones de mejora que te proponemos.

Además, nuestro equipo de desarrollo examinará la calidad y fiabilidad del código fuente aportándote las recomendaciones necesarias para que lo mejores.

Infographic Auditech Seguridad Ofensiva.SAST DAST.V1 1

Ya hemos hablado mucho,

Ahora te toca a ti hablar con nosotros y contarnos en qué podemos ayudarte.