|
Test de Intrusión
El test de
intrusión es el servicio "estrella" de PENTEST®
. "PENTEST" es el acrónimo anglosajón
de "Penetration Testing".
Los Tests de Intrusión
son nuestra especialidad, nuestra línea principal de
negocio. Pocas empresas en Europa han alcanzado un nivel tan
exquisito y profesional en esta disciplina. Gobierno, ministerios,
banca, aseguradoras y entidades financieras que operan con
activos de información críticos solicitan habitualmente
nuestros servicios de auditoría.
LA DIFERENCIA
PenTest basa su éxito
en la recluta para cada tipo de proyecto de los mejores "Pen-Testers"
existentes en la problemática a auditar. Una vez seleccionados,
forma un equipo de auditores o "Tiger Team" que
pone al servicio del cliente. Normalmente los "Tiger
Team" de "PENTEST" no solo son los mejores,
sino también los más motivados pues trabajan
a partir de la propia libertad de sus conocimientos y experiencia
y de la que concede Pentest para el desarrollo de su función
profesional.
Nuestra filosofía de trabajo:
1.- Dedicación
absoluta: Cada Tiger-Team tiene un proyecto asignado.
El mismo equipo nunca simultanea dos actuaciones de envergadura.
2.- Máxima calidad: los controles de
calidad de PenTest son escrupulosos durante toda la
fase de ejecución del servicio: la preparación,
el desarrollo y la presentación de resultados.
3.- Experiencia real : que todos nuestros consultores
poseen. La experiencia -contrastable- es un valor imprescindible
para formar parte de un equipo de PenTest.
4.- Efectividad. Los clientes que ya han probado nuestros
servicios son nuestra mejor referencia. No nos limitamos a
presentar informes de "supuestas" y "teóricas"
vulnerabilidades, sino que llevamos a la práctica la
explotación real de dichas vulnerabilidades. Esto tiene
un efecto didáctico importante y además sirve
para ponderar de un modo palpable la criticidad de los fallos
reportados.
5.- Metodología estandarizada: Nuestros pentest
son artesanales, pero se basan en metodología OSSTMM
e ISSAF. Esto le permite al cliente comparar los resultados
con tests anteriores.
DESCRIPCIÓN DEL SERVICIO
En los tests de intrusión
se persiguen fundamentalmente los siguientes objetivos:
Enumerar y aprovechar, con el máximo
grado de fiabilidad posible, todas las debilidades
de los sistemas analizados:
Detección de vulnerabilidades conocidas (problemas
de seguridad reportados y reconocidos por los fabricantes
de software, sistemas operativos o hardware)
Problemas que aunque no son reconocidos públicamente
por los fabricantes son perfectamente conocidos por todos
los expertos en seguridad telemática.
Filtrar, en la medida de lo posible, los falsos
positivos en los problemas de seguridad más relevantes
que se hayan detectado.
Determinar la viabilidad de un ataque de aquellos fallos que no se
puedan aprovechar directamente:
Disponibilidad o no de exploits públicos
Dificultad en la ejecución de los ataques
-programación de exploits, preparación de
operativos, etc.-
Tiempo estimado en la realización de dichos
ataques, etc.
Localizar errores de configuración de sistemas
o aplicaciones, detectables remotamente, que facilitan la
acción intrusiva de un atacante.
Identificar vulnerabilidades desconocidas hasta el
momento (o no reportadas públicamente) mediante el
análisis manual de los sistemas del cliente. En caso
de descubrirse algún nuevo bug , el cliente es notificado
inmediatamente, antes incluso que el propio fabricante (se
avisa al fabricante bajo autorización expresa del
cliente)
Realizar un informe claro, detallado y lo más
práctico posible.
Presentar el estado de la seguridad de los sistemas
auditados desde el punto de vista de un atacante externo
Se entregará un completo análisis de
todos los posibles problemas detectados (centrándose
principalmente en aquellos puntos críticos que pueden
ser fácilmente corregidos por el propio cliente)
En caso de ser necesario: realización de una serie
de propuestas adicionales sobre mejoras en las actuales
medidas de seguridad.
|
