Combinamos el uso de las mejores metodologías internacionales para la ejecución de pruebas de hacking ético. El objetivo de este servicio es simular las acciones que puede ejecutar un individuo o grupo malintencionado, y develar los fallos de seguridad que puede tener su infraestructura tecnológica, su red y sus aplicaciones. Dejando evidencia de los escenarios de riesgo encontrados, su criticidad y el nivel de penetración logrado.
Algunas de nuestras metodologías:
Metodología de Hacking Ético propuesta por el EC-Council
Guía del National Institute of Standards and Technology – NIST SP 800-115
Metodología Open Source Security Testing Methodology Manual – OSSTMM
Guía de Pruebas de Seguridad Para Aplicaciones WEB del proyecto OWASP
La ejecución de las pruebas de hacking ético se divide en cuatro fases principales:
En la etapa inicial de las pruebas se realiza el reconocimiento de tecnologías presentes en los activos objetivo y los aspectos generales de su funcionamiento, con el fin de establecer lo que será la estrategia de ataque para cada uno de ellos.
Posteriormente, se ejecuta el escaneo de vulnerabilidades utilizando múltiples herramientas especializadas con el fin de obtener un inventario de vulnerabilidades conocidas. Las pruebas ejecutadas contemplan múltiples vectores de ataque con el fin de conseguir comprometer al sistema objetivo.
Una vez identificadas las vulnerabilidades, se procede con la fase de explotación en la cual se utilizan herramientas y scripts específicos para aprovechar las vulnerabilidades identificadas. Bajo circunstancias normales no se realiza la explotación de vulnerabilidades que conduzcan a la indisponibilidad de alguna aplicación o servicio, a menos que de común acuerdo con el Cliente se considere importante realizarlo.
Finalmente, al obtener acceso a los recursos de los activos informáticos se toman las evidencias a ser incluidas en el informe como prueba del éxito de la explotación.
Entregables del servicio:
Informe técnico de resultados.
Informe ejecutivo de resultados.
Presentación de resultados (Técnico y ejecutivo)
Incluye retest.