Test de Penetración
JAYMON SECURITY - CyberSecurity

Test de Penetración

El Test de Penetración consiste en pruebas de ataques informáticos controladas bajo entornos seguros, con la finalidad de poder ver las posibles vulnerabilidades que por otros medios no se pueden detectar.

Las pruebas de penetración podrán ser realizadas a petición del cliente en páginas y plataformas web, redes, servidores, equipos, dispositivos móviles, equipos industriales, y demás sistemas informáticos que el cliente detalle a nuestros expertos.

Todos nuestros Test de Penetración incluyen una auditoría intensa y profunda de todo lo realizado, reflejado en dos informes; uno técnico y otro ejecutivo.

Enviaremos a nuestros mejores expertos para asegurar la ciberseguridad de su empresa.

Cuándo realizar un Test de Penetración

Muchas empresas y organizaciones contratan este servicio tras sospechar o saber que ya han sufrido un Ciberataque. Lo hacen con la finalidad de obtener más información sobre las amenazas a sus sistemas para reducir el riesgo de ataques adicionales. No obstante, una organización también puede ser proactiva y querer saber de antemano sobre cualquier amenaza que enfrenta su organización en su conjunto o un sistema nuevo antes de que entre en funcionamiento. Los escenarios más comunes incluyen lanzamientos de aplicaciones, cambios o actualizaciones importantes y regulaciones de cumplimiento.


Las pruebas de penetración o intrusión simulan un ataque real contra su infraestructura en un entorno controlado, lo que permite a nuestros consultores evaluar la capacidad de su sistema y proporcionarle recomendaciones sobre cómo mejorar su defensa contra vulnerabilidades tecnológicas que pueden conducir a intrusiones, fraude e interrupciones del servicio.

Detalles de un Test de Penetración

En este tipo de servicios no se cuenta con el código fuente y normalmente no se conoce nada acerca de la infraestructura que lo soporta, con la finalidad de replicar las condiciones de un atacante real.

 

En un PEN-Test completo se realiza la comprobación de todas las vulnerabilidades según una metodología propia desarrollada  a través de OWASP/OSSTMM/PTES. Se entrega un informe ejecutivo y otro técnico con la descripción de las vulnerabilidades detectadas y explotadas, así como un resumen de recomendaciones.


Se realizan dos informes: uno ejecutivo y otro técnico  con la descripción de las vulnerabilidades detectadas y explotadas, así como sus posibles mitigaciones. Estos informes recogen el alcance y objetivos del ejercicio, fase de recogida de información, el modelado de amenazas,análisis de vulnerabilidades, validación de las vulnerabilidades, revisión de tráfico, explotación, post-explotación y recomendaciones.


Las pruebas que se realizan se denominan de “caja negra”.

Informes de un Test de Penetración

La entrega de una prueba de penetración es un informe detallado, que incluye todos los resultados de la prueba, así como las contramedidas y recomendaciones necesarias para asegurar su infraestructura de TI. Si es necesario, nuestro equipo también puede preparar una presentación de los resultados a su equipo de TI o equipo ejecutivo.


  1. Informe Ejecutivo: describe la postura de seguridad general e indica los elementos que requieren atención inmediata.
  2. Informe Técnico: describe las actividades realizadas para determinar las vulnerabilidades y los resultados de las actividades realizadas al atacar los sistemas de destino, incluidas las metodologías utilizadas.
  3. Vulnerabilidades y hazañas: lista detallada de las vulnerabilidades descubiertas, así como sus vulnerabilidades, enumeradas en orden de importancia.
  4. Explotación de las vulnerabilidades: lista detallada con las consecuencias de la explotación de vulnerabilidades encontradas, descartando así posibles falsos positivos.
  5. Recomendaciones: para optimizar la protección de los activos identificados en el informe, le proporcionaremos una serie de recomendaciones prácticas para fortalecer su postura de seguridad.
  6. Apéndice: se muestran las evidencias, capturas de pantalla u otros datos que ayudan a proporcionar un mayor contexto o aclaración sobre las vulnerabilidades detectadas

Pasos realizados en un Test de Penetración

En nuestros ejercicios cubrimos las siguientes fases:


  1. Interacciones previas a la contratación del servicio: nuestro equipo de gestión de proyectos se pondrá en contacto con el cliente mediante una vídeo llamada, conferencia web o reunión presencial, para revisar los detalles logísticos y tácticos que se requerirán a lo largo del servicio contratado.
  2. Recopilación de inteligencia: antes de realizar la ejecución de evaluación activa, nuestros analistas de seguridad recopilarán toda la información necesaria para realizar una evaluación exhaustiva. Dependiendo del tipo de evaluación, se pueden adoptar múltiples enfoques de recopilación de información, por ejemplo, recopilación de inteligencia de código abierto o recopilación de datos internos.
  3. Modelado de amenazas: el objetivo del ejercicio de modelado de amenazas es comprender el impacto de las amenazas técnicas relacionadas con la red para el negocio. Este ejercicio de alto nivel no es tan completo como una evaluación exhaustiva del riesgo de amenazas, pero el perfil resultante nos ayudará a garantizar que las pruebas técnicas se ejecuten conforme a aquellas amenazas que puedan tener un alto impacto en las operaciones comerciales.
  4. Análisis de vulnerabilidad: durante el análisis de vulnerabilidad, realizaremos escaneos de vulnerabilidades manuales y/o automatizados para identificarlas en el entorno. Luego, realizaremos un ejercicio de validación de escaneo para identificar falsos positivos y elementos que requieren validación manual. El tráfico de red capturado a través de herramientas de recopilación pasiva se revisa para detectar fugas de información mediante protocolos de texto claro. Una vez que se ha mapeado el entorno y se han creado los perfiles de dispositivos individuales, los analistas de seguridad comienzan la búsqueda de vulnerabilidades que puedan comprometer el sistema o que puedan permitir la divulgación de información que posteriormente ayude a comprometer otro sistema.
  5. Explotación: durante la fase de explotación, realizaremos la prueba de penetración real y atacaremos los sistemas si existe un método de explotación potencialmente viable. Como cada compromiso es diferente, identificar una metodología de ataque exacta antes de esta fase del compromiso no es práctico.
  6. Post explotación: el objetivo de la fase posterior a la explotación es determinar el valor de los activos comprometidos e intentar mantener el control de la máquina para su uso posterior. Identificaremos y documentaremos datos confidenciales, identificaremos ajustes de configuración, canales de comunicación y relaciones con otros dispositivos de red que se pueden utilizar para obtener un mayor acceso a la red, y configuraremos uno o más métodos de acceso a la máquina en un momento posterior. Los métodos de post-explotación incluyen análisis de infraestructura, objetivos de alto valor / perfil y exfiltración de datos. La fase finaliza con un proceso de limpieza para eliminar todos los rastros de las pruebas de penetración, como puertas traseras o rootkits.
  7. Informes: nuestro equipo de expertos preparará un informe detallado de las pruebas de penetración y se lo entregará al cliente. Si se descubren vulnerabilidades graves durante el curso del ejercicio, proporcionaremos un informe provisional.


              El éxito de una prueba de penetración dependerá de la correcta gestión del proyecto. En Jaymon Security, hemos definido procesos y metodologías de gestión de proyectos para garantizar la entera satisfacción del cliente. Nuestra oficina de gestión de proyectos está dirigida por profesionales certificados de gestión de proyectos (PMP) ® , que tienen la experiencia y los conocimientos necesarios para gestionar proyectos de pruebas de penetración. Junto con nuestros clientes, se asegurarán de ejecutar el servicio según los objetivos y dentro del presupuesto, gestionar sus expectativas y garantizar resultados de calidad al final del proyecto.


              CONSULTORES

              CIBERSEGURIDAD


              No dude en realizarnos su consulta sobre Ciberseguridad. En Jaymon Security contamos con los mejores expertos en materia de Ciberseguridad e Inteligencia seleccionados muy metódicamente a través de exigentes pruebas de capacitación.

              Contáctenos

               

              Email: info@jaymonsecurity.com


              Estamos en:


              28224 Pozuelo de Alarcón (Madrid) 

              50071 Zaragoza (Aragón)

              31001 Pamplona (Navarra)

               

              ©2020 JAYMON SECURITY S.L. Copyright. All Rights Reserved

              Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información

              Leer más
              Aceptar