Simulamos ataques del mundo real para proporcionar una evaluación puntual de las vulnerabilidades y amenazas a su infraestructura de red. La metodología se basa en simular un ataque de un outsider (externo) y/o un insider (empleado o tercero) y analizar los resultados de las 5 etapas de un ataque generando un informe técnico con valorización de riesgo e implementación de soluciones.

Evaluamos la seguridad de las aplicaciones basadas en la web utilizando herramientas y procedimientos de los principales estandares de testeo: Manual de Metodología de Pruebas de Seguridad de Código Abierto (OSSTMM) y el Estándar de Ejecución de Pruebas de Penetración (PTES) y Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP), todo un marco integral para evaluar la seguridad de las aplicaciones basadas en la web.

A medida que el uso generalizado de aplicaciones móviles continúa creciendo, los consumidores y las empresas se enfrentan a nuevas amenazas en torno a la privacidad, la integración insegura de aplicaciones y el robo de dispositivos. Se analizan las vulnerabilidades de la API y la web para examinar el riesgo de la aplicación en una plataforma móvil. Aprovechamos las metodologías Open Web Application Security Project (OWASP), Open Source Security Testing Methodology Manual (OSSTMM) y Penetration Testing Execution Standard (PTES) para evaluar a fondo la seguridad de las aplicaciones móviles.

Los dispositivos compatibles con Internet abarcan desde dispositivos y sistemas de Internet de las cosas (IoT) comerciales hasta sistemas de control industrial (ICS). Nuestras pruebas van más allá de las pruebas básicas de dispositivos ya que incluye considerar todo el ecosistema del objetivo, cubriendo áreas como canales y protocolos de comunicaciones, cifrado y uso de criptografía, interfaces y API, firmware, hardware y otras áreas críticas.

Los usuarios malintencionados suelen tener más éxito a la hora de vulnerar una infraestructura de red a través de la ingeniería social que a través de la explotación tradicional de redes/aplicaciones. Para ayudarle a prepararse para este tipo de ataque, utilizamos una combinación de metodologías humanas y electrónicas para simular ataques. Las primeras consisten en hacerse pasar por una persona de confianza en un intento de obtener información y/o acceder a la información o a la infraestructura del cliente. Los ataques electrónicos consisten en ataques de phishing complejos diseñados teniendo en cuenta objetivos organizacionales específicos y rigor. Personalizaremos una metodología y un plan de ataque segun las necesidades de su organización.

¿Quiere conocer las capacidades de DEFENSA, DETECCIÓN y RESPUESTA de su organización? desarrollamos un modelo de ejecución de ataques personalizado para emular adecuadamente las amenazas a las que se enfrenta su empresa. Esta simulación incluye comportamientos y tácticas, técnicas y procedimientos de los atacantes del mundo real, lo que le permite medir la verdadera eficacia de su programa de seguridad cuando se enfrenta a atacantes persistentes y determinados.

Implementamos un examen de las capacidades de un sistema o aplicación. Incluye la habilidad de sus procedimientos y controles de seguridad para resistir un ataque. Reconoce, mide y clasifica las vulnerabilidades de un equipo, red y sus canales de comunicación. Algunas actividades:

Active assesment → network scanner para encontrar host, servicios y vulnerabilidades.

Pasive assesment → sniffing del trafico de red para descubrir sistemas activos, servicios de red, aplicaciones y vulnerabilidades conocidas.

Host based assesment →vulnerabilidades de un servidor, dispositivo, workstation…

Network y wireless assesment → escanea las vulnerabilidades de cada una de esas infraestructuras de comunicaciones