Servicios de consultoría Security Advisor, Análisis de Vulnerabilidades

By octubre 21, 2016Noticias

En temas de Seguridad en general, y en particular en Seguridad de la Información, es fundamental el concepto de “Conciencia Situacional” (o “Situational Awareness”) por el cual podemos comprender a los objetos, eventos, gente, estados de los sistemas, interacciones, condiciones ambientales y cualquier otro tipo de factores de una situación específica que puedan afectar al desarrollo de las tareas humanas, bien sean complejas o dinámicas.
En resumen, “saber lo que ocurre para poder definir qué se debe hacer”.
Con el objetivo de poder establecer el estado de la Seguridad TI en que se encuentra una Organización, ya sea con foco en su totalidad o en determinado proceso de negocio, tecnología o plataforma, en Security Advisor hemos definido un portafolio de Servicios de Consultoría que permitirá:
1) Evaluar el estado actual de Seguridad de la Información
2) Definir planes de acción
Dentro de nuestro portafolio de Servicios de Consultoría orientado a Análisis de Vulnerabilidades, encontramos:
Servicio: Evaluación de Seguridad de Infraestructura (Network Infrastructure Security Assessment)
Objetivo: Listar las vulnerabilidades que presentan los sistemas y activos de información.
Alcance: Revisión de seguridad automatizada sin privilegios con mínimo nivel de verificación manual de las vulnerabilidades detectadas, realizada desde la perspectiva de un atacante con el nivel de habilidad basado en herramientas automáticas.
Servicio: Pruebas de Penetración (Network Infrastructure Penetration Test)
Objetivo: Identificar las vulnerabilidades de los sistemas, su posible explotación y emitir las recomendaciones para poder mejorar la salvaguarda de los sistemas y activos de información.
Alcance: Test de seguridad técnico e intensivo sin privilegios con un elevado porcentaje de actividad, verificación (falsos positivos) y revisión manual por el equipo de Security Testers, realizado desde la perspectiva de un atacante con el nivel de habilidad de un hacker / cracker.
Servicio: Auditoría de Seguridad de Aplicaciones web (Web Application Security Audit)
Objetivo: Identificar tanto las vulnerabilidades Top 10 OWASP como las más comunes en el desarrollo e implantación de aplicaciones basadas en plataforma Web e informar de las recomendaciones a realizar para mitigar el riesgo asociado y corregir las vulnerabilidades detectadas.
Alcance: Auditoría técnica e intensiva de seguridad, con o sin privilegios, de una aplicación basada en plataforma web y sus componentes asociados, realizado desde la perspectiva de un atacante con el nivel de habilidad de un hacker / cracker.
Servicio: Pruebas de Intrusión y Explotación de Vulnerabilidades (Security Intrusion and Exploitation Test)
Alcance: Intrusión controlada en la que se aplican las mismas técnicas y herramientas que utilizan los hackers / crackers. Esta técnica se conoce como Hacking Ético.
Objetivo: Lograr la intrusión a los sistemas y la explotación de las vulnerabilidades, utilizando distintas técnicas de evasión a controles técnicos y de gestión.
Para poder definir el alcance de las actividades a realizar, habitualmente requerimos información relacionada a:
Características de tamaño y complejidad de las instalaciones vinculadas a internet
Discriminación de servicios publicados y asignados a la infraestructura objetivo del análisis
Alojamiento de la infraestructura objetivo del Análisis (propio, terceros, híbrido)
Disponibilidad de información sobre los entornos a analizar.
Dentro de las definiciones que se realizan en conjunto con el cliente, y de acuerdo a sus necesidades, es la modalidad de las pruebas:
Caja Blanca
El Security Tester tiene pleno conocimiento del objetivo. Dicha información es entregada por el cliente antes de iniciar las pruebas.
Por su parte, el cliente tiene pleno conocimiento de las tareas a realizar por el Security Tester, cómo y cuándo.
Caja Gris
El Security Tester solo conoce información parcial del objetivo, dicha información será seleccionada por el cliente.
El cliente tiene conocimiento de qué tipo de prueba se realizará y cuándo.
Caja Negra
El Security Tester no cuenta con ninguna información del objetivo. Como si se tratara de un atacante externo a la organización
El cliente tiene conocimiento de qué tipo de test se realizará y cuándo.
Como resultado final del trabajo, el cliente obtiene:
Informe Ejecutivo que tiene como objetivo la presentación de resultados a las áreas gerenciales de la organización.
Informe Técnico el cual incluye expuestos, propuesta de soluciones, recomendaciones.
La flexibilidad de la metodología aplicada, facilita que el cliente pueda solicitar informes con alguna característica o foco particular.
De acuerdo a la disponibilidad de accesos y requerimiento del cliente, las actividades asociadas a la determinación de vulnerabilidades y posterior explotación, podrán ser ejecutadas en forma remota, desde los Centros de Operación de Security Advisor o desde las oficinas del cliente.