Informar de un incidente

Seleccionar página

Pruebas de Penetración

Pruebas avanzadas por expertos certificados por CREST

Las pruebas de penetración, también conocidas como pruebas de pen test, son un ataque simulado en el mundo real en una red, aplicación o sistema que identifica debilidades y vulnerabilidades. Las pruebas de penetración (pruebas de pen) son parte de un enfoque reconocido en la industria para identificar y cuantificar el riesgo. Intentan activamente “explotar” las vulnerabilidades y exposiciones en la infraestructura, aplicaciones, personas y procesos de una empresa. A través de la explotación, LRQA Nettitude es capaz de proporcionar un contexto sobre la vulnerabilidad, el impacto, la amenaza y la probabilidad de una violación en un activo de información.

A menudo es posible para un pen tester tener acceso remoto a sistemas operativos, lógica de aplicaciones y registros de bases de datos. A través de la explotación activa de sistemas directos e interconectados, LRQA Nettitude puede proporcionar orientación estratégica sobre el riesgo y consejos personalizados sobre contramedidas.

Solicite un presupuesto gratuito

Beneficios de las pruebas de penetración:

Administra tu riesgo: una prueba de penetración identifica debilidades en tu entorno y te permite solucionarlas antes de que un adversario las aproveche.

Protege a clientes, socios y terceros: muestra a sus clientes que se toma la ciberseguridad en serio, y construye confianza y una buena reputación, que está haciendo todo lo posible para mitigar los riesgos de una brecha cibernética.

Le permite entender el entorno: una prueba de penetración le permite comprender lo que ocurre en el entorno que le rodea y le ayuda a entender los tipos de ciberataques a los que puede enfrentarse su organización.

Identifica puntos débiles que no sabía que existían: las pruebas de penetración buscan las posibles puertas traseras de su red que existen sin que usted lo sepa.

Fundamentos de las pruebas de penetración

Si es nuevo en el mundo de las pruebas de penetración y desea obtener una comprensión sencilla de lo que es, asegúrese de consultar nuestros recursos de aprendizaje para ayudarle a empezar.

CREST Penetration Test

¿Qué acreditaciones debo buscar en un proveedor de pruebas de penetración?

Como líder en la industria de las pruebas de penetración, LRQA Nettitude tiene las acreditaciones más codiciadas en todo el mundo:

 

  • LRQA Nettitude es miembro activo del Consejo de Probadores Éticos de Seguridad Registrados (CREST).
  • LRQA Nettitude es un orgulloso miembro del esquema NCSC del gobierno del Reino Unido. Nuestro equipo de probadores incluye Líderes de equipos CHECK en infraestructura y aplicaciones web, así como Miembros de equipos CHECK.
  • LRQA Nettitude es una organización certificada ISO27001 y realiza todos los compromisos externos de pruebas desde un entorno rigurosamente controlado. Los consultores de seguridad de LRQA Nettitude tienen calificaciones CISSP y muchos también tienen acreditaciones CISA y CISM. Todos nuestros probadores han sido verificados exhaustivamente.
  • También somos un proveedor acreditado de CBEST y un proveedor aprobado de servicios de prueba STAR. Además, el SOC 24/7 de LRQA Nettitude está acreditado para proporcionar servicios SOC CREST.
  • El equipo de pruebas de seguridad de LRQA Nettitude incluye Probadores de infraestructura certificados por CREST (CCT Inf), Probadores de aplicaciones web certificados por CREST (CCT App) y Probadores registrados por CREST (CRT).
  • Además, nuestro equipo está compuesto por consultores reconocidos en la industria y autores publicados que han sido reconocidos por los medios y la comunidad de ciberseguridad.

¿Cuáles son los diferentes tipos de pruebas de penetración?

Hay pruebas de penetración internas y externas, dependiendo de si el probador accede al entorno físico o al entorno accesible desde Internet.

Los tests de penetración tradicionalmente se pueden ejecutar internamente dentro de una organización o externamente desde Internet. El punto de vista adecuado para las pruebas debe ser determinado por el enfoque de una organización en el riesgo. Además, los dos lugares para las pruebas no son mutuamente excluyentes. Las organizaciones con un fuerte enfoque en la gestión de riesgos suelen realizar pruebas tanto desde una perspectiva
interna como externa.

Prueba de penetración interna

Este tipo de prueba evalúa la seguridad a través de los ojos de un usuario interno, un trabajador temporal o un individuo que tiene acceso físico a los edificios de la organización.

Las pruebas de penetración interna se llevan a cabo dentro de una organización, a través de su red local (LAN) o a través de redes WIFI. Las pruebas observarán si es posible acceder a la información privilegiada de la empresa desde sistemas que están dentro de los
cortafuegos corporativos.

Los testers evaluarán el entorno sin credenciales y determinarán si un usuario con acceso físico al entorno podría extraer credenciales y luego escalar privilegios a los de un administrador o super usuario dentro del entorno.

Durante una prueba de penetración interna, el probador intentará acceder a datos sensibles, incluyendo PII, datos de tarjetas PCI, material de I+D y información financiera. También evaluarán si es posible extraer datos del entorno corporativo y evadir cualquier
dispositivo de DLP o registro para evaluar cualquier medida o controles que se hayan implementado.

Prueba de penetración externa

Este tipo de prueba evalúa la infraestructura de una organización desde fuera del cortafuegos del perímetro en Internet. Evalúa el entorno desde el punto de vista de un hacker de Internet, un competidor o un proveedor con información limitada sobre el entorno
de enfrentamiento a Internet.

Pruebas de penetración externas evaluarán los controles de seguridad configurados en los routers de acceso, firewalls, sistemas de detección de intrusiones (IDS) y cortafuegos de aplicaciones web (WAFS) que protegen el perímetro.

Las pruebas externas también brindarán la capacidad de evaluar los controles de seguridad para las aplicaciones que se publican a través de internet. LRQA Nettitude reconoce que cada vez hay más lógica en los servicios web para brindar funciones de extranet, comercio electrónico y gestión de la cadena de suministro a los usuarios de Internet. Como consecuencia, LRQA Nettitude presta especial atención a estos recursos y realiza evaluaciones granulares sobre su construcción y configuración, así como sobre su interacción con otras
fuentes de datos que se encuentran en los segmentos de su red protegidos.

¿Cuáles son las diferentes estrategias de pruebas de penetración?

Deje que LRQA Nettitude le guíe a través de las diferencias entre los servicios de pruebas de penetración en caja negra, caja blanca y caja gris.

¿Qué es la prueba en caja negra?

  • En una prueba en caja negra, el cliente no brinda a LRQA Nettitude información sobre su
    infraestructura, excepto una URL o IP, o en algunos casos, solo el nombre de la empresa.
  • LRQA Nettitude está encargado de evaluar el entorno como si fuera un atacante externo sin información sobre la infraestructura o la lógica de la aplicación que está probando. Las pruebas de penetración en caja negra brindan una simulación de cómo un atacante sin información, como un hacker de Internet, un crimen organizado o un atacante patrocinado por un estado nación, podría presentar un riesgo para el entorno.

¿Qué es la prueba en caja gris?

  • Una prueba en caja gris es una mezcla de técnicas de pruebas en caja negra y caja
    blanca.
  • En las pruebas en caja gris, los clientes brindan a LRQA Nettitude fragmentos de
    información para ayudar en los procedimientos de prueba. Esto resulta en una amplitud y profundidad adicional, junto con una cobertura de prueba más amplia que la caja negra. Las pruebas de penetración en caja gris brindan un enfoque ideal para los clientes que desean tener una evaluación efectiva de su postura de seguridad.

¿Qué es la Prueba de Caja Blanca?

  • En una prueba de caja blanca, LRQA Nettitude recibe información detallada sobre las
    aplicaciones e infraestructuras.
  • Es común proporcionar acceso a documentos de arquitectura y al código fuente de la aplicación.
  • También es habitual que LRQA Nettitude tenga acceso a una gama de diferentes
    credenciales dentro del entorno.
  • TEsta estrategia brindará una mayor seguridad de la lógica de la aplicación e
    infraestructura. Proporcionará una simulación de cómo un atacante con información (empleado, etc.) podría presentar un riesgo al entorno.

¿Cuál es el Proceso de Prueba de Penetración?

LRQA Nettitude tiene una metodología de prueba sólida que se extiende a través de las pruebas de infraestructura y aplicación. Aunque cada prueba de penetración está adaptada a las necesidades individuales de nuestros clientes, seguimos la misma metodología probada para mantener un conjunto de resultados consistente y reproducible.

  • Fase 1: Estudio del alcance
  • Fase 2: Reconocimiento y Enumeración
  • Fase 3: Mapeo e Identificación de Servicios
  • Fase 4: Análisis de Vulnerabilidades
  • Fase 5: Explotación de Servicios
  • Fase 6: Pivoteo
  • Fase 7: Informe y Debrief

Informes y Entregables de Pruebas de Penetración

Informe de Pruebas y Documentación

  • Recibirá un informe de gestión de alto nivel y un documento de revisión técnica detallado para cada compromiso.
  • Estos documentos destacarán las vulnerabilidades de seguridad e identificarán áreas para la explotación.
  • Además, proporcionarán orientación sobre la remediación, con un enfoque en las medidas preventivas.

Para acceder a un informe de gestión y técnico de muestra relacionado con su vertical de la industria, envíenos un correo electrónico.

Informe de la prueba

LRQA Nettitude asegura que todas las pruebas tengan un informe completo al final del compromiso.

Si es necesario, LRQA Nettitude puede realizar este informe cara a cara. Durante este proceso, proporcionaremos una presentación de vulnerabilidades críticas y de alto nivel junto con orientación sobre remediación y medidas preventivas.

Cuando no se requiere un informe cara a cara, LRQA Nettitude realiza informes a través de conferencia de video y WebEX. A través de este enfoque, aún somos capaces de compartir una presentación exhaustiva de las vulnerabilidades y las áreas identificadas como de alto riesgo. También somos capaces de brindarle demostraciones en vivo de donde fue posible la explotación, junto con orientación sobre cómo asegurar el entorno a futuro.

Guía posterior a la prueba

  • Se le proporcionará un acceso gratuito de tres meses a nuestro Escritorio de soporte de seguridad.
  • Esto brinda un nivel de garantía durante la fase de remediación, asegurándose de que pueda solucionar todas sus vulnerabilidades de manera oportuna.

Ponte en contacto para hablar con uno de nuestros expertos…