Las Pymes son un claro foco de vulnerabilidad digital. La brecha en la seguridad digital en las Pymes es aprovechada por los cibercriminales que aún no están preparadas para calibrar los riesgos a los que se enfrentan en la red.

El objetivo del Test de Intrusión es evaluar el estado de los sistemas frente a ataques de tipo intrusivo. La mejor forma de probar la fortaleza de los sistemas de seguridad es atacarlos. Nuestro equipo de profesionales auditan los sistemas desde el punto de vista de un atacante con intensiones maliciosas.

Características del Servicio.
El cliente no proporciona información sobre la estructura de sus redes o las características de sus sistemas. Es el equipo de seguridad que realiza la auditoría el que obtiene esta información. De esta forma los Servicios de Hacking Ético son objetivos y siguen los mismos pasos que un atacante que estuviese intentando vulnerar los sistemas de la empresa llevaría a cabo.

Los Servicios de Ethical Hacking se pueden llevar tanto de forma remota, como desde las instalaciones del cliente dependiendo de los objetivos buscados y al ámbito de la auditoría.

La mejor manera de hacer esta evaluación de la seguridad es realizando ataques controlados sobre los sistemas, simulando la acción de un atacante externo que quisiera entrar en los sistemas analizados sin tener ningún conocimiento sobre los mismos.

La constante investigación y desarrollo de metodologías y técnicas de auditoría dotan a nuestro equipo de la capacidad de revisar cualquier tecnología existente en el mercado relacionada con sistemas de uso en  cualquier infraestructura tecnológica sensible de sufrir deficiencias de seguridad y, por tanto, de ser vulnerada física o lógicamente por terceros.

Ámbito de Actuación
Un Test de Intrusión se compone de las siguientes fases:

  • Planificación: Definición e identificación de los sistemas a auditar.
  • Auditoría: Realización de las pruebas que se llevan a cabo de forma progresiva hasta conseguir la intrusión y, una vez conseguida, escalado en los sistemas.
  • Documentación: Redacción de todos los resultados obtenidos.

Ámbito de las pruebas
Para realizar estos ataques se utilizarán tanto técnicas como herramientas de hacking. Las herramientas utilizadas serán las mismas que las utilizadas en el mundo underground por los propios hackers para realizar los ataques y con las pautas definidas en los estándares OSSTMM, ISSAF PTES.

  • Análisis de la Información Pública.
  • Análisis de Seguridad a Nivel de Red.
  • Análisis de Seguridad a Nivel de Sistemas.
  • Análisis de Seguridad a Nivel de Aplicaciones.
  • Análisis de los Sistemas de Seguridad.

Resultados.
Se elabora un informe detallado donde se incluye:

  • Resumen ejecutivo de alto nivel con la clasificación de los resultados.
  • Detalle de todas las pruebas realizadas especificando su objetivo.
  • Resultados obtenidos en los diferentes test que se han realizado con descripciones paso a paso del proceso de detección y explotación de cada vulnerabilidad.
  • Recomendaciones que permitan solucionar de la forma más acertada los problemas de seguridad encontrados.
  • Clasificación de los problemas de seguridad según su nivel de peligro, incluyendo valores CVSS. Esto permitirá a la empresa poder elaborar un plan de actuación eficiente para resolver estos problemas de seguridad.