Pentest

Simulación de ataques dirigidos para identificar vulnerabilidades en la infraestructura de TI

Sobre Pentest

Una prueba de penetración, o pentest para abreviar, identifica las debilidades en la seguridad de la red corporativa y los elementos de la infraestructura de la red. Analiza amenazas y vulnerabilidades externas e internas con herramientas automatizadas para verificar si la penetración, incluidos los métodos de piratería manual, es posible.

Los resultados finales de la prueba se enumeran en el informe detallado. El informe incluye la descripción de las vulnerabilidades, su criticidad y recomendaciones sobre cómo eliminarlas.

Solicitar un pentest

Los siguientes objetivos se cumplen durante un proyecto de pentest:

Comprobar si un miembro estándar del personal puede acceder a información confidencial

Encuentre vulnerabilidades de seguridad de la información y formas en que pueden ser explotadas

Compruebe si un miembro del personal puede escalar sus propios privilegios

Desarrollar recomendaciones para abordar las vulnerabilidades detectadas

Comprobar si se puede acceder a la red local desde el exterior

Detalles

La metodología de prueba se desarrolla individualmente para cada cliente y debe ser aprobada. Sin embargo, las mejores prácticas de la industria, como NIST SP800-115 y OSSTMM, siempre se consideran como base.

Objetivos principales del pentest

  • Prueba general de seguridad de la información de la organización.
  • Cumplimiento de diferentes normas y reglamentos. Por ejemplo, las organizaciones que procesan datos de tarjetas de pago deben realizar una verificación anual según el requisito 11.3 de PCI DSS. El alcance de la prueba debe cubrir todo el perímetro del entorno de datos del titular de la tarjeta.

Herramientas



Escáneres de vulnerabilidades multifuncionales como Nessus y Burp Suite, que detectan «agujeros» en aplicaciones, sistemas operativos y redes corporativas


Pruebas manuales, cuando un especialista de pentest intenta comprometer la protección a través de la barra de direcciones del navegador y explotar vulnerabilidades en los sistemas operativos, software, hardware, etc.


Software profesional, por ejemplo, utilidades de la distribución Kali Linux: Metasploit, Nmap y otros

Etapas de prueba

  1. Análisis de seguridad externa: modelo de caja negra

    Los especialistas de ITGLOBAL.COM utilizan Internet para organizar una serie de ataques simuladas a través de los recursos públicos del cliente.

  2. Análisis de seguridad interna: modelo de caja gris o caja blanca

    El cliente proporciona acceso remoto a su red interna, utilizando una conexión VPN, por ejemplo. Los ataques se realizan utilizando los derechos ordinarios del personal.

  3. Preparando un informe de pentest

    El informe cubre la metodología de prueba, los objetos de prueba, las vulnerabilidades detectadas, su criticidad e incluye recomendaciones sobre cómo abordarlas.

Ventajas

Una oportunidad para prevenir incidentes que pueden vulnerar la reputación de la empresa y comprometer la seguridad del cliente

Cumplimiento de PCI DSS y otros estándares

Uso de herramientas actualizadas que simulan todos los tipos de ataques conocidos

No es una prueba de seguridad teórica, sino práctica

Reducir los riesgos de fugas de información y accesos no autorizados

Detectar todas las amenazas críticas a la seguridad de la información

Contáctese con nosotros

¿Tiene alguna pregunta o está interesado en aprender más sobre cómo la TI puede ayudar a su negocio? Por favor conéctese con nosotros.

Cookies de nuestro sitio web para mejorar su experiencia