Hitachi

U.S.A.

Hitachi Group Global Network

Americas

Asia

Europe

Middle East and Africa

Oceania

Close

Pruebas de Penetración
You are here: Home \ Servicios profesionales \ Pruebas de Penetración

Pruebas de Penetración

Las pruebas de penetración (también denominadas “pentesting”) incluyen pruebas de penetración de red, ingeniería social, evaluación de aplicaciones, así como controles y procesos en torno a redes y aplicaciones. Esto debería ocurrir desde fuera y dentro de la red.

Las pruebas de penetración o intrusión simulan un ataque real contra su infraestructura en un entorno controlado, permitiendo que nuestros asesores certificados evalúen la capacidad de su sistema y le brinden recomendaciones sobre cómo mejorar su defensa contra vulnerabilidades tecnológicas que pueden conducir a intrusiones, fraudes e interrupciones del servicio.

¿Quiere que probemos la seguridad de su red? Solicite una cotización gratis:



Obtenir un devis

Precios de Pruebas de Penetración

¿Necesita un presupuesto para un pentest?
Ver tabla de precios

¿Por qué realizar un Pentest?

Un pentest lo ayudará a:

protect your information

Proteger su información corporativa y del cliente

compliance certificate

Cumplir con las regulaciones de su industria

y gobierno

integrity and reputation

Preservar la integridad y

reputación de su organización

Metodología Pentest

Entendemos que una metodología comprobada es clave para realizar un pentest exitoso. Es por eso que nuestros pentests se basan en la metodología del Estándar de Ejecución de Pruebas de Penetración (Penetration Testing Execution Standard, PTES), que establece herramientas comunes, técnicas y elementos que se cubrirán.

La metodología PTES se basa en 7 pasos distintos que se recomiendan para cada compromiso de prueba de penetración.

Cuándo realizar un Pentest

Muchas organizaciones llevarán a cabo una prueba de penetración porque pueden sospechar o saber que ya han sido hackeadas y ahora quieren saber más acerca de las amenazas a sus sistemas para reducir el riesgo de ataques adicionales. Por el contrario, una organización también puede ser proactiva y desea saber de antemano acerca de las amenazas que enfrenta su organización como un todo o un nuevo sistema antes de que se active.

Los escenarios comunes incluyen lanzamientos de aplicaciones, cambios o actualizaciones importantes y regulaciones de cumplimiento.

Pasos realizados durante un Pentest

  1. 1. Interacciones previas al compromiso: Nuestro equipo de gestión de proyectos iniciará el compromiso del cliente con una conferencia telefónica, una conferencia web o una reunión (la reunión de kickoff) para revisar los detalles logísticos y tácticos que serán necesarios para el conocimiento a lo largo del trabajo.

 

  1. Recopilación de información: Antes de cualquier actividad de evaluación activa contra un cliente, nuestros analistas de seguridad recopilarán toda la información necesaria para realizar una evaluación exhaustiva. Según el tipo de evaluación, se pueden tomar múltiples enfoques de recopilación de información, como recopilación de información de código abierto o recopilación interna de datos.

 

  1. Modelado de amenazas: El objetivo del ejercicio de modelado de amenazas es comprender el impacto de las amenazas relacionadas con la red técnica para el negocio. Este ejercicio de alto nivel no es tan completo y minucioso como una evaluación exhaustiva de riesgos de amenazas, pero el perfil de amenazas resultante nos ayudará a garantizar que las pruebas técnicas consideren las amenazas que pueden tener un alto impacto en las operaciones comerciales.

 

  1. Análisis de vulnerabilidad: Durante el análisis de vulnerabilidad, realizaremos escaneos de vulnerabilidad automáticos o manuales para identificar vulnerabilidades en su entorno dentro del alcance. Luego, realizaremos un ejercicio de validación de escaneo para identificar falsos positivos y elementos que requieren validación manual. El tráfico de red capturado a través de herramientas de recopilación pasiva se revisa para detectar fugas de información a través de protocolos de texto sin cifrar. Una vez que se ha mapeado el entorno y se han creado perfiles de dispositivos individuales, los analistas de seguridad comienzan la búsqueda de vulnerabilidades que pueden permitir el compromiso del sistema o la divulgación de información que ayudará a comprometer otro sistema.

 

  1. Explotación: durante la fase de explotación, realizaremos la prueba de penetración real y atacaremos los sistemas si existe un método de explotación potencialmente viable. Como cada compromiso es diferente, la identificación de una metodología de ataque exacta antes de esta fase del compromiso no es práctica.

 

  1. Post-Explotación: El objetivo de la fase posterior a la explotación es determinar el valor de los activos comprometidos e intentar mantener el control de la máquina para su uso posterior. Identificaremos y documentaremos datos confidenciales, identificaremos los parámetros de configuración, los canales de comunicación y las relaciones con otros dispositivos de red que se pueden usar para obtener más acceso a la red, y configuraremos uno o más métodos para acceder a la máquina más adelante. Los métodos de post-explotación incluyen análisis de infraestructura, pillaje, objetivos de alto valor / perfil y exfiltración de datos. La fase se completa con un proceso de limpieza para eliminar todos los rastros de las pruebas de penetración, como puertas traseras o rootkits.

 

  1. Informes: Un informe detallado de prueba de penetración será preparado por nuestro equipo de pentesting y entregado al cliente. Si se descubren vulnerabilidades graves durante el transcurso del pentest, proporcionaremos un informe provisional. Ver la sección “Entregables” para más detalles.

Hable con un especialista en seguridad

Proteja su negocio hoy

Entregables de Pentest

El resultado de una prueba de penetración es un informe detallado, que incluye todos los resultados de la prueba, así como las contramedidas y recomendaciones necesarias para proteger su infraestructura de TI. Si es necesario, nuestro equipo también puede preparar una presentación de los resultados a su equipo de TI.

 

  1. Resumen ejecutivo: El resumen ejecutivo describe su postura general de seguridad e indica elementos que requieren atención inmediata.

 

  1. Revisión técnica: La revisión técnica describe las actividades realizadas para determinar las vulnerabilidades y los resultados de las actividades llevadas a cabo al atacar los sistemas objetivo, incluidas las metodologías utilizadas.

 

  1. Vulnerabilidades y exploits: Proporcionaremos una lista detallada de las vulnerabilidades descubiertas, así como sus vulnerabilidades, enumeradas en orden de importancia.

 

  1. Recomendaciones: Para optimizar la protección de los activos identificados en el informe, brindaremos una serie de recomendaciones para fortalecer su postura de seguridad.

 

  1. Apéndice: La sección del apéndice generalmente captura salidas de herramientas, capturas de pantalla u otros datos que ayudan a dar un contexto más amplio o aclaraciones sobre las vulnerabilidades detectadas

Nuestra Experiencia

Estamos orgullosos de trabajar con un equipo de profesionales de la seguridad que no solo es muy apasionado por la seguridad, sino que también está altamente calificado. A continuación, presentamos una descripción general de las numerosas certificaciones de seguridad de nuestro equipo:

* CBCP: Certified Business Continuity Professional

* CCNA: Certified Cisco Network Associate

* CCSE: Check Point 2000 – Management II

* CEH: Certified Ethical Hacker

* CGEIT: Certified in the Governance of Enterprise IT

* CISA: Certified Information Systems Auditor

* CISM: Certified Information Systems Manager

* CISSP: Certified Information Systems Security Professional

* Certifié en implémentation de COBIT5

* CRISC: Certified in Risk and Information Systems Control

* CSSLP: Certified Secure Software Lifecycle Professional

* ECIH: EC-Council Certified Incident Handling

* GCIA: GIAC Certified Intrusion Analyst

* GCIH: GIAC Certified Incident Handling

* GIAC: Global Information Assurance Certification

* GSEC: GIAC Security Essential Certification

* ISO 27001: Lead Auditor de la norme ISO pour les SGSI

* ISO20000 & ISO27001 : Professionnel certifié des normes ISO20000 & ISO27001

* OSCP: Offensive Security Certified Professional

* PCI-QSA: PCI, Qualified Security Assessor

Por qué la Gestión de Proyectos es Importante

El éxito de una prueba de penetración dependerá de si lo administra como un proyecto distinto. En Hitachi Systems Security, hemos definido procesos y metodologías de administración de proyectos para garantizar que su proyecto pentest se ejecute a su satisfacción.

Nuestra Oficina de Gestión de Proyectos está dirigida por Project Management Professionals (PMP) ® certificados, que cuentan con los conocimientos y la experiencia necesarios para gestionar proyectos de pruebas de penetración.

Junto con nuestros clientes, se asegurarán de mantener su pentest en el camino correcto y dentro del presupuesto, gestionar sus expectativas y garantizar resultados de calidad al final del proyecto.

Caso de estudio: Insights de Clientes

Hitachi Systems Security - Case Study Penetration Testing Telecommunications Industry

Beneficios de un Pentest

El servicio de pruebas de penetración de Hitachi Systems Security protege su negocio y brinda muchos beneficios, que incluyen:

 

  •   Reducir los costos asociados con el tiempo de inactividad de la red: Evite el tiempo de inactividad de la red y los costos asociados descubriendo vulnerabilidades y eliminándolos.

 

  •   Administrar vulnerabilidades con mayor inteligencia: Comprenda sus vulnerabilidades al obtener información sobre por qué ocurren y cómo eliminarlas. Analice y clasifique las debilidades explotables en función de su posible impacto y probabilidad de ocurrencia.

 

  •   Preservar la imagen corporativa y la lealtad de los clientes: Cualquier tiempo de inactividad o pasos en falso pueden ser perjudiciales para la imagen de una organización. Las pruebas de penetración encuentran vulnerabilidades antes de que se conviertan en problemas.

 

  •   Conformidad mejorada: asegúrese de cumplir con los requisitos, regulaciones y estándares de los clientes y accionistas. Podemos ayudarlo a cumplir con las principales reglamentaciones, como SOX, PCI, NERC / CIP, SAS70 / SSAE16, HIPAA, ISO y más.