El pentest, también llamado prueba de penetración, consiste en una evaluación de la seguridad, el análisis y la progresión de ataques simulados sobre la infraestructura interna y externa de una organización para comprobar su estado de seguridad. Estas evaluaciones de seguridad permiten a las organizaciones reducir el riesgo de un ciberataque y garantizar la seguridad de la información, mitigando las vulnerabilidades antes de que puedan ser explotados de forma maliciosa.

BENEFICIOS

• Identifica las vulnerabilidades en la infraestructura interna y externa.

• Muestra el riesgo real de las vulnerabilidades.

• Pone a prueba su capacidad de ciberdefensa.

• Ofrece la opinión de un experto certificado.

• Ayuda a cumplir con normativas y certificaciones.

• Evitar el costo del tiempo de inactividad del sistema/red/aplicativos.

¿Por qué es necesario hacer pruebas de penetración?

1. Identificar las brechas entre las herramientas de seguridad.

2. Priorizar los posibles riesgos de ciberseguridad.

3. Descubrir malas prácticas de seguridad.

4. Conocer todos y cada uno de los posibles vectores de ataque.

5. Obtener información sobre el ROI de sus esfuerzos actuales de ciberseguridad.

6. Saber responder a ciberataque real de forma rápida y eficaz.

7. Evaluar los sistemas ante cambios significativos en la infraestructura.

8. Cumplimiento de los estándares de seguridad.

Metodologías

Fases

• Reconocimiento y recopilación de inteligencia

• Escaneo y numeración.

• Detección de vulnerabilidades.

• Explotación.

• Generación de reporte.

Enfoque de Pruebas

Existen tres enfoques para las pruebas de penetración: white-box, gray-box y black-box. Los tres tipos son bastante populares en las pruebas de seguridad:

TIPOS DE PRUEBAS:

Pruebas de penetración de red:

Red interna
Simula un ataque en el que un atacante ya está dentro de su red - mientras que la prueba de penetración en la red externa se centra en la obtención de acceso, la prueba de penetración en la red interna se centra en elevar los privilegios (por ejemplo, obtener una cuenta de administrador) y obtener todo el mayor control posible.

Red Externa
Simula un atacante externo que intenta penetrar en su infraestructura de cara al público - en el mundo actual, cada organización tiene servidores, equipos de red, accesos remotos y muchos otros puntos que están expuestos a la vista de todo el mundo.

Pruebas de Penetración en infraestructura en la nube:

Si cuenta con infraestructura en Microsoft Azure, Amazon Web Services (AWS), o cualquier otro proveedor de servicios en la nube, le ayudaremos a realizar pruebas de penetración para garantizar la seguridad de los datos manejados por cualquier proveedor en la nube.

Pruebas de penetración en dispositivos móviles:

Con el altísimo número de aplicaciones móviles en nuestras vidas privadas y corporativa, las pruebas de penetración de aplicaciones móviles se han vuelto cada vez más importante para todas las organizaciones que se preocupan por la seguridad. Nuestros diagnósticos de seguridad tratan de atacar no solo la aplicación (análisis estático y dinámico, ingeniería inversa...) sino también el lado del servidor que maneja las solicitudes de la aplicación/usuario.

Pruebas de penetración Web:

Es la prueba de penetración más común, ya que las aplicaciones web suelen estar entre los componentes más expuestos de la infraestructura de la información. La prueba busca vulnerabilidades como inyección de código, cross-site scripting, falsificación de peticiones, y muchas más, pero se centra especialmente en las vulnerabilidades de negocio que son difíciles de encontrar, pero que pueden ser perjudiciales para el sistema de información en su conjunto.

Pruebas de penetración para cumplimiento normativo y/o certificación:

Bitshield ofrece una variedad de servicios de pruebas de penetración que ayudan a las empresas a cumplir con las agencias y organismos reguladores pertinentes. Esto incluye pruebas de penetración ISO 27001, PCI-DSS, CNBV, GDPR, HIPAA y NIST que ayudan a prevenir cualquier multa o sanción que pueda resultar del incumplimiento.

Pruebas de penetración especializadas:

Algunos dispositivos y/o servicios exigen un especial, un enfoque único en su clase, desde sistemas SCADA sobre medidores digitales de energía y dispositivos IoT (especialmente dispositivos inteligentes), hasta esquemas de pago móviles (por ejemplo, HCE), utilizamos hardware especializado y ataques únicos para exponer las debilidades del diseño o eludir las medidas de seguridad incorporadas.

Informe de resultados y entregables:

El informe de evaluación de la seguridad es una parte vital de la operación, ya que sirve para solucionar cualquier vulnerabilidad encontrada. Nuestros entregables contienen un reporte ejecutivo, de alto nivel, resumen no técnico de la evaluación con el impacto en el negocio, impacto empresarial asociado a las vulnerabilidades encontradas. Reporte general de pruebas con el alcance, metodología y vulnerabilidades, además se anexan los comentarios de los especialistas en seguridad, la puntuación de riesgo de seguridad y recomendaciones para la corrección. Cada prueba de penetración cuenta con los siguientes entregables:

1. Presentación de KickOff.

2. Reporte general de resultados con recomendaciones puntuales.

3. Anexos técnicos explotación de vulnerabilidades.

4. Reporte ejecutivo.

5. Plan de acción.

6. Presentación ejecutiva de resultados.