PRUEBAS DE
CAJA NEGRA
No disponemos de información de tus sistemas, atacamos utilizando las mismas técnicas y métodos de ataque que un hacker utilizaría.
Pensamos como un hacker, para luego utilizar técnicas y herramientas SAST, DAST y RAST para mejorar la calidad y seguridad de tus aplicaciones.
¿Por qué hacer pruebas de rendimiento?
PRUEBAS DE
PRUEBAS
CAJA BLANCA
Hacemos una revisión a fondo del sistema, contando con información detallada del entorno, incluido código fuente, archivos de configuración…
PRUEBAS
CAJA GRIS
Combinamos los test de caja negra y caja blanca, disponemos de cierta información sobre los sistemas y la utilizamos en ocasiones.
¿CÓMO LO HACEMOS?
Auditoría de Aplicaciones Web
Busca las vulnerabilidades en la parte más expuesta de la empresa a Internet, el aplicativo web. Gracias a este tipo de auditoría, es posible conocer el estado de seguridad del entorno de la web en producción y, por tanto, la probabilidad de sufrir un ataque que vulnere, en parte o completamente, la información alojada y los servicios ofrecidos. Este tipo de auditoría se integra perfectamente dentro de SecDevOps, o se puede realizar de forma independiente al desarrollo.
Auditoría Wireless
Su misión es verificar que no es posible vulnerar la red wireless implantada en la empresa. Por un lado, controlar si es posible el acceso hacia la red interna de un posible atacante externo y, por otro, verificar si un empleado interno puede montar un acceso propio (por ejemplo via dispositivos móviles), creando un túnel saltándose las restricciones de seguridad implementadas en la red.
Simulacro de ataque dirigido – RED TEAM
Recopilamos información pública sobre tu infraestructura, servicios, sistemas y personal para analizar tus vulnerabilidades y realizar un ataque dirigido con herramientas ofensivas a medida, con el objetivo final de infiltrarse en tu organización y sustraer información sin ser detectados.
Respuesta a incidentes – BLUE TEAM
El equipo de respuesta a incidentes realiza una evaluación inicial de la amenaza y la monitorizarla con el objetivo de contenerla para reducir el riesgo. Una vez contenida se procede a mitigar el riesgo hasta obtener una solución definitiva que permita asegurar la continuidad del negocio en el mínimo tiempo posible.
¿Por qué hacer Pruebas de Seguridad?
FALSA SENSACIÓN DE SEGURIDAD
El desconocimiento de fallos debido a configuraciones erróneas no significa que éstos no existan o que todavía no hayan sido vulnerados. Investiga más allá del firewall, la configuración de la infraestructura debe ser tratada como si fuera código, y debe ser probada con cada despliegue para asegurar que no se han introducido agujeros de seguridad.
CUMPLIMIENTO DE NORMATIVAS
Invertir en pruebas de seguridad es invertir en tu tranquilidad y en la integridad de tus datos y de tus clientes. Estás obligado a cumplir con las regulaciones en materia de seguridad, cada vez más estrictas, establecidas por gobiernos y entidades reguladoras. Su desconocimiento no implica que no sean de aplicación.
FALSA SENSACIÓN DE SEGURIDAD
El desconocimiento de fallos debido a configuraciones erróneas no significa que éstos no existan o que todavía no hayan sido vulnerados. Investiga más allá del firewall, la configuración de la infraestructura debe ser tratada como si fuera código, y debe ser probada con cada despliegue para asegurar que no se han introducido agujeros de seguridad.