¿Qué es un Ethical Hacking?
Es un servicio que tiene como objetivo explorar, detectar y probar las vulnerabilidades en tu infraestructura, aplicaciones, sistemas y el elemento humano de tu organización.
Identificamos de forma temprana aquellas vulnerabilidades que le permitirán a un atacante impactar negativamente a tu organización y a tus clientes.
Realizaremos pruebas de conceptos, debidamente documentadas, para que puedas diseñar un plan de mitigación de forma correcta. Todos nuestros procedimientos son ejecutados con máxima cautela, de manera de no causar daños ni denegación de servicio.
Nos especializamos en vulnerabilidades a nivel Perimetral, IoT, Sistemas Industriales, Sitios Web, APIs y Apps.
Beneficios del Servicio
de Seguridad
Impacto
mitigarlas
Etapas de un Ethical Hacking
Modalidad
Consiste en realizar pruebas de seguridad sin tener información alguna, más que la dirección IP o dominio. El objetivo es ver qué podría hacer un atacante externo, sin tener nada de visibilidad, y ver qué tan profundo se puede llegar.
La prueba Caja Negra, es casi como una prueba a ciegas, pues sigue la premisa de no poseer gran cantidad de información. A pesar de ser un ataque dirigido, pues alcanzará a la empresa contratante y descubrirá sus vulnerabilidades, este servicio es el más cercano a seguir las características de un ataque externo.
Consiste en realizar pruebas de seguridad sobre un sistema, portal o infraestructura, con ayuda de credenciales. De esa manera, se logra ahondar al máximo en el sistema, determinando qué tan lejos puede llegar un atacante si logra entrar al sistema, como también, qué tipo de información podría obtener.
En el ámbito de los sistemas de procesamiento de información, consiste en realizar pruebas de seguridad con credenciales sobre un sistema (API, APP, portal o infraestructura), con la finalidad de identificar qué tan lejos puede llegar un atacante si logra ingresar a dicho sistema, qué información podría obtener e identificar y cuáles flujos pueden ser evadidos por un usuario válido del mismo sistema.
Esta modalidad es altamente recomendable considerando que, en al menos un 70% de los ciberataques, el ciberdelincuente cuenta con la participación de un colaborador de la organización (Insider) y/o información a través de Ingeniería Social.
Este tipo de pruebas son las más completas, dado que parten de un análisis integral. En este, se evalúa toda la infraestructura de red, código fuente de aplicaciones (micro servicios, APIs, topografía, contraseñas, IPs, logins) y todos los demás datos que se refieren a la red, servidores, estructura, posibles medidas de seguridad, firewalls, entre otros. Con toda esta información preliminar, las pruebas pueden dirigirse a través de un ataque certero, descubriendo qué es aquello que necesita ser mejorado y reorientado.
En el caso de servicios orientados a la verificación de código fuente, nuestros consultores están capacitados para hacer revisiones estáticas y/o dinámicas, como también, integrarse a procesos de desarrollo con metodologías ágiles o cascada, apalancado de herramientas que les permite, de forma muy rápida, entregar informes diferenciales de vulnerabilidades de una versión a otra del código.
Modalidad
Caja Negra
Consiste en realizar pruebas de seguridad sin tener información alguna, más que la dirección IP o dominio. El objetivo es ver qué podría hacer un atacante externo, sin tener nada de visibilidad, y ver qué tan profundo se puede llegar.
La prueba Caja Negra, es casi como una prueba a ciegas, pues sigue la premisa de no poseer gran cantidad de información. A pesar de ser un ataque dirigido, pues alcanzará a la empresa contratante y descubrirá sus vulnerabilidades, este servicio es el más cercano a seguir las características de un ataque externo.
Caja Gris
Consiste en realizar pruebas de seguridad sobre un sistema, portal o infraestructura, con ayuda de credenciales. De esa manera, se logra ahondar al máximo en el sistema, determinando qué tan lejos puede llegar un atacante si logra entrar al sistema, como también, qué tipo de información podría obtener.
En el ámbito de los sistemas de procesamiento de información, consiste en realizar pruebas de seguridad con credenciales sobre un sistema (API, APP, portal o infraestructura), con la finalidad de identificar qué tan lejos puede llegar un atacante si logra ingresar a dicho sistema, qué información podría obtener e identificar y cuáles flujos pueden ser evadidos por un usuario válido del mismo sistema.
Esta modalidad es altamente recomendable considerando que, en al menos un 70% de los ciberataques, el ciberdelincuente cuenta con la participación de un colaborador de la organización (Insider) y/o información a través de Ingeniería Social.
Caja Blanca
Este tipo de pruebas son las más completas, dado que parten de un análisis integral. En este, se evalúa toda la infraestructura de red, código fuente de aplicaciones (micro servicios, APIs, topografía, contraseñas, IPs, logins) y todos los demás datos que se refieren a la red, servidores, estructura, posibles medidas de seguridad, firewalls, entre otros. Con toda esta información preliminar, las pruebas pueden dirigirse a través de un ataque certero, descubriendo qué es aquello que necesita ser mejorado y reorientado.
En el caso de servicios orientados a la verificación de código fuente, nuestros consultores están capacitados para hacer revisiones estáticas y/o dinámicas, como también, integrarse a procesos de desarrollo con metodologías ágiles o cascada, apalancado de herramientas que les permite, de forma muy rápida, entregar informes diferenciales de vulnerabilidades de una versión a otra del código.
Este es el primer paso para ser tu partner en Ciberseguridad.
