Test de intrusión
El objetivo del Test de Intrusión es evaluar el estado de los sistemas frente a ataques de tipo intrusivo. No hay una mejor forma de probar la fortaleza de los sistemas de seguridad que atacarlos, por eso los profesionales de Neurosec auditan los sistemas de seguridad desde el punto de vista de posibles ataques externos por parte de hackers con intenciones malévolas.
Ámbito de Actuación
El Test de Intrusión se centra en evaluar la seguridad de los sistemas de protección perimetral de una empresa así como los diferentes sistemas que están accesibles desde Internet (routers exteriores, firewall exterior, servidores web, de correo, de noticias, etc), intentando penetrar en ellos y de esta forma alcanzar zonas de la red de una empresa como puede ser la red interna o la DMZ.
CaracterÍsticas del Servicio
- El Test de Intrusión se lleva a cabo de forma remota desde las instalaciones de Neurosec.
- El cliente no proporciona información sobre la estructura de sus sistemas, es el equipo de seguridad que realiza la auditoría el que debe obtener esta información. De esta forma, los Test de Intrusión son más objetivos y siguen las mismas pautas que si un hacker estuviese intentando atacar los sistemas de la empresa.
- Se utilizan las mismas técnicas que los hackers pero de forma ética: Ethical Hacking.
- Se siguen las metodologías OpenSource OSSTMM e ISSAF.
- Los aspectos revisados son:
- Sondeo de la Red: Punto de partida de cualquier Test de Intrusión. Análisis de la red del cliente con el objetivo de obtener un mapa detallado de la misma.
- Escáner de puertos, identificación de servicios y sistemas operativos: Análisis de las posibles vías de entrada a las máquinas contratadas identificando las características y servicios de las mismas. Se realiza un escaneo automático y manual (selectivo) de puertos sobre cada una de las IPs contratadas por el cliente.
- Test automático de vulnerabilidades: Utilizando tanto herramientas propias como externas se determinan las deficiencias de seguridad que existen en los sistemas analizados.
- Password cracking: Se intentan obtener cuentas de usuarios (login y password) del sistema analizado a través de herramientas automáticas utilizadas por los hackers. Se utilizan passwords por defecto del sistema, ataques por fuerza bruta, diccionarios de passwords, etc.
- Document Grinding: Recopilación de la mayor cantidad de información susceptible de ser utilizada para romper cualquiera de las protecciones de las que pudiera disponer la empresa. Utilizando toda la información que se encuentre accesible desde Internet: web corporativa y de los empleados, grupos de noticias, bases de datos de búsqueda de trabajo, etc.
- Test de antivirus: Comprueba la existencia de antivirus y el nivel de defensa que ofrecen. Es de vital importancia el disponer de la protección de un antivirus y que éste se encuentre operativo.
- Test de los sistemas de confianza: El objetivo es encontrar vulnerabilidades en los sistemas analizando las relaciones de confianza o dependencias que existen entre ellos.
- Test de las medidas de contención: Comprueba la existencia de herramientas de contención y el nivel de defensa que ofrecen frente a la llegada de código malicioso (troyanos, ActiveX o applets dañinos, etc.).
- Revisión de la política de privacidad: Se comprueba la existencia de una política que cumpla las leyes vigentes sobre privacidad de la información. Listado de inconsistencias entre lo especificado en la política de privacidad y la práctica actual de ésta.
- Test y verificación manual de vulnerabilidades: Detección de vulnerabilidades no catalogadas por las herramientas utilizadas en el Test Automático.
- Test del sistema de detección de intrusos (IDS): Análisis de los IDS con la finalidad de estudiar su reacción al recibir múltiples y variados ataques. Análisis de los logs del IDS.
- Test no Privilegiado de Aplicación: El objetivo es analizar problemas en las aplicaciones web y cookies que pudieran poner al descubierto la seguridad del sistema. El resultado es un listado conteniendo vulnerabilidades y su nivel de importancia.
Resultados
Informe: Se elabora un informe detallado donde se incluye:
- Resumen ejecutivo de alto nivel.
- Detalle de todas las pruebas realizadas especificando su objetivo.
- Resultados obtenidos en los diferentes test que se han realizado.
- Recomendaciones que permitan solucionar de la forma más acertada los problemas de seguridad encontrados.
- Clasificación de los problemas de seguridad según su nivel de peligro. Esto permitirá a la empresa poder elaborar un plan de actuación eficiente para resolver estos problemas de seguridad.
Workshop: Reunión orientada a explicar los resultados obtenidos en la auditoría y asesorar sobre las posibles soluciones que existan para los problemas de seguridad encontrados.