Test de intrusión: prevención ante el ciberataque que puede sufrir tu empresa
https://seguridad.prestigia.es/wp-content/uploads/2018/09/test-de-intrusion-1024x688.png 1024 688 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2018/09/test-de-intrusion-1024x688.pngHace tiempo que no pasa un día en que se produzca un nuevo ataque informático. No se salva nadie. Ni los bancos, que aunque podrían parecer inexpugnables, no lo son. Tampoco ha salido bien parado IESE, una de las escuelas de negocio más prestigiosas del mundo, que esta semana sufría un hackeo grave y aún no se ha recuperado.
El Internet de las Cosas (IoT), la presencia constante de servicios en la nube, las redes sociales e Internet en general esconden debilidades en sus sistemas o infraestructuras que ciberdelicuentes pueden usar para robar información, realizar ciberespionaje industrial o incluso dejar a una empresa sin servicios de comunicación online.
La mejor defensa ante la ciberdelincuencia es la prevención. Esa prevención empieza conociendo nuestros sistemas realizando un test de intrusión que nos permita evaluar los sistemas informáticos y su fortaleza ante posibles ataques intrusivos.
Test de intrusión: qué es y objetivos
El test de intrusión consiste en simular un ataque informático con el objetivo de infiltrarse en los sistemas. En otras palabras, se realiza una auditoria de seguridad pactada con el cliente a fin de llevar a cabo un acceso no autorizado a las redes y sistemas informáticos de la compañía. Todo ello de forma controlada.
El objetivo del test de intrusión es:
- Detectar fallos y vulnerabilidades que necesitarán una corrección.
- Descubrir el nivel de seguridad frente a ataques externos.
- Prevenir intrusiones ajenas a la empresa
- Mejorar el entorno de trabajo consiguiendo afianzar la seguridad de los sistema de información.
¿Cómo se realiza un test de intrusión?
Desde Prestigia Seguridad utilizamos la metodología de auditoría OWASP TOP 10 en nuestros trabajos de auditoría web desde un punto de vista de seguridad y evaluación de riesgos.
Este proceso para realizar un test de intrusión consta de las siguientes fases:
1. Recogida de información pública del cliente: Dominios, IP’s, servicios que ofrecen, todo ello a través de un análisis de sus páginas web, redes sociales, listas de IP’s, etc… buscando obtener el mayor número de información posible para preparar las siguientes fases de test.
2. Testeo la seguridad de sistemas de información y redes: analizar el hardware y el software, obtener toda la información de los servicios que funcionan en un servidor (web, correo, idap, nas, ftp…), … Los protocolos usados y los puertos abiertos son algunos de los puntos que ofrecen información sobre cómo acometer la intrusión o ataque a esos sistemas. Además se evalúan las políticas de control o acceso, la calidad de las contraseñas, las reglas del firewall y otros sistemas de seguridad de la empresa en caso de existir.
3. Evaluación de la capa de aplicaciones web, es decir, las accesibles desde internet, como extranets, e-commerces, crm, páginas web u otros…: formularios de entrada de datos, back-ends o gestores de contenido, directorios y cualquier código propio o de terceras partes (como plugins) que exista y sea accesible desde Internet para detectar vulnerabilidades que permitan efectuar ataques SQLi, XSS, DDoS, inyección de scripts que redireccionan a publicidad o al minado de criptomonedas.
Estos dos puntos se puede evaluar en diferente orden y dependerá de la información obtenida y la planificación anterior.
¿Por qué realizar un test de intrusión?
La mejor forma de conocer cuán segura es una web, red o sistema informático de una compañía es poniéndolo a prueba. Por eso, cuando se contrata un servicio de test de intrusión, el auditor actúa con técnicas similares a las de un ciberdelincuente que realiza un ataque con malas intenciones. Es decir, actúa como si quisiera robar información o actuar de forma ilegítima. De esta manera, pone a prueba los sistemas y descubre hasta qué punto están preparados para afrontar un ataque real de tipo intrusivo.
¿Te interesa poner a prueba tus sistemas? Contáctanos para realizar un test de intrusión.
- Etiquetas de Post:
- ataques
- ciberataques
- ciberdelincuentes
- Seguridad Prestigia
- test de intrusión
- Publicado En:
- Seguridad de entornos web
- Test de intrusion
También te puede gustar
Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.
Dejar una Respuesta