user_mobilelogo

Hoy en día la tendencia apunta hacia la integración de los servicios de IT que facilitan y hacen más competitivo el negocio, sin embargo cualquier vulnerabilidad presente en alguno de estos servicios, afecta directamente a los demás. Es por ello que al probar una dirección IP en una prueba de penetración, se debe analizar las vulnerabilidades de todos los servicios corriendo bajo dicha dirección (ej. Sitios web, sistema operativo, puertos abiertos, firewall, IDS/IPS, etc.). Por lo tanto, nuestra oferta comercial propone el análisis de todos y cada uno de los componentes expuestos.

Nuestras pruebas siguen el estándar de la metodología PTES para las direcciones IP públicas, y OWASP para sitios web. Inicialmente se realiza un reconocimiento preliminar de la plataforma, se identifican las posibles vulnerabilidades, se evalúan y se correlacionan, y luego se realizan pruebas de concepto intrusivas que permiten determinar el alcance posible real de la amenaza.

Este trabajo es realizado desde el exterior de la organización sin conocer datos más allá de lo que una persona común y externa a la organización conocería sobre esta.

En el caso de los portales de transacciones y sistemas que requieran contraseña, estos deben ser probados a través de usuarios de prueba con cuentas ficticias o reales. Dichas pruebas ayudan a determinar si los portales web tienen vulnerabilidades más allá de las identificables a través de un Scanner.

En la actualidad, se tiende a creer que los atacantes solo utilizarán vulnerabilidades conocidas, y que mediante una guía o un mecanismo anti-intrusos se pueden estar seguros ante las amenazas. La realidad es que los sistemas tienden a ser dinámicos y altamente adaptados al cliente, un simple análisis de vulnerabilidad ejecutado por un Scanner autómata no es capaz de identificar, integrar y evaluar el nivel de riesgo real de todas las fallas.

Casos donde un Scanner falla:

  • ¿Cómo un Scanner prueba vulnerabilidades de SQL Injection donde hay Captchas?
  • ¿Cómo un Scanner identifica lo que realmente es importante para la organización?
  • ¿Cómo un Scanner evalúa automáticamente aplicaciones o sitios web hechos a la medida?
  • ¿Cómo un Scanner se adapta ante los posibles IDS/IPS?
  • ¿Cómo un Scanner realiza ingeniería social?
  • ¿Cómo un Scanner correlaciona dos o más vulnerabilidades para entender que alcance puede 
llegar a tener?
  • ¿Cómo un scanner identifica y analiza el contenido de los archivos obtenidos para reutilizarlos como parte de una prueba?

La respuesta es sencilla: no puede. 


Los Scanner son buenos para identificar errores comunes, como por ejemplo, falta de actualizaciones, o identificar políticas de seguridad erradas. 
La realidad es que 1 atacante “real” no solo se basa en que puertos tenemos abiertos ni en cual vulnerabilidad conocida tiene el servicio o aplicación web. El verdadero “Hacker” intenta explotar fallas de programación no conocidas, y se adapta con mucha más flexibilidad ante las defensas.

La metodología correcta para la identificación de vulnerabilidades es la integración de un buen Hacker ético con una serie de herramientas, las cuales pueden incluir Scanner de vulnerabilidades, módulos auxiliares y “exploits”, entre otros.

 
This email address is being protected from spambots. You need JavaScript enabled to view it. para mayor información.