Evaluación de vulnerabilidades y prueba de intrusión
Transcripción
Evaluación de vulnerabilidades y prueba de intrusión
Evaluación de vulnerabilidades y prueba de intrusión Above Security ofrece tecnologías, procesos y asesoramiento de experto avanzados en seguridad de información para darles la paz interior para ayudar a su alcance del negocio sus objetivos. ¿Cuál es una auditoria de seguridad técnica? Las auditorias técnicas detectan las vulnerabilidades que se pueden utilizar por los usuarios desautorizados y subrayan las debilidades de los procesos de la seguridad de la compañía. Son llevadas por los ethical hackers, empleadas y asignadas por mandato por la compañía, que simulan ataques usando las mismas técnicas que un atacante malévolo. El objetivo de una auditoria técnica es por lo tanto evaluar si la estructura informativa de su organización se puede alcanzar fácilmente de no, sin la autorización. ¿Por qué debe uno realizar una auditoría técnica? La auditoria técnica informa a su organización sus vulnerabilidades potenciales de los ataques del ordenador y propone medidas para corregirlas. Una auditoria técnica permitirá que ustedes, entre otras cosas, contesten a las preguntas siguientes: • • • • • • “Recomendaría a los consultores de Above Security a cualquier banco que quieren reducir su exposición a las amenazas.” ― Principal documentalista de un banco del Caribe ¿Qué clase de auditorías técnicas es ofrecida por Above Security? Una gama amplia de auditorías técnicas es ofrecida por Above Security. Estas pruebas son realizadas por nuestros consultores de seguridad en un ambiente seguro y controlado, usando las mismas técnicas que piratas informáticos. Las pruebas de la intrusión se aplican a los activos informativos de su compañía: • • • ¿Se protegen los datos confidenciales pozo? ¿Es posible aprovecharse de un acceso desautorizado a nuestros activos informativos (sitio Web, red corporativa, etc.)? ¿Es posible pedir fraudulento productos en nuestro sitio Web del comercio electrónico? ¿Puede un cliente fraudulento tener acceso a otra cuenta de cliente? ¿Podían nuestros sitios Web y nuestras redes llegar a ser inasequibles? ¿Podría un pirata informático tomar el control de uno de nuestros activos? Red externa Red interna Aplicación Web Evaluación de vulnerabilidades y prueba de intrusión Según las necesidades de su organización, las auditorías técnicas se pueden realizar según dos niveles de detalles: • • Evaluación de la vulnerabilidad: Identifiquen los problemas de seguridad dentro de la infraestructura del cliente usando herramientas automatizadas y una intervención manual limitada. Una lista de vulnerabilidades encontradas y las medidas correctivas asociadas se proporcionan. La cuantificación del impacto potencial de las amenazas identificadas en los activos probados se deja a la discreción del cliente. Prueba de la intrusión: Ilustra con eficacia la inseguridad de los componentes evaluados y cuantifica el grado y el impacto de las vulnerabilidades descubiertas. Amplía los descubrimientos hechos durante la evaluación de la vulnerabilidad explotando problemas descubiertos para tener accesos privilegiados a los activos o para tomar unos “trofeos”, por ejemplo: nombres del usuario, contraseñas o datos de usuario confidenciales como prueba de la entrada. La explotación de la vulnerabilidad tiende a ser más tiempo y esfuerzo que consumen que la evaluación de la vulnerabilidad. Bronce Oferta/ Porten-taje de disponibilidad Plata Oro Auditoría Validación Informe Recomendaciones Oferta de BRONCE Evaluación de la vulnerabilidad Mínima Automatizado Herramientas Oferta de PLATA Evaluación de la vulnerabilidad Optimizada Automatizado y revisado + Resumen para los ejecutivos Ajustadas Oferta de ORO Evaluación de la vulnerabilidad + prueba de la intrusión Completa Estándar de Above Security Auditoría a granel Opcional Completas Grey box (web) Opciones - - Opcional - ¾ Descubrimiento ¾ Situaciones ¾ Prueba segura - Los ejemplos siguientes permitirán que ustedes entiendan el grado de las ofertas. Se proporcionan para los propósitos de la información solamente. Esfuerzos estándar necesarios (persona-día) Tipos de blanco Bronce Sistemas internos (10 IP) Plata 2.0 Aplicación Web transaccional Sistemas externos (100 IP) Plata + Grey box 3.0 2.5 1.0 2.5 Oro 6.0 “Me satisfacen realmente de la evaluación; fue realizada según nuestras necesidades específicas. Recomendaría las pruebas de la intrusión de Above Security a otros municipios.” ― Patrick Lécuyer, Encargado de la tecnología de la información, Ville de Blainville Evaluación de vulnerabilidades y prueba de intrusión Auditoria de BRONCE: Prueba automatizada de la vulnerabilidad Ésta es la mayoría del coste y de la evaluación tiempo-eficiente de la vulnerabilidad. Esta oferta apunta las organizaciones grandes que desean evaluar una gran cantidad de activos. Por lo tanto, se limita para abultar las auditorias (más de 50 activos de la información). Actividades incluidas Evaluación automatizada de la vulnerabilidad para la infraestructura y las aplicaciones web; Primera validación del nivel: sabido o manifiesten los positivos falsos y las vulnerabilidades potencialmente críticas; Divulguen generado automatizadas; por nuestras herramientas de exploración Recomendaciones proporcionadas por las herramientas de la exploración. Auditoria de PLATA: Prueba optimizada de la vulnerabilidad Esta oferta intermedia, de que proporciona en última instancia un informe optimizado, debe resolver la mayor parte de las expectativas de sociedades en la evaluación de las vulnerabilidades. Como la auditoria de bronce, esta oferta se recomienda particularmente para las organizaciones grandes que desean evaluar una gran cantidad de activos. Un modo de auditoría a granel, principalmente con respecto a la evaluación de la infraestructura, por lo tanto estará disponible. Actividades incluidas Evaluación automatizada de la vulnerabilidad para la infraestructura y las aplicaciones web; Validación llana: sabido o manifiesten vulnerabilidades críticas, altas y medias; los positivos falsos y las Evaluación de los riesgos asociados para las vulnerabilidades altas y críticas validadas. Las recomendaciones proporcionaron por las herramientas y el control de calidad de la exploración; Evaluación de la postura general de la seguridad; Revisión del informe de la herramienta y del documento de síntesis personalizado. Opción Prueben en el modo “grey box” para las aplicaciones web que necesitan la autentificación. Evaluación de vulnerabilidades y prueba de intrusión Auditoria de ORO: Prueba profundizada de la intrusión Esta oferta corresponde al perfil estándar de la auditoria de Above Security y propone un servicio completo, incluyendo una prueba de la intrusión. Actividades incluidas Evaluación automatizada de la vulnerabilidad para la infraestructura y las aplicaciones Web; Prueben en el modo “grey box” para las aplicaciones Web que necesitan la autentificación; Validación y nueva evaluación completa de las vulnerabilidades identificadas; Explotación automatizada y manual de las vulnerabilidades; Recomendaciones específicas; Evaluación de la postura general de la seguridad; Informe personalizado, incluyendo un resumen para los ejecutivos. Opciones Diversos modos del ataque: • Blancos sabidas (por abandono) o descubrimientos; • Pruebas profundizadas (por abandono) o en un modo “de doble anonimato” (de la cautela). Ejecución de las diversas situaciones del ataque para los propósitos de prueba internos; Explotación en modo seguro: no se realizará ninguna hazaña o prueba activa que lleva a los riesgos sabidos para el servicio o el uso apuntado. ¿Por qué elegir Above Security para una prueba de intrusión? Above Security es una empresa especializada en seguridad cibernética con más de 10 años de experiencia ayudando a proteger las redes de más de 250 organizaciones líderes privadas y gubernamentales en 22 países desde sus centros de operaciones ubicados en Montreal, Canadá y en Sierre, Suiza. Además de sus servicios administrados de monitoreo para la detección y prevención de intrusiones, Above Security proporciona una gama completa de servicios profesionales de seguridad, incluyendo pruebas de penetración, escaneos de vulnerabilidades, la arquitectura de seguridad y revisión de la configuración, la planificación de recuperación de desastres y mucho más. Above Security es acreditado por el FIRST (Forum of Incident Response and Security Teams), certificado Qualified Security Assesor (QSA) para América Latina y Canadá y certificado a nivel mundial como Approved Scanning Vendor (ASV) para el estándar PCI DSS de la Industria de Tarjetas de Pago. Comuníquese con: 203-1919, Lionel-Bertrand Blvd Boisbriand, Qc J7H 1N8 Canada Telefono: 1- 450-430-8166 Llamada gratis (desde Norte America): 1-866-430-8166 [email protected] www.abovesecurity.com
Documentos relacionados
Evaluación de vulnerabilidades y prueba de intrusión
Auditoria de PLATA: Prueba optimizada de la vulnerabilidad Esta oferta intermedia, de que proporciona en última instancia un informe optimizado, debe resolver la mayor parte de las expectativas de ...
Más detallesServicio de Detección de Intrusiones y Prevención (IDS/IPS)
sus centros de operaciones ubicados en Montreal, Canadá y en Sierre, Suiza. Además de sus servicios administrados de monitoreo para la detección y prevención de intrusiones, Above Security proporci...
Más detalles