SERVICIOS DE PENTESTING: PRUEBA DE INTRUSIÓN DE INFRAESTRUCTURA INTERNO Y EXTERNO
En las sombras, donde pocos miran, existen
aliados silenciosos. No buscan reconocimiento,
no necesitan aplausos. Su misión es clara:
anticiparse al peligro, infiltrarse sin ser vistos y
proteger sin que el enemigo lo sepa.
Descripción del servicio /
Kitzun es el infiltrado silencioso que desafía tu infraestructura antes que el enemigo. Nuestro pentesting de infraestructura interna y externa simula ataques reales con las mismas tácticas que usan los adversarios más sofisticados. Identificamos vulnerabilidades críticas y vectores de ataque antes de que puedan ser explotados, protegiendo la continuidad y seguridad de tu operación.
Anticípate al
peligro. Encuentra
las grietas antes de
que alguien más las
use en tu contra.
Servicios Específicos Ofrecidos
Pruebas internas
Simulamos ser un atacante que ya tiene acceso a la infraestructura de su red. A través de una cuenta de VPN o un dispositivo que imita estar comprometido, obtenemos acceso a la red para identificar vulnerabilidades en los equipos objetivo.
Pruebas externas
Simulamos ser un atacante sin acceso inicial a ningún recurso interno de la red. En está primera etapa se busca ingresar a la organización, a través de vulnerar equipos expuestos a internet por parte de la organización.
Servicios Específicos Ofrecidos
Las pruebas se pueden desarrollar bajo tres tipos de escenarios o cajas, donde cada “caja” tiene diferentes objetivos y beneficios.
Caja
Negra
En este caso no contamos con ningún acceso a usuarios o con texto interno de los servicios a probar.
Ventajas: Es la prueba más rápida, y apegada a lo que sucede en la vida real.
Caja
Gris
Se requiere tener un usuario con permisos y contexto básico del funcionamiento del servicio.
Ventajas: Son un poco más lentas, pero se obtienen más hallazgos dado que podemos probar más funciones de un usuario general.
Caja
Blanca
En este último se pide accesos de administrador y completo con texto del funcionamiento.
Ventajas: Aquí podemos probar todas las funciones de la aplicación, y usualmente los resultados son mucho mayores, pero es la más lentas de todas.
Cumplimiento normativo:
Ayuda a cumplir con regulaciones y estándares de seguridad, evitando sanciones, tanto de entes gubernamentales y/o financieros.
Reducción de riesgos:
Encontrar vectores de ingreso a la organización antes de que sean explotados por terceros. Evitar interrupciones operativas y pérdidas financieras. Se estima que la caída de servicios promedia pérdidas por $155,000 dólares para PyMEs.
Credibilidad:
Empresas que desarrollan pruebas por terceros a su infraestructura crean un ambiente de confiabilidad en sus inversionistas, clientes y proveedores. Estas pruebas apoyan al cumplimiento de marcos de seguridad como NIST, CIS Controls, ISO 27001 entre otros.
Proceso de Trabajo:
Nuestra metodología se basa en PTES (Penetration Testing Execution Standard) para lograr identificar la mayor cantidad de vulnerabilidades en sistemas que sean de valor para nuestros clientes. La metodología PTES incluye las siguientes etapas: PREPARACION: Establecer horarios, límites, objetivos claros de la prueba. En esta fase seidentifican y definen las herramientas y técnicas disponibles a utilizar en la pruebas.
RECONOCIMIENTO: Por medios pasivos y activos se recopila la mayor cantidadinformación como IPs, puertos, subdominios y dominios, etc, que estén asociados alobjetivo, para descubrir usuarios, contraseñas, ambientes expuestos, etc.
ESCANEO Y MODELADO DE AMENAZAS: Análisis de vulnerabilidades y de vectores deataque que serán usados en etapas posteriores.
EXPLOTACIÓN: Validación que las vulnerabilidades encontradas sean o tengan una víaque permitan abusar del sistema, y puedan provocar problemas en la operación. Nota* En esta etapa por defecto no consideramos pruebas de denegación de servicio, aumento de tráfico, o cualquier comportamiento que pueda afectar a la operación.
POST-EXPLOTACIÓN: Se usan métodos de persistencia, movimientos laterales,exfiltraciones controladas, escalación de privilegios o cualquier otra técnica que permitallevar más allá la vulneración sin afectar a la operación.
DOCUMENTACIÓN: Se analiza y presenta la documentación de las actividades realizadas, con un resumen ejecutivo y técnico así como, las posibles vías de remedación.
