Auditoría de seguridad web

Auditoría de seguridad web

Identificación de las debilidades de aplicaciones web que puedan llegar a poner en riesgo su información, imagen corporativa o infraestructura. Nuestra auditoría web de seguridad analiza cada variable

Contacto
Objetivos de la auditoría de seguridad web

Objetivos de la auditoría de seguridad web

Dentro del conjunto de activos que forman parte de la infraestructura tecnológica de una compañía, las aplicaciones web siguen siendo uno de los principales puntos de entrada para atacantes cuyo objetivo es comprometer la seguridad de la organización o dañar su reputación.

Su evidente exposición, tanto a agentes externos como internos, las convierte en objetivo de constantes amenazas mediante técnicas clásicas y multitud de nuevas técnicas en constante evolución. Implementar auditorías de seguridad periódicas es prioritario para contener estas amenazas.

Beneficios de la auditoría de seguridad web

Los beneficios que ofrecen nuestras auditorías de seguridad web incluyen:

  • Identificación de vulnerabilidades relacionadas con la configuración e infraestructura de los servidores web.

  • Identificación de vulnerabilidades de aplicación, verificando todo tipo de inyecciones y técnicas avanzadas sobre sus puntos de entrada.

  • Pruebas de seguridad específicas adaptadas a múltiples tipos de activos web y tecnologías, ya sean webs corporativas, eCommerce, APIs, portales de gestión, PSD2, CMS, CRM, etc.

  • Identificación de vulnerabilidades relacionadas con el posible uso de software y frameworks con debilidades.

  • Identificación de vulnerabilidades relacionadas con la lógica de negocio de la aplicación que no pueden ser identificadas mediante herramientas automáticas.

Beneficios de la auditoría de seguridad web

Descripción general

En nuestras auditorías de seguridad, somos capaces de maximizar la detección de amenazas reales que puedan poner en riesgo la seguridad de la información gestionada por la aplicación web y de su infraestructura. Para ello, aplicamos una extensa y exhaustiva batería de pruebas que comprende tanto metodologías reconocidas y abiertas (OWASP), como pruebas especialmente diseñadas de forma creativa por nuestro equipo de expertos. De esta manera, los análisis realizados permiten identificar de manera integral debilidades relacionadas con la infraestructura de los servidores, con posibles debilidades relacionadas con una programación inadecuada, con su lógica de negocio específica e, incluso, con la ausencia de buenas prácticas de seguridad para aportar una mayor defensa en profundidad.

Metodología OWASP

Como parte del conjunto de pruebas de seguridad web, Tarlogic hace uso de metodologías contrastadas a nivel internacional como OWASP (Open Web Application Security Project). OWASP aplica una metodología abierta y colaborativa, actualizada periódicamente, y utilizada como referente en auditorías de seguridad de aplicaciones web. En Tarlogic nos apoyamos en la metodología OWASP en todos nuestros trabajos de auditoría de seguridad web para analizar y evaluar los riesgos mediante más de 90 controles específicos.

Pruebas específicas

Nuestro equipo de expertos dedica un esfuerzo considerable en comprender la lógica de negocio de las aplicaciones web analizadas. Esto nos permite diseñar pruebas específicas que contemplan los posibles flujos de la información gestionada entre distintas funcionalidades web interrelacionadas, e identificar vulnerabilidades que serían imposibles de detectar mediante herramientas automáticas.

Asimismo, llevamos a cabo pruebas relacionadas con las últimas técnicas y tendencias en el ámbito de la seguridad web y, en particular, con la arquitectura específica de la aplicación analizada.

Preguntas frecuentes sobre auditoría de seguridad web

¿Qué es una auditoría de seguridad web?

Las auditorías de seguridad web consisten en la identificación de vulnerabilidades sobre activos web tales como páginas web de distinto tamaño, desde web más estáticas a plataformas corporativas, intranet, e-commerce, APIs, y cualquier componente de la web, incluyendo en los casos en los que se decida incluir en el alcance, la evaluación de los sistemas que sustentan las aplicaciones, middleware y backend.

Las auditorías se apoyan en metodologías de análisis de seguridad internacionalmente utilizadas como OWASP, para la evaluación de controles de seguridad, o la utilización de baterías de pruebas que permitan evaluar si un activo web cumple con las medidas de seguridad requeridas o requiere de una revisión por parte de los equipos técnicos, para mitigar posibles debilidades que puedan afectar a la seguridad.

Como técnicas complementarias se realizan escaneos de seguridad de una aplicación web para identificar todos los recursos públicos y privados accesibles remotamente y analizar su comportamiento frente a entradas de datos anómalas.

Todas las pruebas de seguridad se pueden realizar tanto de forma anónima, simulando ser un usuario externo a la organización sin acceso, como de forma autenticada, contando con uno o varios usuarios válidos en la aplicación web.

El resultado de una auditoría de seguridad web es el listado de vulnerabilidades técnicas que suponen una amenaza para la aplicación, la muestra de los controles de seguridad utilizados y la superación o no, así como un conjunto detallado de recomendaciones que se recomienda sean aplicadas a nivel de código fuente, arquitectura, configuración o la propia infraestructura.

¿Cuanto cuesta una auditoría de seguridad web?

Para saber cuánto cuesta una auditoría de seguridad web se debe valorar la complejidad de esta, que depende fundamentalmente de 4 variables:

  • Número de recursos expuestos por la aplicación.
  • La complejidad y tamaño, si se trata de una web transaccional que requiere usuarios con distintos roles y privilegios.
  • El enfoque de la revisión de seguridad: Caja negra (sin información de la aplicación ni de usuarios para simular un ataque externo), caja blanca (con más información y pruebas autenticadas con usuario y contraseña) o mixta.
  • La necesidad de utilizar una metodología de análisis específica (por la casuística particular de la aplicación), o la definición previa de controles de seguridad a revisar. Esto puede suceder más a menudo en interfaces web de dispositivos IoT o de comunicaciones.

Para valorar el esfuerzo lo ideal es poder acceder a la aplicación web para que nuestros expertos en seguridad web puedan dimensionar el trabajo necesario para analizar completamente la aplicación.

Si esto no fuese posible, y a modo orientativo, dependiendo de la complejidad y profundidad del trabajo, este podrá oscilar entre los 3.000 y los 30.000€. En estos trabajos influye también si se decide realizar un único trabajo de revisión, la verificación de correcciones o si se desea contratar un servicio recurrente con un alcance amplio.

Podemos asesorarte para escoger el mejor enfoque para el trabajo y que el aplicativo quede protegido.

¿Qué se busca durante la auditoría de seguridad?

El objetivo principal es lograr identificar los problemas de configuración, autenticación, autorización, fallos en el desarrollo o en la lógica de aplicación que pueden permitir, por ejemplo, el acceso no autorizado a la información y la realización de acciones no permitidas al usuario, como suplantar la identidad de otro usuario o tomar el control del servidor web o volcar información de la base de datos utilizada.