Auditoría de seguridad - Servicios de seguridad informática y hacking ético
Mejorar la seguridad de sus sistemas informáticos, prevenir fugas de información y garantizar la disponibilidad de sus sitemas informáticos es nuestra prioridad
Mejorar la seguridad de sus sitemas informáticos, prevenir fugas de información y garantizar la disponibilidad de sus sistemas informáticos es nuestra prioridad

La auditoría de seguridad es un servicio que ayuda a mejorar la seguridad de los sistemas informáticos, prevenir fugas de información y garantizar su disponibilidad.

Existen diferentes enfoques para abordar una auditoría de seguridad IT o “hacking ético” de los activos de una organización. Tarlogic hace uso de metodologías de revisión de seguridad reconocidas a nivel internacional, como es el caso de OSSTMM, NIST SP 800-115,  OWASP y OWISAM para garantizar la seguridad de los activos de nuestros clientes.

En Tarlogic hemos unificado los servicios de ciberseguridad de la información y las soluciones de inteligencia para construir nuestro nuestro portfolio de soluciones profesionales. Nuestros factores diferenciadores son la gran especialización , la calidad técnica de nuestro equipo  y la alta inversión en I+D, para estar al día de las técnicas de seguridad punteras con las que reducir los riesgos de ataques informáticos.

Enfoques para realizar una auditoría de seguridad

Dependiendo de sus necesidades, una revisión de seguridad puede hacerse con un enfoque de auditoría de seguridad o de  test de intrusión.

En muchas ocasiones estos términos se usa de forma análoga, aunque una auditoría de seguridad se centra en identificar y analizar el impacto teórico de vulnerabilidades sobre un sistema, mientras que un test de intrusión es algo más completo e incluye la verificación, sobre el sistema afectado, del impacto real de las vulnerabilidades detectadas.

Tarlogic hace uso de méctricas de seguridad como CVSS para clasificar el impacto de las vulnerabilidades y realiza las auditorías siguiendo dos puntos de vista diferentes:

Auditoría de seguridad caja negra

auditoría de seguridad caja blanca

Auditoría de Caja Negra: Se denomina “caja negra” a la auditoría de seguridad, o test de intrusión, en la que el auditor no posee conocimientos de la infraestructura tecnológica subyacente.

Esta revisión de seguridad es ideal para simular ataques realizados por parte de personal externo a la organización y conocer el nivel de exposición a un ataque. En este tipo de revisión de seguridad el equipo de auditores tampoco disponen a priori de usuarios con los que interactuar con las aplicaciones a analizar.

El equipo de analistas deberá recopilar en este tipo de trabajo información sobre la plataforma, para plantear los escenarios de ataque más plausibles.

Auditoría de seguridad caja blanca

auditoría de seguridad caja blanca

Auditoría de Caja Blanca: Es una auditoría de seguridad más exahustiva. En ella, se facilita información técnica sobre los activos a auditar incluyendo, según los activos analizados, información tal como usuarios, contraseñas y mecanismos de seguridad existentes.

Con este enfoque el auditor no necesita dedicar un esfuerzo extra a la búsqueda de información y permite focalizar los esfuerzos en aquellos elementos que son críticos para su negocio.

Esta revisión es complementaria con una revisión de seguridad en caja negra, y puede ser llevada a cabo a continuación de la anterior. El objetivo de esta revisión es blindar una plataforma frente a ataques más sofisticados,  frente a un atacante que dispone de mayores recursos o dotar a la plataforma de una mayor protección debido a la criticidad de la información que gestiona..

Principales tipos de auditoría de seguridad

Las auditorías de seguridad informática que realiza el equipo de especialistas de ciberseguridad de Tarlogic son llevadas a cabo en distintas modalidades: proyecto cerrado, bolsa de horas y servicios recurrentes.

Algunos de los tipos de auditorías de seguridad más habituales son los siguientes:

  • Auditoría web: Su objetivo es lograr la protección de portales y aplicaciones web simulando ataques reales. La auditoría de aplicaciones Web también analiza vulnerabilidades en la infraestructura (Microsoft IIS, Apache, Websphere,nginx,..), vulnerabilidades asociadas a la tecnología utilizada (.NET, PHP, Java, Python…) y vulnerabilidades asociadas a la lógica de la aplicación.
  • Auditoría eCommerce: Mejora la confidencialidad y disponibilidad de la plataforma ecommerce  y ayuda a reducir el riesgo de fraude y los datos de pago (PCIDSS).
  • Test de intrusión interno: Identificación de debilidades y vías de acceso a información confidencial dentro de los sistemas de la  compañía. Este trabajo de test de intrusión ayuda a identificar áreas de mejora en la seguridad del directorio activo y servidores internos.
  • Revisión de seguridad perimetral: Análisis del perímetro externo de la organización, analizando los servicios expuestos (Portales web,correo, DNS…) y las aplicaciones.
  • Auditoría WiFi: Revisión del despliegue y de la seguridad de la infraestructura WiFi en redes enterprise y portales cautivos. Análisis de cobertura y triangulación de dispositivos y puntos de acceso.
  • Auditoría de plataformas Microsoft Windows: Análisis de la infraestructura de directorio activo, políticas de seguridad, configuración de servidores y puestos de trabajo, así como elaboración de guías de configuración segura.
  • Sistemas linux y Unix: Estudio de los mecanismos de seguridad implementados en los sistemas, debilidades y aspectos de mejora.
  • Auditoría de app móvil: Pruebas de seguridad sobre aplicaciones móviles Android e IOS y auditoría de código de la aplicación móvil para analizar el almacenamiento, transmisión y procesamiento de datos por parte de las aplicaciones.

Además de las revisiones de seguridad convencionales, Tarlogic dispone de servicios a medida, como por ejemplo para la realización de ciberjercicios,  auditorías de código, y de departamentos específicos que lideran los siguientes servicios:

  • Ciberinteligencia: Proporciona información para la toma de decisiones. Incluye servicios de análisis forense y respuesta ante incidentes de seguridad, servicios de análisis de fraude, inteligencia y contra inteligencia.
  • Red Team: Equipo especializado 24/7 que simula ataques informáticos de esponsorizados contra su compañia, de cara a la detección de puntos débiles en su modelo de seguridad y de entrar al equipo defensivo.
  • Bug Bounty: Programa gestionado de recompensas a investigadores por la identificación de fallos de seguridad.

Auditoría de seguridad basada en CVSS

Una organización, que invierte en realizar una auditoría de seguridad IT, se puede encontrar que si esta auditoría es realizada por dos analistas de seguridad diferentes puede obtener un número de debilidades, evidencias y valoración de riesgo diferente. Hay varios aspectos clave para obtener una valoración homogénea y que deben ser tenidos en cuenta en un test de intrusión.

Análisis de riesgos de seguridad

El análisis de riesgos de seguridad suele ser un aspecto altamente subjetivo, que puede dar lugar a valoraciones que divergen más allá de lo razonable. Esta diferencia en la clasificación de la criticidad y riesgo de los activos afecta negativamente a varios aspectos organizativos y a la gestión del proyecto:

  • Defensa de resultados de un test de intrusión en una reunión ejecutiva.
  • Defensa de resultados con el departamento técnico.
  • Priorización de un plan de acción técnico.
  • Justificación de inversión en auditorías de seguridad periódicas.
  • Inversión en tecnología y elementos de seguridad perimetral.

Metodología CVSS

Para mejorar estos aspectos, el equipo de seguridad de Tarlogic se apoya en la metodología CVSS, una metodología de clasificación de riesgos de seguridad IT que deja poco lugar para la interpretación en la clasificación de niveles de riesgo y que puede ser utilizada para representar gráficamente el impacto.

CVSS hace uso de varios aspectos para medir el impacto de una vulnerabilidad. La principal son las Métricas base asociadas a aspectos de la vulnerabilidad, midiendo:

  • La complejidad acceso al sistema auditado
  • La necesidad de Autenticación para explotar un fallo de seguridad
  • El impacto en la confidencialidad de la información
  • El Impacto sobre la integridad
  • El Impacto en disponibilidad de un sistema.

Contacte con Tarlogic para realizar una auditoría de seguridad web apoyada en la metodología OWASP y proteja sus aplicaciones de negocio.

Otras métricas

Si se busca un mayor nivel de detalle, se pueden incluir métricas ambientales que analizan la fiabilidad de la vulnerabilidad detectada, la complejidad de que sea explotada por un tercero y la complejidad de su solución.

Las métricas temporales evalúan de qué forma afecta esta vulnerabilidad a los sistemas en base a la existencia de herramientas funcionales para explotar esta vulnerabilidad y de la disponibilidad de parches de seguridad.

El uso de CVSSv2 le permitirá saber de forma objetiva el nivel de riesgo de su organización y justificar, en base a los resultados, la necesidad de una mayor inversión en seguridad.

OTROS SERVICIOS

Análisis de dispositivos WiFi y Rogue APs

Auditoría de aplicaciones móviles

Auditoría de seguridad basada en CVSS

Auditoría Web Auditoría  de seguridad  Web OWASP

Auditoría Wireless – Auditoría de segridad WiFi OWISAM

Bastionado de sistemas (Hardening)

Bug Bounty – Tarlogic Managed Vulnerability Rewards

Contratar Hacking ético – Empresa especializada en seguridad

Intrusión con Advanced Persistent Threat (APT)

Red Team Tarlogic

Servicio de análisis de piratería y monitorización de fraude online

Servicio de hardware Hacking e ingeniería inversa.

Threat Hunting

Tarlogic Blue Team

¿Te interesa alguno de nuestro programas?