Hacking ético

||Hacking ético
Hacking ético 2017-07-13T08:06:34+00:00
Hacking ético En Colaboración
CONSÚLTENOS

Aviso legal

EN LAS REDES

Hacking ético. Probar lo seguras que son las cosas

El hacking ético permite evaluar la seguridad de una organización y descubrir su robustez, buscando mejoras en el estado de seguridad de sus aplicaciones web, aplicaciones móviles, en la red interna o accesos externos hacia la organización, …

La metodología de trabajo implica el uso de métodos de ataque llevados a cabo por profesionales para simular el comportamiento propio de los cibercriminales cuando intentan acceder a los sistemas de información de una organización.

En este proyecto se desarrollarán las siguientes actividades:

  • Reconocimiento del objetivo. Esta fase persigue crear una visión compartida del objetivo de las pruebas de penetración que se van a realizar. Se consensúa con los responsables de la organización el tipo de pruebas a realizar:
    • Identificación de las necesidades de la organización. Se mantienen reuniones con los responsables de la organización para definir los objetivos generales de las pruebas de penetración y su alcance:
      • Con objetivo. Se buscan las vulnerabilidades en partes específicas.
      • Sin objetivo. Consisten en examinar la totalidad de los componentes.
      • A ciegas (Black Box). Sólo se emplea la información pública disponible sobre la organización, al igual que lo hace un externo.
      • Informadas (White Box). Se utiliza información privada facilitada por la organización acerca de sus sistemas, simulando ataques realizados por un interno.
      • Externas. Desde el exterior de la organización para evaluar la seguridad perimetral.
      • Internas (Gray Box). Desde dentro de la organización para evaluar las políticas y medidas internas de seguridad.
      • Selección de las pruebas a realizar en función del objetivo: una vez entendidas las necesidades de la organización se seleccionan las pruebas a realizar y se planifican (acciones, responsables, plazos y recursos).
  • Pruebas de penetración. Esta fase persigue ejecutar la planificación de pruebas establecidas:
    • Apoyo en la preparación. Se apoya a la organización en la preparación de las pruebas (comunicación interna, infraestructura necesaria, …).
    • Lanzamiento de las pruebas:
      • Reconocimiento (pasivo). Monitorización de redes de datos, pruebas de ingeniería social, …
      • Escaneo (activo) para detectar vulnerabilidades, puntos de entrada, puertos abiertos, detalles de hardware, software, …
      • Acceso. Se obtiene acceso haciendo uso de exploits, bugs, …
      • Mantenimiento del acceso y los privilegios obtenidos. Se comprueba que el intruso no haya blindado el objetivo para proteger sus puertas traseras, rootkits y troyanos.
      • Borrado de huellas. En este punto entra en juego el análisis forense.
  • Diagnóstico de las vulnerabilidades. Esta fase persigue documentar los resultados de las pruebas, evidenciando las vulnerabilidades detectadas y proponiendo acciones correctoras para solucionarlas:
    • Elaboración de los informes de vulnerabilidades. Se resumen los resultados de las pruebas en dos informes, técnico (responsables TI) y ejecutivo (comprensible por la alta dirección). En el informe se detallan las vulnerabilidades, el riesgo potencial y el impacto de que las amenazas se materializasen explotando las vulnerabilidades.
    • Definición de las acciones correctoras. Una vez identificadas las vulnerabilidades, se planifican las acciones correctoras.
  • Implantación de acciones correctoras. Esta fase persigue mejorar las medidas de seguridad de la organización:
    • Apoyo en la implantación de acciones correctoras. Se asesora a la organización para la correcta implantación de las acciones correctoras.
    • Reporting. Se reporta a la organización el estado de avance de la implantación de las acciones correctoras y de su eficacia.