auditorías deseguridad

nuestro proceso de auditoría en detalle

ciberauditorias.com

ÍNDICE

3 Qué esperar de nuestras auditorías

4 Escaneo de puertos y servicios

5 Análisis de vulnerabilidades: tecnologías de servidor

6 Análisis de vulnerabilidades: web

7 Explotación de vulnerabilidades

8 Fuga de credenciales

8 Documentación

9 Confidencialidad

9 Información adicional

QUÉ ESPERAR DE NUESTRAS AUDITORÍAS

Realizamos auditorías de tipo “caja negra”, esto es siguiendo el mismo enfoqueque utilizaría un atacante real: sin conocer detalles previos de los objetivos aauditar, únicamente las IPs o dominios que apuntan a las máquinas objeto deexamen y sirviéndonos de las mismas técnicas y exploits que utilizaría unatacante para tomar control de un servidor.

Al realizar todas las pruebas a través de internet y únicamente a máquinas que seencuentren expuestas a las amenazas de la red, no es necesario hacerlas deforma presencial, por lo cual solemos realizar dichos test desde nuestrasinstalaciones en A Guarda (Pontevedra) fuera de horario comercial para noentorpecer el funcionamiento de las empresas. Tras finalizar el procesoreportamos al cliente un documento completo que contiene tanto vulnerabilidadescomo soluciones.

Además ofrecemos este servicio como marca blanca, para que ustedes puedanofrecerlo como suyo propio, en cuyo caso podemos realizar los reportes con suimagen corporativa para que, si lo desean, puedan reenviarlo a su cliente sinnecesidad de trabajar en editarlo.

A continuación presentamos, de forma resumida, algunas fases importantes queforman parte del proceso de auditoría.

ESCANEO DE PUERTOS Y SERVICIOS

Buscamos qué equipos se mantienen funcionales y cuáles no, qué servicioscorren y son accesibles en estos equipos, qué protocolos de comunicaciónutilizan y cuáles son las versiones (tanto de sus sistemas operativos como de losservicios) que utilizan.

Realizamos un completo escaneo de puertos y servicios con la finalidad deencontrar versiones de servicios vulnerables y para proporcionar un listado alcliente, que le permita evaluar cuáles de estos servicios están en usoactualmente y pueda cerrar aquellos puertos que no utiliza.

ANÁLISIS DE VULNERABILIDADES: TECNOLOGÍAS DESERVIDOR

Elaboramos un análisis exhaustivo de las tecnologías de servidor a través deherramientas automáticas y de forma manual: cotejando cada servicio y suversión con bases de datos de vulnerabilidades conocidas, que se actualizandiariamente.

Identificamos el nivel de riesgo de cada amenaza: desde la exposición deinformación privada hasta permitir el control total o parcial del activo.

Por último buscamos soluciones, en caso de que las haya, con el objetivo deresolver estos problemas de seguridad de la forma menos traumática posiblepara la empresa.

ANÁLISIS DE VULNERABILIDADES: WEB

Revisamos todos los aplicativos web que hacen solicitudes (request) al servidor,tanto Get cómo capturando las solicitudes Post de los formularios, para obtenerparámetros que son sometidos a todo tipo de test de SQL injection.

Buscamos páginas vulnerables a XSS (Cross Site Scripting), File Inclusion, CodeExecution… y otras muchas posibles amenazas. Examinamos CMS comoWordpress, Prestashop y otros en busca de plugins y temas obsoletos quesuponen una amenaza bien documentada.

Recorremos los sites más extensos con spiders para encontrar cada URL yformulario susceptible de ser atacado de forma manual o con herramientasautomáticas.

EXPLOTACIÓN DE VULNERABILIDADES

En principio sólo explotamos vulnerabilidades cuando es estrictamente necesarioy existe un exploit que se considera seguro. En ningún caso explotamosdebilidades por el mero hecho de existir un exploit documentado para hacerlo o silos riesgos superan a los beneficios.

En definitiva, priorizamos el reporte de soluciones a una vulnerabilidad, porencima de la explotación de la misma, con fines de investigación. Hay queentender que explotar una vulnerabilidad (para determinar el grado de riesgo) noes mejor opción que corregirla, aunque en algunos casos nos ayuda a descubrirnuevas amenazas.

Fuga de credenciales

Comprobamos si las direcciones de correo electrónico han sido comprometidasen hackeos a servidores de otras compañías y se encuentran en bases de datosa la venta actualmente.

Uno de los grandes peligros de que las credenciales para el uso de una cuentade correo se hayan visto comprometidas y formen parte de estos listados que loscibercriminales venden, es la reutilización de contraseñas, que podría permitir alatacante el login en distintos formularios del servidor auditado.

Realizamos una búsqueda de cuentas de correo en el propio servidor, en redessociales y otros servicios web ajenos a la compañía, para después comprobar siha habido fuga de credenciales en dichas cuentas. El cliente puede ademásfacilitarnos un listado de direcciones que desea que sean comprobadas.

Documentación

Esta es la última fase de nuestras auditorías. Documentamos todo el proceso quese ha llevado a cabo, detallando qué pruebas se han realizado en cada fase yqué datos han revelado dichas pruebas. Detallamos la evaluación de riesgos porcada vulnerabilidad y las posibles soluciones para cerrar las brechas deseguridad que encontramos.

De esta forma, se reporta un documento que provee a la empresa de los pasos aseguir que estimamos eficientes y menos traumáticos para resolver los problemasmás importantes.

Hay que tener en cuenta, que si no encontramos vulnerabilidades en los sistemasde la empresa, igualmente se reportan todas y cada una de las pruebasrealizadas, detallando equipos, puertos y servicios, para que la empresa puedademostrar la seguridad de sus sistemas y con el fin de sentar una base parafuturas auditorías ya que la comunidad hacker descubre vulnerabilidades nuevastodos los días. Un sistema seguro hoy, puede no serlo mañana.

CONFIDENCIALIDAD

Previo al comienzo de la auditoría cerramos un acuerdo (que entre otros aspectosrecoge la confidencialidad) con la empresa que será auditada por nosotros. Si laempresa lo considera oportuno, podemos dar fe del compromiso que tiene con laseguridad, haciendo público que se somete a nuestras auditorías, fechando lasmismas y certificando que la empresa no presenta vulnerabilidades conocidas.Este tipo de certificación podemos emitirla siempre y cuando no se encuentrenbrechas de seguridad, o una vez éstas sean subsanadas por la empresa.

En ningún caso haremos público qué vulnerabilidades hemos detectado, nininguna otra información sensible. Toda la información que hagamos pública serápreviamente consensuada con la empresa cliente, con el fin de que estainformación sea siempre positiva para su reputación.

INFORMACIÓN ADICIONAL

El presente documento ha sido actualizado el 08/12/2017. Aunque en él tratamosde explicar con detalle (y a la vez con la mayor sencillez posible) el proceso deauditoría, en realidad sólo exponemos aquí los pasos más importantes, ya queuna auditoría es un proceso complejo lleno de pruebas y test de todo tipo.

En definitiva este documento pretende ser un resumen que ayude a entender laforma en que trabajamos, por lo que si necesita alguna aclaración o actualizaciónde esta información, por favor no dude en ponerse en contacto con nosotros através del correo:

info@ciberauditorias.com

También puede visitarnos en:www.ciberauditorias.com

Estaremos encantados de atenderle. Si lo desea podemos enviarle un reporte deejemplo.