SERVICIOS DE SEGURIDAD

Pruebas de Penetración

Las organizaciones de TI están construyendo, manteniendo y mejorando sus defensas de red contra usuarios internos y externos malintencionados y así cómo de atacantes todos los días. El comprender qué tan bien estas defensas de red resisten a los adversarios, es imperativo para mantener su fortaleza segura.

wizlynx group se toma el tiempo de entender el negocio de nuestros clientes y pensar como un atacante lo haría. Esto nos permite obtener una visión global, así como un punto de vista técnico. Usando objetivos establecidos, identificaremos primero el eslabón más débil y luego escalaremos hasta que caigan uno o varios bastiones, y obtengamos acceso privilegiado a información o sistemas.

Nuestros servicios de pruebas de penetración aprovechan un enfoque híbrido compuesto por métodos de prueba automatizados y manuales. Los esfuerzos por obtener acceso privilegiado a firewalls, redes y dispositivos respectivos, servidores, IoT, aplicaciones web y otros puntos de exposición se llevarán a cabo de forma segura y controlada, a la vez que se mitigan las vulnerabilidades identificadas. Una vez que una vulnerabilidad se ha explotado con éxito, nuestros analistas de seguridad intentarán aumentar su presencia lanzando ataques sucesivos para obtener niveles más altos de privilegios y un acceso más profundo a los activos electrónicos y la información.

Tipos de Pruebas de Penetración


Aplicaciones Web

Prueba de penetración completa de sus aplicaciones Web, servicios web y APIs que se pueden utilizar para almacenar y acceder a información empresarial crítica, con el objetivo de identificar y atacar las vulnerabilidades transmitidas por la Web. Nuestros Pentesters utilizarán las habilidades y técnicas avanzadas necesarias para probar las aplicaciones web modernas y tecnologías de última generación.


Infraestructura de Red y Servidor

Evaluación de la capacidad de sus activos de información tanto internos como externos para resistir ataques. Nuestros Pentesters de clase mundial, armados con las mismas técnicas que los cibercriminales, intentaran forzar su red, Infraestructura de TI y servidores para crear conciencia acerca de las vulnerabilidades y los efectos de los ataques a sistemas informáticos, así como del cumplimiento de las políticas de seguridad por los usuarios finales.


Aplicaciones Móviles

Acceso a sus aplicaciones móviles para identificar vulnerabilidades específicas de entornos informáticos móviles, como las definidas por el Open Web Application Security Project (OWASP) y otros estándares emergentes de la industria.


Redes Inalámbricas

Servicios integrales de pruebas de penetración inalámbrica, que van desde redes tradicionales de Wi-Fi a sistemas inalámbricos especializados, que incluyen la identificación y ataque de vulnerabilidades, así como proporcionar orientación para fortalecer tales debilidades identificadas.

Nuestra Metodología de Pruebas de Penetración

En wizlynx group, nuestra metodología de pruebas de penetración se basa en el enfoque descrito en la guía de pruebas de OWASP, el manual de metodología de pruebas de seguridad de código abierto (OSSTMM) y el estándar de ejecución de pruebas de penetración (PTES).
Preparation
Recon
Mapping
Vulnerability Discovery
Vulnerability Exploitation
Analysis and Reporting

¿Qué estamos probando durante una Prueba de Penetración?

La ejecución de nuestra prueba de penetración se compone de tres fases principales que se explican a continuación:
Reconocimiento Activo y Pasivo

Recopilación de información sobre la organización objeto, así como la identificación de componentes subyacentes como sistemas operativos, servicios en ejecución, versiones de software, etc. La siguiente es una lista no inclusiva de elementos que se probarán para permitirnos diseñar nuestro ataque de una manera informada, elevando nuestra probabilidad de éxito:

  • Búsqueda de dominios abiertos
  • Investigación de DNS
  • Búsqueda de información pública (buscadores, redes sociales, grupos de noticias, etc.)
  • Enumeración de la red
  • Escaneo de puertos, huellas digitales del sistema operativo y escaneo de versiones
  • Enumeración de firewall

Identificación de Vulnerabilidades

Evaluación que consiste en analizar los activos de información en el alcance frente a más de 80,000 vulnerabilidades y verificaciones de configuración, además de CWE / SANS TOP 25 de errores de software más peligrosos y el top 10 de vulnerabilidades de la OWASP. wizlynx group utiliza varios escáneres de vulnerabilidad, así como técnicas manuales, para probar los muchos servicios a los que se puede acceder a través de la red, como son SMTP, HTTP, FTP, SMB, SSH, SNMP, DNS, etc. Con lo que se pueden identificar los siguientes tipos de vulnerabilidad (lista no inclusiva):

Service-Side Exploitation

  • Remote code execution
  • Buffer overflow
  • Code Injection
  • Web Application exploitation (XSS, SQLi, XXE, CSRF, LFI, RFI, and more)

Network Manipulation & Exploitation

  • VLAN Hopping attacks
  • ARP Spoofing
  • HSRP/VRRP Man-In-The-Middle attack (MiTM)
  • Routing Protocols MiTM

Identity & Authentication Weakness Exploitation

  • Default username and password
  • Weak and guessable user credentials

Privilege Escalation

  • Race conditions
  • Kernel attacks
  • Local exploit of high-privileged program or service
Explotación de Vulnerabilidades

Using a hybrid approach (automated and manual testing), our security analysts will attempt to gain privileged access to the target systems in a controlled manner by exploiting the identified vulnerabilities in previous phase “Vulnerability Identification”.Usando un enfoque híbrido (pruebas automatizadas y manuales), nuestros analistas de seguridad buscarán obtener acceso privilegiado a los sistemas de destino de una manera controlada mediante el ataque a las vulnerabilidades identificadas en la fase anterior "Identificación de vulnerabilidad".

Penetration Testing Exploitation Examples

Enfoques de Pruebas de Aplicaciones Web Compatibles

Los servicios de prueba de penetración de aplicaciones web de wizlynx group son compatibles con los siguientes enfoques de prueba al evaluar aplicaciones web:

Prueba de penetración de aplicación web Blackbox

Se refiere a probar un sistema sin tener conocimiento específico del funcionamiento interno del activo de información, sin acceso al código fuente y sin conocimiento de la arquitectura. Este enfoque imita de cerca cómo un atacante suele acercarse a una aplicación web al principio. Sin embargo, debido a la falta de conocimiento de la aplicación, el descubrimiento de errores y / o vulnerabilidades puede llevar mucho más tiempo y puede que no proporcione una visión completa de la postura de seguridad de la aplicación.

Prueba de penetración de aplicaciones web Greybox

Se refiere a probar el sistema mientras se tiene algún conocimiento del activo objetivo. Este conocimiento suele estar restringido a la dirección URL de la aplicación, así como a las credenciales de usuario, que representan diferentes roles de usuario. Las pruebas de Greybox permiten enfocar y priorizar los esfuerzos basados en un conocimiento superior del sistema objetivo. Este incremento del conocimiento puede resultar en la identificación de vulnerabilidades más significativas, mientras que pone mucho menos esfuerzo. Por lo tanto, las pruebas de greybox pueden ser un enfoque sensato para simular mejor las ventajas que tienen los atacantes, en comparación con los profesionales de seguridad cuando evalúan aplicaciones. Las pruebas registradas permiten que el verificador de penetración evalúe por completo la aplicación web para detectar posibles vulnerabilidades. Además, le permite al probador verificar cualquier debilidad en la autorización de la aplicación que podría dar lugar a una escalada vertical y / u horizontal de privilegios.

Prueba de penetración de aplicaciones web whitebox

Se refiere a probar el sistema mientras se tiene pleno conocimiento del sistema de destino. En wizlynx group, nuestra prueba de penetración de whitebox está compuesta por una prueba de greybox combinada con una revisión de código segura. Dichas evaluaciones proporcionarán una comprensión completa de la aplicación y la postura de seguridad de su infraestructura.

¿Qué Obtendrás?

Todos los hallazgos se documentarán en un informe final y luego se compararán con un perfil de fortalezas/debilidades frente a los estándares internacionales de seguridad informática y cibernética. Las debilidades identificadas se evaluarán y complementarán con recomendaciones y acciones correctivas, y se priorizarán de acuerdo con el riesgo asociado. El informe final será discutido durante una presentación con usted. El informe incluirá un resumen completo y significativo de nivel C, de la prueba de penetración ejecutada. Adicionalmente, incluirá todos los resultados detallados con evidencia y recomendaciones respectivas para futuras medidas de seguridad.

wizlynx group Penetration Test Report

Nuestras Pruebas de Penetración más recientes

Compañía de Seguros
2018

Prueba de Penetración Web a múltiples Aplicaciones Web accesibles externamente utilizadas por los usuarios asegurados.

Compañía de Desarrollo de Software
2018

Prueba de Penetración de Caja Gris de una aplicación Web utilizada por cirujanos plásticos y pacientes.

Seguro Social y Compañía de Seguros
2018

Evaluación de Ingeniería Social que incluyó cuatro campañas de phishing por correo electrónico dirigidas a 100 usuarios.

Para obtener la lista completa de las referencias de wizlynx group, visite nuestro sitio web en: https://www.wizlynxgroup.com/mx/ciberseguridad-mexico/referencias-de-pruebas-de-penetracion
wizlynx group CREST Accredited Penetration Testing Provider

wizlynx group es un proveedor de servicios de pruebas de penetración CREST aprobado en todo el mundo con analistas de seguridad certificados por CREST


Obtenga más información sobre CREST y los beneficios de contratar a un proveedor de pruebas de penetración acreditado

Nuestras Certificaciones de Ciberseguridad

Los consultores de seguridad y evaluadores de penetración de wizlynx group tienen las certificaciones más reconocidas en la industria de seguridad cibernética y pruebas de penetración, tales como: GIAC GPEN, GWAPT, GCIH, GMOB, CREST CRT, OSCP, CEH, CISSP, CISA y más!

Information Security | GIAC Expert Researcher and Advanced Penetration Tester | GXPN
Penetration Test | GIAC Web App Pen Tester | GWAPT
Penetration Test | Offensive Security Certified Professional | OSCP
Penetration Test | GIAC Mobile Device Security Analyst | GMOB
Penetration Test | GIAC Secure Software Programmer .NET | GSSP-.NET
Penetration Test | certified ethical hacker | CEH
Penetration Test | GIAC Certified Penetration Tester | GPEN
Penetration Test | GIAC Certified Web Application Defender | GWEB
Information Security | GIAC Certified Incident Handler | GCIH
Information Security | GIAC Critical Control Certification | GCCC
Information Security | Certified Information Systems Security Professional | CISSP
Information Security | Certified Information Security Auditor | CISA
Information Security | Certified Information Security Manager | CISM
Information Security | Certified in Risk and Information Systems Control | CRISC
Information Security | Certified in the Governance of Enterprise IT | CGEIT
Contacte a un Experto
Top