AUDITORÍAS DE SEGURIDAD: PON A PRUEBA TUS SISTEMAS

Las empresas tienen que poner a prueba sus medidas de seguridad ante los atacantes, para comprobarlas se hacen auditorias técnicas de seguridad, en las que se evalúan las redes y sistemas de la empresa.

Estas pruebas pueden ser llevadas a cabo por personal de la empresa u organizaciones externas.

Tipos de auditorías:

Existen diferentes tipos o enfoques de auditorías, dependiendo de quién sea el atacante y cuanto conocimiento tenga de nuestra empresa:

  • Auditoria de caja negra: En estas el atacante asume el rol de un “hacker” que no tiene conocimiento de la empresa, no conoce las redes ni sistemas. Recopilara información publica de la empresa (footprinting) e ira interactuando con los sistemas de la empresa y servicios que descubra (fingerprinting)
  • Auditoria de caja blanca: El auditor se pone en la piel de un usuario interno, con conocimiento de la red y acceso a los sistemas. Suele estar enfocada a revisar configuraciones, políticas, servicios, redes, códigos, etc.
  • Auditoria de caja gris: En ella se toma el rol de un empleado con un nivel de privilegios bajo, o limitado, que intenta acceder a sistemas a los cuales no debe tener acceso debido a que no son de su departamento

En la medida de lo posible, este tipo de pruebas se suelen automatizar, sin perder el control, para poder detectar vulnerabilidades y/o explotarlas posteriormente de manera manual para comprobar la seguridad

También se diferencian en cuanto a que sistemas se quieran poner a prueba:

  • Auditoría web: Su objetivo es lograr la protección de portales y aplicaciones web simulando ataques reales. La auditoría de aplicaciones Web también analiza vulnerabilidades en la infraestructura (Microsoft IIS, Apache, Websphere, nginx,..), a la tecnología utilizada (.NET, PHP, Java, Python…) y v a la lógica de la aplicación.
  • Auditoría eCommerce: Mejora la confidencialidad y disponibilidad de la plataforma ecommerce y ayuda a reducir el riesgo de fraude y los datos de pago (PCIDSS).
  • Test de intrusión interno: Identificación de debilidades y vías de acceso a información confidencial dentro de los sistemas de la compañía. Este trabajo de test de intrusión ayuda a identificar áreas de mejora en la seguridad del directorio activo y servidores internos.
  • Revisión de seguridad perimetral: Análisis del perímetro externo de la organización, analizando los servicios expuestos (Portales web,correo, DNS…) y las aplicaciones.
  • Auditoría WiFi: Revisión del despliegue y de la seguridad de la infraestructura WiFi en redes enterprise y portales cautivos. Análisis de cobertura y triangulación de dispositivos y puntos de acceso.
  • Auditoría de plataformas Microsoft Windows: Análisis de la infraestructura de directorio activo, políticas de seguridad, configuración de servidores y puestos de trabajo, así como elaboración de guías de configuración segura.
  • Sistemas linux y Unix: Estudio de los mecanismos de seguridad implementados en los sistemas, debilidades y aspectos de mejora.
  • Hardware hacking: Auditoría de seguridad de dispositivos hardware (routers de comunicaciones, cablemodems, dispositivos embebidos, alarmas, dispositivos IOT,..).
  • Auditoría de app móvil: Pruebas de seguridad sobre aplicaciones móviles Android e IOS y auditoría de código de la aplicación móvil para analizar el almacenamiento, transmisión y procesamiento de datos por parte de las aplicaciones.

Conclusión

Las auditorias se deben realizar de manera regular para comprobar la seguridad de las redes.

Si nos hacemos una idea del grado de vulnerabilidad de los sistemas, podremos reducir los riesgos que pueden comprometer a la empresa y sus activos.

Desde Axians podemos orientarte sobre qué tipo de auditoría se adapta a tus necesidades.

Fuentes:

Libro: Ethical Hacking / Autor: Pablo González Pérez / Editorial: 0xWORD

https://www.prakmatic.com/servicio/test-de-intrusion-hacking-etico-auditoria-de-seguridad/https://www.crowe.com/uy/services/ciberseguridad/generic-content-page

Autor

Centro de preferencias de privacidad

Necessary

Advertising

Analytics

Other