Evaluación de vulnerabilidades y prueba de intrusión

Anuncio
 Evaluación de vulnerabilidades y prueba de intrusión
Above Security ofrece tecnologías, procesos y asesoramiento de
experto avanzados en seguridad de información para darles la paz
interior para ayudar a su alcance del negocio sus objetivos.
¿Cuál es una auditoria de seguridad técnica?
Las auditorias técnicas detectan las vulnerabilidades que se pueden utilizar por
los usuarios desautorizados y subrayan las debilidades de los procesos de la
seguridad de la compañía. Son llevadas por los ethical hackers, empleadas y
asignadas por mandato por la compañía, que simulan ataques usando las
mismas técnicas que un atacante malévolo.
El objetivo de una auditoria técnica es por lo tanto evaluar si la estructura
informativa de su organización se puede alcanzar fácilmente de no, sin la
autorización.
¿Por qué debe uno realizar una auditoría técnica?
La auditoria técnica informa a su organización sus vulnerabilidades potenciales
de los ataques del ordenador y propone medidas para corregirlas. Una
auditoria técnica permitirá que ustedes, entre otras cosas, contesten a las
preguntas siguientes:
•
•
•
•
•
•
“Recomendaría a los
consultores de Above Security
a cualquier banco que quieren
reducir su exposición a las
amenazas.”
― Principal documentalista de un
banco del Caribe
¿Qué clase de auditorías técnicas es ofrecida por Above Security?
Una gama amplia de auditorías técnicas es ofrecida por Above Security. Estas
pruebas son realizadas por nuestros consultores de seguridad en un ambiente
seguro y controlado, usando las mismas técnicas que piratas informáticos.
Las pruebas de la intrusión se aplican a los activos informativos de su
compañía:
•
•
•
¿Se protegen los datos confidenciales pozo?
¿Es posible aprovecharse de un acceso desautorizado a nuestros
activos informativos (sitio Web, red corporativa, etc.)?
¿Es posible pedir fraudulento productos en nuestro sitio Web del
comercio electrónico?
¿Puede un cliente fraudulento tener acceso a otra cuenta de cliente?
¿Podían nuestros sitios Web y nuestras redes llegar a ser
inasequibles?
¿Podría un pirata informático tomar el control de uno de nuestros
activos?
Red externa
Red interna
Aplicación Web
Evaluación de vulnerabilidades y prueba de intrusión
Según las necesidades de su organización, las auditorías técnicas se pueden realizar
según dos niveles de detalles:
•
•
Evaluación de la vulnerabilidad: Identifiquen los problemas de seguridad dentro
de la infraestructura del cliente usando herramientas automatizadas y una
intervención manual limitada. Una lista de vulnerabilidades encontradas y las
medidas correctivas asociadas se proporcionan. La cuantificación del impacto
potencial de las amenazas identificadas en los activos probados se deja a la
discreción del cliente.
Prueba de la intrusión: Ilustra con eficacia la inseguridad de los componentes
evaluados y cuantifica el grado y el impacto de las vulnerabilidades descubiertas.
Amplía los descubrimientos hechos durante la evaluación de la vulnerabilidad
explotando problemas descubiertos para tener accesos privilegiados a los activos
o para tomar unos “trofeos”, por ejemplo: nombres del usuario, contraseñas o
datos de usuario confidenciales como prueba de la entrada. La explotación de la
vulnerabilidad tiende a ser más tiempo y esfuerzo que consumen que la
evaluación de la vulnerabilidad.
Hay tres (3) porcentajes de disponibilidad:
Bronce
Oferta/
Porten-taje
de
disponibilidad
Plata
Oro
Auditoría
Validación
Informe
Recomendaciones
Oferta de
BRONCE
Evaluación
de la
vulnerabilidad
Mínima
Automatizado
Herramientas
Oferta de
PLATA
Evaluación
de la
vulnerabilidad
Optimizada
Automatizado y
revisado
+ Resumen
para los
ejecutivos
Ajustadas
Oferta de
ORO
Evaluación
de la
vulnerabilidad
+ prueba de
la intrusión
Completa
Estándar de
Above
Security
Auditoría a
granel
Opcional
Completas
Grey
box
(web)
Opciones
-
-
Opcional
-
¾ Descubrimiento
¾ Situaciones
¾ Prueba
segura
-
Los ejemplos siguientes permitirán que ustedes entiendan el grado de las ofertas. Se
proporcionan para los propósitos de la información solamente.
Esfuerzos estándar necesarios (persona-día)
Tipos de blanco
Bronce
Sistemas internos (10 IP)
Plata
2.0
Aplicación Web
transaccional
Sistemas externos (100 IP)
Plata
+ Grey box
3.0
2.5
1.0
2.5
Oro
6.0
“Me satisfacen realmente
de la evaluación; fue
realizada según nuestras
necesidades específicas.
Recomendaría las pruebas
de la intrusión de Above
Security a otros
municipios.”
― Patrick Lécuyer,
Encargado de la
tecnología de la
información, Ville de
Blainville
Evaluación de vulnerabilidades y prueba de intrusión
Auditoria de BRONCE: Prueba automatizada de la vulnerabilidad
Ésta es la mayoría del coste y de la evaluación tiempo-eficiente de la
vulnerabilidad. Esta oferta apunta las organizaciones grandes que desean evaluar
una gran cantidad de activos. Por lo tanto, se limita para abultar las auditorias
(más de 50 activos de la información).
Actividades incluidas
Evaluación automatizada de la vulnerabilidad para la infraestructura y las
aplicaciones web;
Primera validación del nivel: sabido o manifiesten los positivos falsos y las
vulnerabilidades potencialmente críticas;
Divulguen generado
automatizadas;
por
nuestras
herramientas
de
exploración
Recomendaciones proporcionadas por las herramientas de la exploración.
Auditoria de PLATA: Prueba optimizada de la vulnerabilidad
Esta oferta intermedia, de que proporciona en última instancia un informe
optimizado, debe resolver la mayor parte de las expectativas de sociedades en la
evaluación de las vulnerabilidades. Como la auditoria de bronce, esta oferta se
recomienda particularmente para las organizaciones grandes que desean evaluar
una gran cantidad de activos. Un modo de auditoría a granel, principalmente con
respecto a la evaluación de la infraestructura, por lo tanto estará disponible.
Actividades incluidas
Evaluación automatizada de la vulnerabilidad para la infraestructura y las
aplicaciones web;
Validación llana: sabido o manifiesten
vulnerabilidades críticas, altas y medias;
los
positivos
falsos
y
las
Evaluación de los riesgos asociados para las vulnerabilidades altas y críticas
validadas.
Las recomendaciones proporcionaron por las herramientas y el control de
calidad de la exploración;
Evaluación de la postura general de la seguridad;
Revisión del informe de la herramienta y del documento de síntesis
personalizado.
Opción
Prueben en el modo “grey box” para las aplicaciones web que necesitan la
autentificación.
Evaluación de vulnerabilidades y prueba de intrusión
Auditoria de ORO: Prueba profundizada de la intrusión
Esta oferta corresponde al perfil estándar de la auditoria de Above Security y propone
un servicio completo, incluyendo una prueba de la intrusión.
Actividades incluidas
Evaluación automatizada de la vulnerabilidad para la infraestructura y las
aplicaciones Web;
Prueben en el modo “grey box” para las aplicaciones Web que necesitan la
autentificación;
Validación y nueva evaluación completa de las vulnerabilidades identificadas;
Explotación automatizada y manual de las vulnerabilidades;
Recomendaciones específicas;
Evaluación de la postura general de la seguridad;
Informe personalizado, incluyendo un resumen para los ejecutivos.
Opciones
Diversos modos del ataque:
• Blancos sabidas (por abandono) o descubrimientos;
• Pruebas profundizadas (por abandono) o en un modo “de
doble anonimato” (de la cautela).
Ejecución de las diversas situaciones del ataque para los propósitos de
prueba internos;
Explotación en modo seguro: no se realizará ninguna hazaña o prueba
activa que lleva a los riesgos sabidos para el servicio o el uso apuntado.
¿Por qué elijan a Above Security para un mandato de la prueba de la intrusión?
Representamos hacia fuera principalmente las razones siguientes:
La seguridad de información no representa, para nuestra organización, una extensión
de otros servicios, sino de hecho nuestra primera y primaria misión. Este foco trae a
nuestros clientes una experiencia del nivel superior que no se pueda igualar fácilmente
en el mercado.
El equipo de Above Security ha realizado más de 300 evaluaciones de la seguridad (las
auditorias y las pruebas técnicas de la intrusión) durante los diez años pasados.
La experiencia de nuestro equipo en este tipo de intervención, particularmente con
aplicaciones Web, nos hace a un socio de la opción para cualquier organización que
desee obtener la opinión mejor, referente al nivel de vulnerabilidad de sus sistemas de
información.
Desde 1999, Above Security les da la paz interior que ustedes merecen alcanzar sus
objetivos de negocio.
Comuníquese con:
1919, Lionel-Bertrand Blvd.
Suite 203
Boisbriand, Qc J7H 1N8
Canada
Telephone:
1- 450-430-8166
Toll free (North America only):
1-866-430-8166
info@abovesecurity.com
www.abovesecurity.com
Descargar