Auditoría de Sistemas

Gracias a la auditoria de sistemas podremos mitigar los ataques, las amenazas y las consecuencias de aplicar unas medidas de protección bajas aumentan día a día, el mundo parece cada vez más interesado en los problemas de la seguridad informática, la piratería y el robo de información.
Por ello, en hirusecofrecemos los siguientes tipos de auditorías de seguridad:

Caja Blanca

Llegamos a la parte en la que el auditor tiene más trabajo, pero tiene más probabilidades de éxito.
En esta auditoría se dispondrá de toda la información necesaria para realizar el test de intrusión, usuarios con diferentes privilegios, mapas de red, firewalls, aplicativos.
Este tipo de test se demora en el tiempo porque se deben de analizar muchos componentes de la infraestructura al igual que realizar un test exhaustivo del software y las versiones instaladas en los sistemas.
Al disponer de información sobre los sistemas, usuarios, información sobre la arquitectura y diseño de la infraestructura los vectores de ataques se multiplican por tanto es necesario analizar y evaluar cada uno de ellos demorando de este modo los resultados de la auditoría. No debemos de olvidar que todos los test de penetración que se realicen tendrán siempre el mismo procedimiento y es el de recopilar, analizar y explotar el sistema vulnerable para llegar al objetivo marcado, no el de evaluar las vulnerabilidades y el de valorar sus riesgos.

Caja Negra

Una auditoría de caja negra es muy demanda por que simula un ataque real de un hacker con malas intenciones.
En este tipo de auditoría al profesional no se le proporciona ningún tipo de documento técnico, mapas de red o usuarios del sistema. Suelen realizarse en remoto, puesto que el ataque a ciegas a una multinacional puede llevar meses, para optimizar el tiempo las empresas suelen entregar una IP o un rango de IPs para que sean analizadas.
Con las direcciones IP recibidas debemos ser capaces de crear un mapa aplicativo, un mapa organizativo y utilizando la información recabada debemos tener éxito en la intrusión.
Al no disponer de información sobre la infraestructura que forma la empresa el auditor deberá por tanto ir generándola a lo largo del pentest redactando un borrador donde se almacenará la información para luego catalogarla y analizarla.
Es por ello que es muy importante seguir bien las fases que componen un pentest y ser muy estrictos y organizados con la información que vayamos encontrando y recopilando evidencias según se vayan encontrando.
Por lo tanto, el tiempo de la auditoría puede ser largo o corto y el éxito de la auditoría se basará en el ingenio y los conocimientos usados por el auditor para explotar los sistemas con éxito.

Caja Gris

Nos encontramos entre una auditoría decaja blanca y una auditoría de caja negra. Suelen realizarse parte en remoto y parte en las oficinas del cliente.
Normalmente este tipo de auditorías suelen evaluar el nivel de salud en el que se encuentran en la organización ante un ataque externo o interno.
Este tipo de auditorías mixtas se solicitan para poner a prueba la infraestructura externa sin descuidar la seguridad interna de la compañía. Se proporcionarán datos de infraestructura, cuentas de usuario habitualmente sin privilegios, información general sobre las aplicaciones a analizar y seguramente instrucciones concretas de las partes que deseen ser analizadas.
Según los datos analizados por especialistas, es más común una fuga de datos desde dentro de la empresa que desde un ataque externo. Normalmente los ataques internos o la fuga de datos se deben en gran parte a empleados descontentos que disponen de acceso a información sobre la infraestructura y acceso a los sistemas, habitualmente con usuarios limitados. La información proporcionada permite al auditor conocer mejor la infraestructura de modo que le facilita el test de intrusión, aunque también habrá que tener en cuenta que son más los componentes que se deben analizar.

Pentesting

Está diseñado para lograr un objetivo concreto que no es otro que el de simular la posición de un atacante real.
El objetivo de un pentest no es el de encontrar y analizar todas las vulnerabilidades al detalle sino no acceder al sistema a través de ellas.
Este tipo de pruebas suelen ser solicitadas por clientes que conocen la salud de sus sistemas y desean verificar el estado de los mismos.
Por otra parte, hay normativas que obligan a realizar estas pruebas periódicamente con multas por incumplimiento, por ejemplo, en entornos bancarios el PCI DSS (Payment Card Industry Data Security Standard) requiere un testeo anual y otro si se realizan cambios importantes en la infraestructura.
Al finalizar el pentest se entregará un informe que será la prueba donde se expondrán las evidencias de la explotación de las vulnerabilidades a las que se ha tenido acceso para lograr el objetivo acordado, el resto de las vulnerabilidades halladas y categorizadas y su posible impacto en el negocio.

Análisis de Vulnerabilidades

La evaluación de vulnerabilidades tiene por objetivo identificar y cuantificar la exposición de un sistema ante el riesgo de ataques internos o externos. Las empresas realizan estas evaluaciones para conocer en qué estado se encuentran a nivel de seguridad para determinar y priorizar la solución de las vulnerabilidades según su criticidad y riesgo con mayor precisión.
Cuantos más puntos de vulnerabilidad se encuentren más completo será el análisis, otorgando un mejor enfoque y un mayor grado de entendimiento del estado en el que se encuentra la organización.
El auditor presenta un informe completo con todas las vulnerabilidades encontradas, categorizadas por impacto y riesgo. Esta información permite definir con el cliente un plan de actuación según las recomendaciones y según los riesgos con mayor precisión y realismo.
La frecuencia de estas evaluaciones debiera ser continua y puede ser realizado por personal interno de la empresa.
La evaluación de vulnerabilidades no tiene como objetivo transgredir la seguridad de un sistema.

---