¿Qué es una auditoría de seguridad?


Las auditorías de seguridad son un complemento de los tests de penetración, ya que añaden una capa adicional de evaluación de aspectos técnicos como el código fuente, la configuración del sistema y de la red y otra documentación a la que normalmente los atacantes no tienen acceso. Estos servicios permiten descubrir lagunas de seguridad que tienen un impacto importante y duradero pero que son difíciles de identificar con la función de "caja negra".




Los resultados de estos servicios permiten que SSL247® le proporcione recomendaciones específicas (un parche correctivo para una auditoría de código fuente, por ejemplo) y le ofrezca información sobre el estado de las aplicaciones, el sistema y la red que se han puesto a prueba.



SSL247® ofrece las siguientes auditorías de seguridad:



Análisis de la configuración

Una auditoría de seguridad exhaustiva de conmutadores, routers y otros dispositivos importantes de su red.

Análisis del código fuente

Una auditoría completa que identifica vulnerabilidades en el código de su aplicación.

Análisis de la arquitectura de seguridad

Una auditoría que identifica los puntos fuertes y débiles de la arquitectura y la seguridad de su sistema de información.



¿Cuál es la mejor solución para su organización?

Nuestros encargados de realizar los tests de penetración han creado un cuestionario personalizado para saber cuáles son los servicios que mejor resolverán sus problemas y satisfarán sus necesidades.



Auditorías de seguridad propuestas por SSL247®

Análisis de la configuración


Un análisis de la configuración evalúa la seguridad de uno o varios dispositivos de su red y la forma en la que estos están configurados o integrados.

Nuestros consultores especializados tendrán como objetivo identificar las diferencias entre la configuración de seguridad de los componentes (como el servidor, la estación de trabajo, la base de datos, aplicaciones específicas, etc.) y las prácticas recomendadas de seguridad.

Este análisis abarca los siguientes puntos:

42x42

Identificación específica y completa de incoherencias y errores que hacen que la plataforma quede expuesta a un riesgo de seguridad.

42x42

Identificación de puntos débiles y evaluación de los riesgos asociados (como el impacto del riesgo y la seguridad o la complejidad del ataque).

42x42

Creación de un plan de soluciones para mejorar el nivel de seguridad y la configuración de los componentes, incluyendo propuestas específicas y precisas que se ajusten a sus necesidades.

La metodología de un análisis de la configuración se puede adaptar a cualquier tipo de medio, entre los que se incluyen servidores o estaciones de trabajo (Windows, Unix, etc.), servidores de bases de datos, servidores de aplicaciones, equipo de red (reglas de filtrado), equipo telefónico (PABX, IP PBX, XVI...) y terminales móviles. Nuestros consultores son capaces de generar guías para mejorar la seguridad y pueden proporcionar recursos a sus equipos para que empleen métodos de prácticas recomendadas con cualquier tipo de tecnología de SSL247®.

También podemos desarrollar scripts de verificación ("comprobaciones del cumplimiento") que abarcan un gran ámbito y garantizan la seguridad de las configuraciones a largo plazo.

Nuestros análisis de la configuración proporcionarán una gran variedad de implicaciones en su negocio (desde procedimientos de gestión hasta implementaciones técnicas).

El servicio se divide en dos fases:

Fase 1: Comprensión del contexto y la utilidad de cada elemento

  • De esta manera se ofrece al auditor una comprensión global y se pueden obtener resultados específicos en contexto.
  • Esta fase puede incluir el análisis de la documentación y el desarrollo de entrevistas con los equipos técnicos para conseguir una evaluación más completa.

Fase 2: Análisis de vulnerabilidades Verificación de todos los servicios de equipo y análisis de todos los elementos de configuración

  • Se verifican sistemáticamente las actualizaciones de cada servicio.
  • Se prestará especial atención a todos los mecanismos de seguridad, estén activos o no (cifrado de datos, análisis del sistema antivirus, etc.).
 

Análisis del código fuente


Un análisis del código fuente es el servicio más completo que puede llevarse a cabo en una aplicación, ya que puede detectar por completo las vulnerabilidades que afectan a cualquier aplicación mediante un examen del código fuente.

42x42
Requisitos previos

Para este tipo de análisis se necesita disponer del propio código fuente y de la documentación adicional relacionada. También se pueden realizar entrevistas con los desarrolladores y arquitectos para obtener un análisis más completo.

42x42
Investigación exhaustiva de la aplicación

Un análisis del código fuente nos permite ir más allá de las vulnerabilidades que se pueden detectar con un test de caja negra (especialmente durante un test de penetración de aplicaciones). Con este análisis se detectan puntos débiles dentro de los mecanismos internos, como la falta de cifrado y de prácticas recomendadas en desarrollo, y puntos débiles en la autenticación, la trazabilidad y los procesos de inicio de sesión. Ser capaz de detectar y corregir estos puntos débiles puede aumentar de manera considerable el nivel global de seguridad de su aplicación.

42x42
Cumplimiento de las normativas

En caso de que fuera necesario, también podemos validar el cumplimiento de las normativas vigentes (reglas impuestas por el estándar PCI DSS para el cifrado y otros, requisitos de las autoridades reguladoras, cumplimiento de los requisitos legales para sitios web públicos, etc.).

42x42
Tests de penetración complementarios

Con este tipo de análisis podemos llevar a cabo un test de penetración de aplicaciones complementario para combinar ambos enfoques y obtener los resultados más completos posibles.


 

Análisis de la arquitectura de seguridad


Este análisis técnico incluye una evaluación rápida de la arquitectura técnica analizada, basándose en la información y los elementos proporcionados. No abarca el uso de controles técnicos en los sistemas pero sí se consideran puntos de acceso técnicos y los procedimientos del plan de actuación inicial.

Este análisis se compone de:
42x42

La identificación de necesidades y el análisis de la situación actual: Normalmente, esto se lleva a cabo mediante entrevistas con los equipos de ventas, los equipos técnicos (producción e ingeniería) y los equipos de organización (seguridad). Con estas reuniones se establecerán los requisitos de cada departamento que se podrán analizar después frente al plan de seguridad y los mecanismos de protección existentes.

42x42

Un inventario de resultados: Análisis de los resultados del test (tests de penetración incluidos) e identificación de los riesgos principales asociados con la arquitectura actual.

42x42

Una presentación con prácticas recomendadas y observaciones: organización (proceso, estrategia), funcionamiento, administración y arquitectura, documentación y procedimientos.

 


Informes detallados y completos

Nuestros informes son mucho más que una mera lista de vulnerabilidades generada con una herramienta automatizada. Desde la metodología y las estrategias empleadas hasta las trazas de la información, nuestros informes ofrecen la máxima información posible, lo que permite a sus equipos comprender y replicar el uso o la verificación de todas las vulnerabilidades identificadas.


 

SSL247 Security Audit Report




Este servicio podría ser también de su interés:

Ingeniería social
Red Team
Respuesta a incidentes


¿Por qué elegir SSL247®?

SSL247®tiene más de 15 años de experiencia y conocimiento del sector de la seguridad web, además de numerosas acreditaciones como el EMEA Symantec Champion Award 2017. Somos especialistas en continuidad empresarial en línea y estamos orgullosos de poder ofrecer las siguientes características:

Flexibles y con gran capacidad de respuesta

Nuestros consultores de seguridad acreditados y nuestros encargados de tests certificados están a su disposición para responder y asesorarle con el método que mejor se ajusta a sus necesidades.

Con grandes competencias técnicas

Todos nuestros consultores y auditores reciben formación periódica de organizaciones externas para mantenerse al día de las vulnerabilidades y técnicas de ataque más modernas.

Expertos certificados

Nuestros consultores disponen de las siguientes certificaciones, entre otras: OSCP (Offensive Security Certified Professional), OSCE (Offensive Security Certified Expert) y OPST (OSSTMM Professional Security Tester).



Póngase en contacto con nosotros

Si desea obtener más información sobre las ventajas que nuestros servicios de evaluación de la seguridad pueden aportar a su empresa, póngase en contacto con uno de nuestros consultores acreditados:

+34 911 871 511
sales@ssl247.es