Evaluación de vulnerabilidades y prueba de intrusión Above Security ofrece tecnologías, procesos y asesoramiento de experto avanzados en seguridad de información para darles la paz interior para ayudar a su alcance del negocio sus objetivos. ¿Cuál es una auditoria de seguridad técnica? Las auditorias técnicas detectan las vulnerabilidades que se pueden utilizar por los usuarios desautorizados y subrayan las debilidades de los procesos de la seguridad de la compañía. Son llevadas por los ethical hackers, empleadas y asignadas por mandato por la compañía, que simulan ataques usando las mismas técnicas que un atacante malévolo. El objetivo de una auditoria técnica es por lo tanto evaluar si la estructura informativa de su organización se puede alcanzar fácilmente de no, sin la autorización. ¿Por qué debe uno realizar una auditoría técnica? La auditoria técnica informa a su organización sus vulnerabilidades potenciales de los ataques del ordenador y propone medidas para corregirlas. Una auditoria técnica permitirá que ustedes, entre otras cosas, contesten a las preguntas siguientes: • • • • • • “Recomendaría a los consultores de Above Security a cualquier banco que quieren reducir su exposición a las amenazas.” ― Principal documentalista de un banco del Caribe ¿Qué clase de auditorías técnicas es ofrecida por Above Security? Una gama amplia de auditorías técnicas es ofrecida por Above Security. Estas pruebas son realizadas por nuestros consultores de seguridad en un ambiente seguro y controlado, usando las mismas técnicas que piratas informáticos. Las pruebas de la intrusión se aplican a los activos informativos de su compañía: • • • ¿Se protegen los datos confidenciales pozo? ¿Es posible aprovecharse de un acceso desautorizado a nuestros activos informativos (sitio Web, red corporativa, etc.)? ¿Es posible pedir fraudulento productos en nuestro sitio Web del comercio electrónico? ¿Puede un cliente fraudulento tener acceso a otra cuenta de cliente? ¿Podían nuestros sitios Web y nuestras redes llegar a ser inasequibles? ¿Podría un pirata informático tomar el control de uno de nuestros activos? Red externa Red interna Aplicación Web Evaluación de vulnerabilidades y prueba de intrusión Según las necesidades de su organización, las auditorías técnicas se pueden realizar según dos niveles de detalles: • • Evaluación de la vulnerabilidad: Identifiquen los problemas de seguridad dentro de la infraestructura del cliente usando herramientas automatizadas y una intervención manual limitada. Una lista de vulnerabilidades encontradas y las medidas correctivas asociadas se proporcionan. La cuantificación del impacto potencial de las amenazas identificadas en los activos probados se deja a la discreción del cliente. Prueba de la intrusión: Ilustra con eficacia la inseguridad de los componentes evaluados y cuantifica el grado y el impacto de las vulnerabilidades descubiertas. Amplía los descubrimientos hechos durante la evaluación de la vulnerabilidad explotando problemas descubiertos para tener accesos privilegiados a los activos o para tomar unos “trofeos”, por ejemplo: nombres del usuario, contraseñas o datos de usuario confidenciales como prueba de la entrada. La explotación de la vulnerabilidad tiende a ser más tiempo y esfuerzo que consumen que la evaluación de la vulnerabilidad. Hay tres (3) porcentajes de disponibilidad: Bronce Oferta/ Porten-taje de disponibilidad Plata Oro Auditoría Validación Informe Recomendaciones Oferta de BRONCE Evaluación de la vulnerabilidad Mínima Automatizado Herramientas Oferta de PLATA Evaluación de la vulnerabilidad Optimizada Automatizado y revisado + Resumen para los ejecutivos Ajustadas Oferta de ORO Evaluación de la vulnerabilidad + prueba de la intrusión Completa Estándar de Above Security Auditoría a granel Opcional Completas Grey box (web) Opciones - - Opcional - ¾ Descubrimiento ¾ Situaciones ¾ Prueba segura - Los ejemplos siguientes permitirán que ustedes entiendan el grado de las ofertas. Se proporcionan para los propósitos de la información solamente. Esfuerzos estándar necesarios (persona-día) Tipos de blanco Bronce Sistemas internos (10 IP) Plata 2.0 Aplicación Web transaccional Sistemas externos (100 IP) Plata + Grey box 3.0 2.5 1.0 2.5 Oro 6.0 “Me satisfacen realmente de la evaluación; fue realizada según nuestras necesidades específicas. Recomendaría las pruebas de la intrusión de Above Security a otros municipios.” ― Patrick Lécuyer, Encargado de la tecnología de la información, Ville de Blainville Evaluación de vulnerabilidades y prueba de intrusión Auditoria de BRONCE: Prueba automatizada de la vulnerabilidad Ésta es la mayoría del coste y de la evaluación tiempo-eficiente de la vulnerabilidad. Esta oferta apunta las organizaciones grandes que desean evaluar una gran cantidad de activos. Por lo tanto, se limita para abultar las auditorias (más de 50 activos de la información). Actividades incluidas Evaluación automatizada de la vulnerabilidad para la infraestructura y las aplicaciones web; Primera validación del nivel: sabido o manifiesten los positivos falsos y las vulnerabilidades potencialmente críticas; Divulguen generado automatizadas; por nuestras herramientas de exploración Recomendaciones proporcionadas por las herramientas de la exploración. Auditoria de PLATA: Prueba optimizada de la vulnerabilidad Esta oferta intermedia, de que proporciona en última instancia un informe optimizado, debe resolver la mayor parte de las expectativas de sociedades en la evaluación de las vulnerabilidades. Como la auditoria de bronce, esta oferta se recomienda particularmente para las organizaciones grandes que desean evaluar una gran cantidad de activos. Un modo de auditoría a granel, principalmente con respecto a la evaluación de la infraestructura, por lo tanto estará disponible. Actividades incluidas Evaluación automatizada de la vulnerabilidad para la infraestructura y las aplicaciones web; Validación llana: sabido o manifiesten vulnerabilidades críticas, altas y medias; los positivos falsos y las Evaluación de los riesgos asociados para las vulnerabilidades altas y críticas validadas. Las recomendaciones proporcionaron por las herramientas y el control de calidad de la exploración; Evaluación de la postura general de la seguridad; Revisión del informe de la herramienta y del documento de síntesis personalizado. Opción Prueben en el modo “grey box” para las aplicaciones web que necesitan la autentificación. Evaluación de vulnerabilidades y prueba de intrusión Auditoria de ORO: Prueba profundizada de la intrusión Esta oferta corresponde al perfil estándar de la auditoria de Above Security y propone un servicio completo, incluyendo una prueba de la intrusión. Actividades incluidas Evaluación automatizada de la vulnerabilidad para la infraestructura y las aplicaciones Web; Prueben en el modo “grey box” para las aplicaciones Web que necesitan la autentificación; Validación y nueva evaluación completa de las vulnerabilidades identificadas; Explotación automatizada y manual de las vulnerabilidades; Recomendaciones específicas; Evaluación de la postura general de la seguridad; Informe personalizado, incluyendo un resumen para los ejecutivos. Opciones Diversos modos del ataque: • Blancos sabidas (por abandono) o descubrimientos; • Pruebas profundizadas (por abandono) o en un modo “de doble anonimato” (de la cautela). Ejecución de las diversas situaciones del ataque para los propósitos de prueba internos; Explotación en modo seguro: no se realizará ninguna hazaña o prueba activa que lleva a los riesgos sabidos para el servicio o el uso apuntado. ¿Por qué elijan a Above Security para un mandato de la prueba de la intrusión? Representamos hacia fuera principalmente las razones siguientes: La seguridad de información no representa, para nuestra organización, una extensión de otros servicios, sino de hecho nuestra primera y primaria misión. Este foco trae a nuestros clientes una experiencia del nivel superior que no se pueda igualar fácilmente en el mercado. El equipo de Above Security ha realizado más de 300 evaluaciones de la seguridad (las auditorias y las pruebas técnicas de la intrusión) durante los diez años pasados. La experiencia de nuestro equipo en este tipo de intervención, particularmente con aplicaciones Web, nos hace a un socio de la opción para cualquier organización que desee obtener la opinión mejor, referente al nivel de vulnerabilidad de sus sistemas de información. Desde 1999, Above Security les da la paz interior que ustedes merecen alcanzar sus objetivos de negocio. Comuníquese con: 1919, Lionel-Bertrand Blvd. Suite 203 Boisbriand, Qc J7H 1N8 Canada Telephone: 1- 450-430-8166 Toll free (North America only): 1-866-430-8166 [email protected] www.abovesecurity.com