En LITHEN operamos con diferentes metodologías para evaluar riesgos y vulnerabilidades de seguridad en el desarrollo de infraestructura, de esta manera generamos estrategias integrales vinculadas a los objetivos de tu organización.
Una de estas metodologías son las pruebas de penetración, estás evalúan la seguridad de las organizaciones desde un punto de vista digital. Se utilizan para identificar fallos y mitigarlos antes de que se materialicen y causen un daño a la organización.
Las pruebas van más allá del análisis del código, se enfocan en el hackeo de la aplicación y/o la infraestructura digital. De esta manera se amplía la superficie de análisis para detectar mayor número de vulnerabilidades.
Las pruebas de penetración además permiten clasificar las vulnerabilidades de acuerdo con su tipo: aplicación o infraestructura y nivel de riesgo (Crítico, Alto, Medio, Bajo, Informativo). Proporcionan evidencias de la explotación y el impacto que genera en la organización. Brindan lo necesario para recomendar los controles que fortalezcan la defensa en el entorno digital con un enfoque de gestión de riesgos.
Para definir este servicio, en LITHEN operamos con distintas metodologías avaladas por distintos organismos, entre las más importantes destacan:
Pentesting de caja blanca
En una prueba de caja blanca se conoce la composición interna y se tiene acceso total al software para detectar vulnerabilidades, es decir, tienen pleno acceso al código fuente, a la documentación de la arquitectura y a las credenciales de usuario. Por eso se conoce como caja blanca, porque hay claridad total sobre la estructura que se quiere trabajar. A partir de esta prueba, puedes obtener una evaluación completa de las vulnerabilidades tanto internas como externas de la infraestructura TI.
Pentesting de caja gris
La prueba de penetración de caja gris, tiene una pequeña diferencia con la anterior, ya que solo se tiene acceso a las credenciales y no al código de fuente ni a la documentación de la arquitectura. En este caso, se realizan ataques desde la perspectiva de los usuarios para determinar el impacto que podría tener una persona malintencionada.
Pentesting de caja negra
En un pentesting de caja negra, no posee más información de la que ya es conocida por cualquier persona, poniéndose desde la perspectiva de un hacker externo. No tiene credenciales ni acceso a ninguna información privada.
El objetivo principal de todas estas es conocer si un atacante externo sin información previa podría obtener acceso al sistema, a la aplicación o a los datos de la organización.
Es necesario identificar qué tipo de prueba se realizará, si se trata de un aplicativo o su infraestructura de nube. Estas dos opciones contemplan alcances y metodologías distintas, por lo que es recomendable definirlas.
El tipo de prueba define la manera cómo se realizará la evaluación de seguridad con respecto al punto donde el atacante está situado.
Pruebas internas
Son pruebas que se hacen dentro del ambiente en el que la aplicación converge con infraestructura de nube y en algunos casos en sitio. Generalmente evalúan servicios que no se encuentran publicados en internet. Se pueden realizar en aplicaciones, servidores, bases de datos o la red corporativa.
Pruebas externas
Se realizan sobre los servicios accesibles sólo desde internet, tal y como lo haría un atacante ajeno a la organización. Generalmente no se evalúan algunos servicios de la infraestructura, que solo están disponible si la prueba fuera interna.
El tipo de caja definirá el contexto de la prueba, estipulando si se realizarán pruebas estáticas, dinámicas, con credenciales de acceso al aplicativo o servidor.
En LITHEN te platicamos algunos beneficios de contar con estas Pruebas
- Identificar las vulnerabilidades técnicas que no puedan ser detectadas por un análisis de vulnerabilidad organizacional.
- Identificar y clasificar los hallazgos de acuerdo con estándares internacionales de gestión de riesgos como lo es CVSSv3.1
- Realizar un plan de solución a los hallazgos y de mejora continua.
