Diagnóstico de Seguridad Informática

Pruebas de penetración por Internet e Intranet. Se analizan posibilidades de ataque desde afuera por una persona totalmente ajena a la empresa, así como también, ataques internos por un empleado o proveedor.

Objetivo de la prueba

Evaluar la preparación de la empresa para resistir y/o detectar un ataque informático.

Meta de la prueba

Lograr acceso no autorizado a información crítica o sensible.

Estrategia

Conseguir los máximos privilegios posibles dentro de la red y en los servidores. Buscar ser administrador de los equipos y aplicaciones.

Alcance

Internet Pen Test (Black Box)

• Se prueba la seguridad del perímetro
• Análisis externo de nodos y topología
• Recopilación de información sensible y explotación vía ingeniería social
• Revisión de efectividad y vulnerabilidades de
  • Aplicaciones Web
  • Servidores
  • Ruteadores y firewall
• War driving de instalaciones principales para identificar accesos inalámbricos
• War dialing de rangos telefónicos de la empresa para encontrar modems
• Si es obtenido acceso remoto, revisión de debilidades para escalar privilegios y profundizar en la red desde afuera

Intranet Pen Test (White Box)

• Se prueba la seguridad interna
• Análisis interno de nodos y topología
• Revisión de vulnerabilidades de:
  • Desarrollos propios
  • Aplicaciones comerciales
  • Sistemas operativos
  • Dispositivos de red
• Identificación de información sensible
• Escalamiento de privilegios

Entregables

• Se entrega un reporte y se da una demostración de las vulnerabilidades encontradas
• Se muestran evidencias de las vulnerabilidades principales
• Recomendaciones de cómo mitigar los problemas y optimizar su seguridad