Tome su prueba de lo teórico a lo práctico.

Una prueba de penetración simula un ataque a la red de la infraestructura o las aplicaciones de su empresa. El foco de las pruebas de penetración es determinar lo que los atacantes pueden acceder y qué problemas pueden causar.

Durante estos ensayos controlados, un consultor capacitado revisa la seguridad de su infraestructura de red y aplicaciones utilizando las mismas herramientas y técnicas que un atacante podría utilizar. Estas pruebas también pueden llevarse a cabo en secreto, sin el conocimiento de las personas que administran y operan sus sistemas.

Emulando a un intruso en el mundo real, demostramos a dónde existen agujeros y los procedimientos fallan, la cantidad de acceso un atacante podría obtener, y cómo puede asegurar correctamente sus sistemas.

Tipos de evaluación

Los análisis de penetración se pueden clasificar como pruebas externas o pruebas internas.

Pruebas externas

Una prueba de penetración externa simula en la organización dirigida a través de la Internet desde cualquier lugar por cualquier persona en el mundo. Un atacante externo puede orientar su organización por decisión propia o porque su organización tiene una tecnología en particular o tiene una configuración específica.

Pruebas internas

Una prueba de penetración interna reproduce un ataque desde dentro de la red de su organización. El atacante podría ser un empleado pícaro o proveedor que está autorizado para acceder a su red, o un atacante de su seguridad externa para acceder a su red interna. El atacante tiene acceso detrás del cortafuegos, con o sin las credenciales.

Por que es importante

La prueba de penetración es una de las formas más efectivas de evaluación de seguridad porque se dirige a los controles encargados de la protección de su red. Esto ayudará a su organización:

  • Determinar la efectividad de los controles de seguridad
  • Identificar las debilidades en los controles
  • Demostrar el impacto de esas debilidades

Una prueba de penetración comprueba aspectos diversos del programa de seguridad de la organización que involucran tanto a su personal y tecnología. Evalúa si los cortafuegos, sistemas de prevención de intrusos y otros controles técnicos son eficaces y están configurados correctamente para evitar acceso no autorizado a sus sistemas. La prueba determina si todos los parches necesarios de seguridad se han aplicado, así como si el personal de TI puede detectar y responder de manera adecuada a un ataque.

El valor de una prueba de penetración es su capacidad para demostrar el impacto de cualquier vulnerabilidad de seguridad. La gerencia alta y otros tomadores de decisiones a veces pueden pasar por alto los informes de los auditores de TI (y los del personal interno) lo que indica el potencial para un ataque malicioso. Los resultados de una prueba de penetración capturen su atención exponiendo cómo los atacantes ingresaron en los sistemas y lo que ellos fueron capaces de hacer, tales como tomar control de un servidor financiero o acedar a la información sensible. Se tome la seguridad a partir de un nivel teórico a un práctico.

Esta fue la prueba de penetración más profunda y en la que hemos estado.

– Chris Lake-Smith, director de TI, MOA Entertainment Company

Como podemos ayudar

Nuestras pruebas de penetración se escalan para satisfacer las necesidades de su negocio. Sikich ofrece una gran variedad de componentes críticos para las pruebas que pueden ser incluidos como parte de una prueba de penetración completa o conducida como servicios independientes.

Metodología discreta

La metodología probada y flexible utilizado por Sikich proporciona pruebas de alto valor sin sacrificar el rendimiento o la disponibilidad de sus sistemas. La prueba se divide en las siguientes fases:

  • Reconocimiento y descubrimiento - Sikich realiza un estudio de su red o su aplicación y enumera los dispositivos, servicios y versiones de software.
  • Análisis de vulnerabilidad - Identificamos los agujeros de seguridad y vulnerabilidades, y verificamos que las vulnerabilidades son legítimas y no son "resultados falsos."
  • Ataque y penetración - Nuestros consultores experimentados intentan explotar las vulnerabilidades, escalar privilegios y ampliar el acceso a otros sistemas y cuentas.

Sabemos que, en primer lugar, usted tiene un negocio que atender. Probamos sus sistemas de manera que constituya un riesgo mínimo a sus operaciones comerciales, sin dejar de descubrir las debilidades que un atacante podría utilizar para interrumpir las operaciones.

Monografía: MOA Entertainment Company

Lo que necesitaba MOA

El Mall of America (MOA), más de 520 tiendas, acogen a más de 40 millones de visitantes cada año. MOA reconoció la importancia de proteger la integridad de su infraestructura de red y las aplicaciones. En 2005, MOA buscó a Sikich para la ayuda de un experto en la obtención de sus redes a través de pruebas de penetración profundas. Nuestros equipos han estado trabajando juntos desde entonces.

Lo que hizo Sikich

Los consultores experimentados en Sikich trabajaron con el equipo de MOA a formular un plan estructurado, incluyendo extensas pruebas de penetración y el análisis de vulnerabilidad, para apoyar MOA de iniciativas de cumplimiento PCI. A través de las pruebas rigurosas, Sikich ayudó a MOA para determinar la eficacia de sus controles de seguridad existentes.

Los resultados

La presentación de informes detallados creada por Sikich y su equipo de pruebas ofrece un gran valor a la MOA y a su equipo de seguridad para años tras años. Sikich escala las pruebas y las necesidades específicas de MOA y ayuda a definir claramente su alcance. La manera altamente específica de la prueba arroja resultados más pertinentes y mejor dirección de las medidas correctivas necesarias.

Informes detallados y accionables

Parte del valor de una prueba de penetración depende de su capacidad para comprender y actuar sobre los resultados. Escribimos nuestros informes para cumplir con las necesidades de su departamento de TI, los auditores internos y externos y los examinadores. Nuestros informes definen claramente el alcance de las pruebas, describen la metodología utilizada, detallen los resultados de las pruebas y formulan recomendaciones para abordar los hallazgos.

Pruebas de infraestructura de la red

Históricamente, cerca de 20 vulnerabilidades nuevas se descubren cada día. Una prueba de la infraestructura de red se enfoca en cuál bien la red está configurada para impedir la intrusión.

Además de nuestra solución de escaneo de vulnerabilidad, propia también realizamos pruebas manuales para descubrir agujeros potenciales en su red. Ponemos a prueba los dispositivos de red, segmentación, servidores y estaciones de trabajo. Esta prueba va más allá de los escaneos de vulnerabilidad. Una vez que se identifican las zonas de ataque, un consultor capacitado intenta de aprovechar las vulnerabilidades para obtener acceso a sus sistemas.

Exámenes de controles físicos

Controles físicos son medidas preventivas tales como cerraduras, jaulas, vídeo vigilancia y guardias de seguridad. Estos controles suelen ser visibles, pero su eficacia a menudo pasa por alto por las revisiones de seguridad.

Sikich simula los pasos que un atacante real puede tomar cuando se trata de romper su entorno. Vamos a utilizar métodos varios, incluyendo suplantación, ataques "shoulder-surfing" y recolección urbana. Aplique los resultados de estas pruebas para apuntalar sus defensas.

Exámenes de aplicaciones

Aplicaciones se presentan algunos de los riesgos más importantes para los datos de su organización, y las aplicaciones web son esenciales para su presencia en línea. Esto hace que los ataques a las aplicaciones algunos de los más complejos, y con éxito, de los ataques.

Asegurando y probando a las aplicaciones son complejos y requieren conocimiento especializado. Además de herramientas desarrolladas de forma personalizada, Sikich utilice métodos manuales de inspección para descubrir vulnerabilidades de las aplicaciones.

A través de las pruebas de aplicaciones web, Sikich le ayuda a descubrir puntos débiles, incluidos las 10 vulnerabilidades de seguridad más críticas de las aplicaciones web del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP), que se dirigen a los datos y sistemas de su organización, así como aquellos que se dirigen a sus clientes y sus navegadores web.

Ingeniería social

La ingeniería social es un nombre de fantasía da a la técnica por los atacantes a utilizar para manipular a su personal para obtener información sensible o confidencial acerca de su organización o un individuo en particular. Se ha demostrado ser uno de los métodos más eficaces de ataque, haciendo muchos controles técnicos y administrativos ineficaces.

Nuestros consultores de seguridad intentan obtener información confidencial a través de múltiples métodos, incluyendo llamadas telefónicas "pretextas" y campañas "phishing" por correo electrónico. Nuestras pruebas están diseñadas para descubrir amenazas para su organización debido a la divulgación de información, mal use por sus empleados y administración ineficaz de credenciales de usuario.

Busqué y corrige las debilidades de sus sistemas y aplicaciones.

Todo lo que necesita es su nombre y su número de teléfono o correo electrónico para obtener más información acerca de nuestros servicios y experiencia. Si desea, también podrá enviar detalles adicionales después de enviar su información aquí.