Cyber Security Services

Análisis de vulnerabilidades

y pruebas de penetración

Características

Diariamente se descubren vulnerabilidades en los sistemas que son aprovechadas inmediatamente por amenazas tanto externas como internas de las organizaciones.

La capacidad de identificar vulnerabilidades es un proceso de seguridad que debe garantizar que los activos se encuentren en el menor riesgo posible. 

El servicio de análisis de vulnerabilidades y pruebas de penetración permite la detección preventiva de deficiencias de seguridad tanto en redes externas (internet) como interna, identificación de debilidades en aplicaciones web, aplicaciones de escritorio (Thick Apps), móviles e infraestructura de telecomunicaciones

Metodología

CAPEC (Common Attack Pattern Enumeration and Classification)

PTES (Penetration Testing Execution Standard).

OSSTMM, (Open Source Security Testing Methodology Manual)

Servicios de Pruebas de Penetración

  • Aplicaciones​​

    • Web​

    • Cliente servidor

    • Móviles (Android y IOS)

Pruebas de Penetración a aplicaciones web, cliente servidor y móviles de uso interno o externo, con el objetivo de identificar y evaluar los posibles riesgos a los que se encuentre expuesta la organización.

La ejecución de las pruebas se realizará con base en la definición de posibles escenarios y objetivos de ataque. Por cada aplicación se analizará:  

  • Capa presentación

  • Servidor es de presentación

  • Capa Aplicación  

  • Servidor Aplicativo

  • Capa de Base de datos

  • Servidores de soporte de BD  

  • Instancias de bases de datos

  • Servicios Web (en caso de aplicar)

  • Revisión de configuraciones internas de seguridad de la aplicación y servidores que soporta.

  • Las pruebas se realizarán tomando como base    el framework de pruebas de penetración de OWASP.  

  • Las pruebas a los aplicativos se realizarán con un enfoque de caja gris con un usuario válido

  • Servicios de TI

Pruebas de Penetración a servicios tecnológicos que soportan la operación del negocio para la identificación de posibles riesgos e impactos a negocio. 
 
Las pruebas se realizarán con base en la definición de posibles escenarios y objetivos de ataque.  
 

  • Se validará la seguridad de la infraestructura de soporte de los servicios en el alcance.  

  • Las pruebas a los Servicios TI se realizarán con un enfoque de caja gris con un usuario válido (en caso necesario). 

  • Red Interna

Pruebas de Penetración a la red interna (red cableada), identificación de posibles riesgos e impactos a los que se encuentre expuesta la organización.  
 

Las pruebas validarán la seguridad de los servicios, aplicativos disponibles a los usuarios, así como los controles de seguridad implementados en la red y equipos de usuario final, así como la factibilidad de que un atacante ingrese a la red. 
 
La ejecución de las pruebas se realizará con base en la definición del enfoque, alcance, escenarios y objetivos de ataque. 

El servicio incluirá:

  • Identificación de servicios disponibles en la red interna. 

  • Identificación de vulnerabilidades en los servicios. 

  • Evasión de controles de seguridad.  

  • Identificación y evaluación de Riesgo.

  • Explotación de vulnerabilidades en los servicios.

  • Cronograma de actividades.

  • Red Perimetral

Pruebas de Penetración a la red perimetral para la, identificación de posibles riesgos e impactos a los que se encuentre expuesta la organización. 
 seguridad de las aplicaciones y servicios web expuestos a internet, así como la factibilidad de que un atacante ingrese a la red interna.
La ejecución de las pruebas, se realizarán con base en la definición del enfoque, alcance, escenarios y objetivos que se definan con El Coordinador. 
 
 
El servicio incluirá:

  • Identificación de información de la organización a través de técnicas de OSINT. 

  • Identificación de segmentos de red expuestos a internet.

  • Identificación de sitios y servicios web expuestos a internet.

  • Pruebas de penetración en activos identificados. 

  • Identificación y evaluación de riesgos.

  • Cronograma de actividades.

SOW

  • Primer análisis

  • Identificación de aplicaciones y servicios, altos y criticos.

  • Diseño del plan de pruebas de penetración.

Utilidad 

 

  • Consultores con alta experiencia, respaldados por CSASC, ejecutaran pruebas de penetración para la identificación y explotación de vulnerabilidades.

  • Identificación de riesgos e impacto al negocio.

  • Certificación del nivel de seguridad del aplicativo o servicio.

Entregable

  • Documentación

    • Matriz de vulnerabilidades

    • Matriz de riesgos

    • Bitácoras de actividades (relación de vulnerabilidad y activo)

    • Reporte técnico

    • Presentación de Kick Off

    • Presentación ejecutiva

 

  • Seguimiento

    • Contextualización técnica

    • Presentación de proyecto a interesados (Kickoff)

    • Presentación de resultados preliminares

    • Re-test de vulnerabilidades mitigadas

    • Presentación ejecutiva de resultados finales

¿Que nos hace diferentes?

Nuestros consultores son expertos que proporcionan asesoramiento profesional en un campo particular de la ciencia o negocio. 

 

Como no se otorga protección legal al título de "consultor", en teoría, cualquiera puede despertarse  un día y decidir adoptar el título de consultor. 

 

Nuestros consultores están respaldados por CSASC cuentan en esencia con tres características que los distinguen:

En primer lugar, proporcionan la experiencia que un cliente carece o el apoyo que un cliente no puede cumplir. 

En segundo lugar, operan independientemente del cliente, lo que implica que, no habrá conflicto de intereses entre el problema del cliente y los servicios. 

 

En tercer lugar, operará de una manera profesional, que va desde tener las calificaciones correctas hasta garantizar un servicio de alta calidad y una operación interna sólida.

Características de nuestros consultores que darán valor a su negocio

• Ofrecen una visión objetiva de los problemas y soluciones. 


• Son menos susceptibles a las políticas internas y / o situaciones sensibles.

 
• La contratación de consultoría puede ser más barata en ciertas áreas que conservar la experiencia interna.

 
• Cuando las empresas se encuentran con poca capacidad para proyectos / posiciones, los consultores pueden reabastecerse.

 
• Los consultores pueden hacer el 'trabajo sucio' más fácilmente, es decir, tomar las decisiones que nadie quiere hacer internamente

NUESTROS VALORES

CERCANÍA 

Disponibilidad, acompañamiento, empatía y atención personalizada.

CALIDAD

En todo lo que hacemos y ofrecemos, comenzando con el servicio a nuestros clientes, hasta el más mínimo detalle en ser un facilitador para lograr sus metas.

COMPROMISO

Hacer las cosas bien. Así de simple: hacerlas en tiempo y forma, consistente y recurrentemente

ESTÁS A UN PASO DE EVOLUCIONAR...

HUB

HUB es un grupo líder en el ramo de capacitación y consultoría con mas de 100 colaboradores directos e indirectos a lo largo de la República Mexicana y America Latina

  • Facebook
  • Twitter

CDMX | TORRE REFORMA

 Paseo de la Reforma 483, Piso 14
Col. Cuauhtémoc

GUADALAJARA |  CENTRAL PARK

Diagonal  San Jorge 100,
Col. Vallarta San Jorge

MONTERREY | PABELLON M

 Juárez #1102 Pte, Piso 4 y 5
Col. Centro,

CDMX - QRO - GDL - MTY

Tel: 55 50150510

©2020 por Certification Hub. Es una empresa de Hub México