Los 4 pilares del Hacking ético de Nunsys

Es una realidad que la evolución de los ciberataques y de la ciberseguridad en los últimos 25 años ha sido rápida y continúa acelerándose a marchas forzadas. Y es que, ‘intentar’ garantizar la seguridad real de una organización ha pasado de ser una opción muy recomendable a una necesidad (y digo intentar porque la seguridad a 100% nunca existe, y el que te diga que sí te está mintiendo), y el hacking ético una de las mejores opciones para prevenir y mitigar riesgos derivados de posibles ciberataques.

¿Qué es el Hacking ético?

El Hacking ético es una conducta por la cual se utilizan los conocimientos relacionados con la informática y la seguridad para detectar anomalías y vulnerabilidades en las infraestructuras tecnológicas, para reportarlas y poder subsanarlas, siempre sin causar daño y con el objetivo de prevenir, antes que curar.

Desde Nunsys, como especialistas en ciberseguridad, ofrecemos un servicio de hacking ético, que permite identificar vulnerabilidades en los sistemas de información y comunicación de cualquier empresa, independientemente del sector en el que opere, y que posibilitarían, a un atacante, causar graves daños en los activos de información de la propia compañía.

Una vez detectadas estas vulnerabilidades, el siguiente paso es identificar el riesgo, e implementar las medidas necesarias para subsanarlo.

 

hacking ético

Por qué apostar por el hacking ético

1- Test de intrusión interno y externo
El test de intrusión interno intenta a su vez emular las condiciones de un ataque desde uno o varios puntos de la red interna de la organización partiendo de una cuenta sin privilegios de administrador y con un conocimiento superficial de la estructura interna de la red de la organización  (Análisis Tipo Caja Gris).
El test de intrusión externo emula las condiciones reales de un ataque por parte de un atacante que no posee información previa de la empresa (Análisis Tipo Caja Negra), partiendo solamente de las direcciones IP públicas que se definan dentro del alcance del proyecto.
2- Análisis de seguridad Wireless
El análisis de la seguridad wireless trata de emular un ataque por parte de un intruso con acceso al perímetro de la organización, tratando de vulnerar la seguridad de la red inalámbrica.  El análisis incluye la revisión de los siguientes aspectos:
-Estudio del alcance físico de la red inalámbrica de la organización
-Descubrimiento de puntos de acceso inalámbricos no autorizados
-Análisis de la configuración de los elementos inalámbricos (routers, switches)
-Análisis de la configuración del cifrado (WEP, WPA, etc.) y de la autenticación de la red (802.1x, PKI, etc.)
-Vulnerabilidad del servicio a Ataques de Denegación de Servicio
3- Revisión Aplicativos web
La revisión de aplicativos web trata de evaluar la exposición de una aplicación publicada en Internet de manera exhaustiva. La revisión se basa en la metodología OWASP v4.0:
-Vulnerabilidades de inyección SQL
-Vulnerabilidades XSS
-Falsificación de peticiones cross-site (CSRF)
-Ejecución de código
-Gestión de autenticación y sesiones
-Búsqueda de puertas traseras y accesos de administración mal configurados
-Vulnerabilidades de directorio transversal
4- Auditoria Interna
La auditoría interna de seguridad profundiza en una revisión global de  una organización, para ello se parte de una información completa de la estructura integra de la red y aplicaciones de la organización (Análisis Tipo Caja Blanca).
-Revisión de políticas de dominio, actualizaciones, antivirus, etc.
-Revisión profunda de la seguridad en los S.O., BBDD y aplicaciones más relevantes.
-Revisión de protocolos circulantes por la red interna.
-Revisión de privilegios de cuentas de usuarios y segregación de tareas.
-Técnicas de ingeniería social para comprobar la concienciación  de los empleados

La filosofía de Nunsys en cuanto a seguridad ética

Nunsys entiende la seguridad como un proceso sobre el cual aplicar la mejora continua, y es por ello que propone servicios que se desarrollan a través de trabajos planificados en el tiempo y relacionados entre sí, para poder aportar información sobre la mejora conseguida. Desde el departamento de Seguridad y Gobierno TIC disponemos de un equipo técnico especializado y certificado que trabaja en tres niveles:

  • 1ºADAPTÁNDOSE a los requerimientos del cliente.
  • 2ºAUTOMATIZANDO la mejora continua de la seguridad de la empresa con los mejores productos.
  • 3ºVALORANDO en todo momento el riesgo real de la organización.

Casos de éxito de Hacking ético

El hacking ético va dirigido a los siguientes sectores: Retail, Industrial, Administración Pública, Logístico, Sanidad, Energía, Infraestructuras, Financiero, Alimentación, Consultoría.