Auditories de seguretat

Les bones pràctiques en gestió de la seguretat, recomanen:

  • Revisar periòdicament els sistemes.
  • Realitzar auditories especialitzades per avaluar el risc de patir incidents de seguretat.

Les auditories tenen com a objectiu la revisió i mitigació d’aquells riscos relacionats amb possibles:

  • Millores de seguretat a introduir a l’arquitectura dels sistemes.
  • Vulnerabilitats dels sistemes d’informació.
  • Accessos a informació confidencial no autoritzats.
  • Possibles modificacions no autoritzades d’informació confidencial.

Anàlisi de vulnerabilitats

Degut a la constant aparició de vulnerabilitats, les bones pràctiques recomanen revisar periòdicament les vulnerabilitats dels sistemes.

El servei d’anàlisi de vulnerabilitats té com a objectiu identificar, prioritzar i arreglar possibles vulnerabilitats i errors de configuració en sistemes d’informació.

Ackcent utilitza les millors tècniques d’anàlisi del mercat. Els experts del Red Team d’Ackcent revisen detalladament, filtren i categoritzen els resultats obtinguts.

El servei d’anàlisi de vulnerabilitats d’Ackcent inclou la revisió de vulnerabilitats a nivell de:

  •  Aplicacions web
  •  Aplicacions mòbils
  •  Xarxes de comunicació
  •  Elements de xarxa DMZ
  •  Infraestructures en Cloud

Pentesting

Els tests de penetració tenen com a objectiu revisar l’efectivitat de les defenses de les organitzacions (tecnologies de defensa i de detecció, els processos i la coordinació de les persones) mitjançant la simulació de les diferents accions que seguiria un potencial atacant, el que anomenaríem, en argot, kill chain.

El servei serveix per evidenciar fins a quin punt un possible atacant no autoritzat pot arribar a obtenir informació confidencial o atacar tot aprofitant els punts febles de qualsevol sistema.

Concretament, aquest servei inclou les següents fases:

  • Recol·lecció d’informació dels actius digitals definits a l’abast.
  • Anàlisi de serveis visibles des d’internet o des d’una xarxa interna.
  • Anàlisi de vulnerabilitats externes i internes.
  • Explotació de vulnerabilitats i recopilació d’evidències de penetració.
  • Accions post-explotació.

Mail

El mail es considera un dels primers vectors que consideren els atacants a l’hora de provocar incidents de seguretat.

Tenint en compte les característiques de l’accés al correu electrònic per part de l’usuari, és d’un mitjà ideal per propagar software nociu -conegut com a malware– a través d’internet.

Per això és important verificar la seguretat del mail i, especialment, realitzar auditories que revisin detalladament l’existència d’errors de configuració i de vulnerabilitats en la seguretat a diferents nivells.

Les auditories de seguretat d’Ackcent inclouen proves de seguretat a diversos nivells:

  •  Verifiquem que a nivell d’arquitectura, de sistemes de transport o d’entrega de mail, estiguin ubicats en una zona de xarxa adequada.
  •  Fortificació adequada de servidors i aplicacions de mail alineats amb polítiques corporatives.
  •  Revisió de la seguretat de l’administració del servei.
  •  Proves de seguretat de mail.
  •  Proves de seguretat a nivell d’usuaris.
Background Contact

Aplicacions mòbils

El desenvolupament dels dispositius, de les comunicacions mòbils i de les tecnologies sense fil ha revolucionat la manera de treballar i de comunicar-se dels últims anys. L’ús creixent d’aquestes tecnologies situa els dispositius mòbils com un dels objectius principals de les ciberamenaces.

L’objectiu de les auditories de seguretat consisteix a proporcionar una sèrie de recomanacions de seguretat mitjançant proves tipus:

  • Anàlisi de seguretat que inclou l’avaluació general de la seguretat de les aplicacions.
  • Anàlisis externs des d’internet.
  • Proves de reconeixement des d’internet de la xarxa (xarxa interna, nodes remots i nodes externs visibles des d’internet).
  • Anàlisi de permisos de les aplicacions mòbils .
  • Anàlisi de comunicacions de les aplicacions mòbils.
  • Identificació de vulnerabilitats a nivell d’aplicació mitjançant anàlisis estàtics de codi binari i anàlisis dinàmics mitjançant la injecció de codi.
  • Anàlisi del codi font de l’aplicació.

Anàlisi del codi

L’objectiu del servei consisteix a prevenir, detectar i corregir punts dèbils de seguretat a nivell de codi com ara errors de codificació, errors lògics, requisits incomplets i errors de funcionament inusuals o inesperats.

L’anàlisi de codi es pot utilitzar per a aplicacions tant desenvolupades per equips de desenvolupament intern com per proveïdors externs.

Les revisions de codi d’Ackcent inclouen diversos tipus d’anàlisi i utilitzen les millors eines del mercat:

  • Anàlisi estàtic (AST): anàlisi de codi font a nivell binari o a nivell de bytes per detectar vulnerabilitats.
  • Anàlisi dinàmic (DAST): anàlisi d’aplicacions d’entorns dinàmics de funcionament.
  • Anàlisis interactius (IAST) en els que es combinen anàlisi SAST i DAST simultàniament.

Sistemes

Les auditories de sistemes són serveis de seguretat dissenyats per analitzar el grau d’exposició dels sistemes i les seves debilitats i vulnerabilitats visibles i explotables des d’internet.

Les auditories de sistemes abastaran, en general, les següents revisions:

  •  Proves per identificar hosts, topologia de xarxa, sistemes operatius, serveis proveïts, mecanismes de control d’accés, servidors d’accés i la interacció entre els sistemes.
  •  Intents d’accés a la informació emmagatzemada en els sistemes de bases de dades.
  •  Proves d’intrusió: accés a arxius, permisos sobre arxius, paràmetres d’autenticació .
  •  Proves de fiabilitat de configuracions.
  •  Anàlisi de seguretat de protocols: Mail electrònic (SMTP, POP3, IMAP), File Transfer Protocol (FTP), Hypertext Transfer Protocol (HTTP).
  •  Revisió de la seguretat Perimetral (Firewalls).
  •  IP Spoofing.
  •  Escaneig de ports TCP i UDP.
  •  Infiltració de codi SQL nociu, dins de les bases de dades i/o aplicacions (SQL Injection).
  •  Prova sobre l’existència de “backdoors” a partir de la seva identificació i explotació.

Infraestructures

Els fabricants i els integradors d’equips d’infraestructura solen configurar els elements d’infraestructura de manera que siguin fàcils d’implementar.

Per aquest motiu, és recomanable realitzar auditories de seguretat a nivell d’infraestructura que permetin detectar debilitats de seguretat com:

  • la detecció de ports i serveis oberts per defecte.
  • la detecció de comptes o credencials configurades per defecte.
  • l’existència de protocols vulnerables.
  • l’existència de software instal·lat no necessari.

La revisió dels serveis i de la configuració dels sistemes (hardening)és una bona pràctica per prevenir atacs que aprofitin configuracions o vulnerabilitats conegudes dels equips d’infraestructura.

Les auditories d’infraestructura inclouen la revisió exhaustiva de les configuracions de firewalls, routers i switches a partir de configuracions segures a nivell d’infraestructura.

Xarxes

Les auditories d’elements de xarxa revisen la seguretat dels ports, protocols i serveis de les xarxes externes i internes d’una organització amb la finalitat de minimitzar les finestres d’exposició a possibles atacants.

Les auditories de seguretat de xarxes inclouen, en general, els següents tipus de revisions de seguretat:

  • Anàlisi de vulnerabilitats en els equips de comunicacions i proves de visibilitat des de les diferents seccions a la xarxa.
  • Revisió de seguretat de xarxes WAN, LAN, FW, VPN, Wifi i SCADA.
  • Revisió de la configuració de la xarxa global i de la seva visibilitat .
  • Revisió de la configuració de xarxes LAN i de la seva visibilitat.
  • Anàlisi de la configuració de firewalls, en particular de les regles i polítiques actives i el grau de seguretat que proporcionen.
  • Anàlisi de la configuració de serveis VPN, atacs sense credencials i test d’intrusió al servei VPN .
  • Revisió de logs a nivell de xarxa.

Cloud

L’auditoria de seguretat realitzada per Ackcent es basa en l’experiència i el coneixement especialitzats en el disseny, la gestió i l’operativa contínua de sistemes i aplicacions crítics en plataformes Cloud.

Els nostres dissenys i arquitectures es basen en els productes de seguretat líders al mercat i les millors pràctiques disponibles actualment.

L’ús de tecnologies al núvol ofereix uns avantatges en escalabilitat i flexibilitat que fa que el desplegament d’aplicacions resulti fàcil, fins i tot, per als propis desenvolupadors. No obstant això, per les seves característiques, complica el model de govern i el desplegament de mecanismes de seguretat que es troben habitualment a les infraestructures on-premise.

Per això, Ackcent ofereix els seus serveis per disposar d’arquitectures segures. Participa amb requeriments de seguretat des de les fases més primerenques de disseny i ofereix serveis d’anàlisi continu amb l’objectiu d’oferir i adaptar tots els controls de seguretat coneguts a un entorn Cloud.

Les revisions realitzades per Ackcent inclouen diferents tipus d’anàlisi:

  • Anàlisi i disseny de l’arquitectura, des d’un punt de vista de seguretat.
  • Anàlisi dels controls d’autenticació i autorització als recursos Cloud .
  • Inventariat i control dels recursos desplegats.
  • Revisió de seguretat dels mecanismes de control i configuracions emprades .

SAP

L’equip d’Ackcent fa auditories de servidors SAP a nivell d’infraestructura, components software i configuració per detectar vulnerabilitats de software i configuracions errònies.

Així mateix, també realitza avaluacions per complir les normes i les millors pràctiques actuals, incloent-hi SAP ISACA, DSAG i OWASP-EAS.

L’anàlisi i la revisió de la configuració es realitza principalment sobre:

  • Paràmetres del sistema relacionats amb la seguretat .
  • Accessos externs.
  • Xifrat de comunicacions.
  • Revisió a nivell de base de dades.
  • Revisió de components SAP: config, accessos crítics a RFC procedures, tables…
  • Revisió de codi mitjançant eina SAST (Source Code Analysis Tool) desenvolupada especialment per a ABAP. – ABAP Code Review Tool.
  • Vulnerabilitats genèriques de codi.
  • Vulnerabilitats específiques SAP.
  • Revisió d’usuaris, rols i privilegis.

Internet of Things (IoT)

El volum d’informació que es transmet a nivell d’IoT segueix augmentant i, per tant, també augmenta el grau de riscos de seguretat perquè creix la “superfície d’atac” de les infraestructures. La majoria dels dispositius es basen en sensors que tenen recursos computacionals mínims i les oportunitats d’antivirus, encriptació i altres formes de protecció són més restringides.

Ackcent diposa d’un equip d’especialistes en seguretat IoT per assessorar en l’anàlisi i la gestió de riscs en xarxes IoT i revisar de cap a peus la seguretat de les infraestructures i xarxes IoT.

En particular, les auditories es centren en la revisió de la seguretat dels següents aspectes:

  • Descobriment d’actius:
    • Anàlisi de visibilitat de dispositius IoT a xarxes empresarials .
    • Revisió i configuració d’una “base de dades d’actius” d’IoT.
  • Gestió de dispositius:
    • Aprovisionament i gestió de claus criptogràfiques segures .
    • Gestió de l’accessibilitat, accés a la identitat i escalabilitat ràpida i segura.
    • Polítiques de descàrrega de software, pedaços, actualitzacions i altra informació periòdicament.
  • Endpoint i seguretat de dades:
    • Protecció de punts finals.
    • Funcions antimanipulació.

El IoT és aplicable a diferents sectors:

Medical Devices

El constant desenvolupament de noves tecnologies i estàndards de proveïdors de dispositius mèdics implica nous paradigmes i models operacionals de gestió centrats en els pacients i en sistemes de monitorització de salut.

L’Administració d’Aliments i Fàrmacs dels Estats Units (FDA) va publicar, el gener de 2016, unes directrius sobre ciberseguretat per a tractar de forma continua els riscs relacionats amb la ciberseguretat, per a mantenir els pacients segurs i protegir millor la salut pública en l’àmbit dels dispositius mèdics.

Els serveis d’Ackcent segueixen el camí traçat per l’FDA, que recomana implementar un programa de gestió de riscs de seguretat cibernètica integral estructurat i sistemàtic que permeti gestionar adequadament el cicle de vida de les vulnerabilitats que identifiquin els dispositius.

Car hacking

La creació de noves ofertes de mobilitat intel·ligent i de vehicles connectats és una gran oportunitat per a la indústria de l’automòbil. Aquesta oportunitat comporta el disseny de nous automòbils definits pel software i per la tecnologia com a components principals d’aquests nous productes de la indústria de l’automòbil.

Ackcent disposa d’un equip de seguretat per contribuir al desenvolupament del sector del vehicle intel·ligent segur a partir de la inclusió de la seguretat en el disseny de vehicles intel·ligents.

Els serveis de seguretat, anomenats internament com a serveis Car Hacking, es centren en la revisió dels riscs de seguretat associats a les innovacions del sector.

Indústria 4.0 (SCADA)

A vegades cal fer auditories tècniques en entorns poc comuns o difícils de testejar degut a la seva naturalesa, com el cas de les xarxes de sistemes industrials.

Tenim una llarga experiència en auditories d’aquest tipus d’entorns, on l’exclusivitat a nivell de gestió dels propis fabricants i a l’ús de protocols de comunicació històrics, com ara els sistemes SCADA, requereix metodologies, eines i procediments molt específics.

Les auditories SCADA permeten analitzar detalladament la superfície d’atac en un sistema de control industrial a partir de l’anàlisi i la detecció de vulnerabilitats dels sistemes que el formen.