Auditorías de seguridad

Las buenas prácticas en gestión de la seguridad, recomiendan:

  • Revisar periódicamente los sistemas.
  • Realizar auditorías especializadas para evaluar el riesgo de sufrir incidentes de seguridad.

Las auditorías tienen como objetivo la revisión y mitigación de aquellos riesgos relacionados con posibles:

  • Mejoras de seguridad a introducir en la arquitectura de los sistemas.
  • Vulnerabilidades de los sistemas de información.
  • Accesos a información confidencial no autorizados.
  • Posibles modificaciones no autorizadas de información confidencial.

Análisis de vulnerabilidades

Las buenas prácticas recomiendan la revisión periódica de las vulnerabilidades de los sistemas.

El servicio de análisis de vulnerabilidades tiene como objetivo la identificación, priorización y remediación de posibles vulnerabilidades y errores de configuración en los sistemas de información.

En Ackcent utilizamos las mejores herramientas técnicas de análisis del mercado. Los resultados obtenidos, son minuciosamente revisados, filtrados y categorizados por expertos del Red Team de Ackcent.

Nuestro servicio de análisis de vulnerabilidades de Ackcent incluye la revisión de vulnerabilidades a nivel de:

  •  Aplicaciones web
  •  Aplicaciones móviles
  •  Redes de comunicación
  •  Elementos de red DMZ
  •  Infraestructuras en Cloud

Pentesting

Los test de penetración tienen como objetivo revisar la efectividad de las defensas de las organizaciones mediante la simulación de las diferentes acciones que seguiría un potencial atacante, lo que se conoce como kill chain.

El servicio sirve para evidenciar hasta que punto un posible atacante no autorizado, puede llegar a obtener información confidencial o perpetrar un ataque aprovechando las debilidades del cualquier sistema.

La prestación de estos servicios incluye las siguientes fases:

  • Recolección de información de los activos digitales definidos en el alcance.
  • Análisis de servicios visibles desde Internet o desde una red interna.
  • Análisis de vulnerabilidades externas e internas.
  • Explotación de vulnerabilidades y recopilación de evidencias de penetración.
  • Acciones post-explotación.

Mail

El mail está considerado como uno de primeros vectores a considerar por los atacantes a la hora de provocar incidentes de seguridad.

Dadas las características de accesibilidad del mismo por parte de los usuarios, se trata de un medio ideal para la propagación de software dañino – conocido como malware- a través de Internet.

Es importante verificar su seguridad, y en especial, realizar auditorías que revisen en profundidad, la existencia de errores de configuración y vulnerabilidades de seguridad a diferentes niveles.

En las auditorias de seguridad de Ackcent incluimos pruebas de seguridad a varios niveles:

  •  Verificación qué a nivel de arquitectura, los sistemas de transporte o entrega de mail están ubicados en una zona de red adecuada.
  •  Bastionado adecuado de servidores y aplicaciones de mail alineados con políticas corporativas.
  •  Revisión de la seguridad de la administración del servicio.
  •  Pruebas de seguridad del mail.
  •  Pruebas de seguridad a nivel de usuarios.
Background Contact

Aplicaciones

El uso creciente de estas tecnologías inalámbricas, sitúa a los dispositivos móviles como uno de los objetivos principales de las ciberamenazas. 

El propósito de las auditorías de seguridad consiste en proporcionar una serie de recomendaciones de seguridad a partir de pruebas tipo:

  • Análisis de seguridad que incluyan la evaluación general de la seguridad de las aplicaciones.
  • Análisis externos desde Internet.
  • Pruebas de reconocimiento desde Internet de la red (red interna, nodos remotos y nodos externos visibles desde Internet).
  • Análisis de permisos de las aplicaciones móviles.
  • Análisis de comunicaciones de las aplicaciones móviles.
  • Identificación de vulnerabilidades a nivel de aplicación mediante análisis estáticos de código binario y análisis dinámicos mediante la inyección de código.
  • Análisis del código fuente de la aplicación.

Código

El objetivo del servicio consiste en prevenir, detectar y corregir debilidades de seguridad a nivel de código tales como errores de codificación, errores lógicos, requisitos incompletos y errores de funcionamiento inusuales o inesperadas.

El análisis de código puede realizarse para aplicaciones tanto desarrolladas por equipos de desarrollo internos como por proveedores externos.

Nuestras revisiones de código, incluyen diferentes tipos de análisis y utilizan las mejores herramientas del mercado:

  • Análisis estático (AST): análisis de código fuente a nivel binario o a nivel de bytes para la detección de vulnerabilidades.
  • Análisis dinámico (DAST): análisis de aplicaciones en entornos dinámicos de funcionamiento.
  • Análisis interactivos (IAST) en las que se combinan análisis SAST y DAST simultáneamente.

Sistemas

Las auditorías de sistemas consisten en servicios de seguridad diseñados para analizar el grado de exposición de los sistemas y sus debilidades y vulnerabilidades visibles y explotables desde Internet.

Estas auditorias abarcaran, las siguientes revisiones:

  •  Pruebas para identificar hosts, topología de red, sistemas operativos, servicios provistos, mecanismos de control de acceso, servidores de acceso y la interacción entre los sistemas.
  •  Intentos de acceso a la información almacenada en los sistemas de bases de datos.
  •  Pruebas de intrusión: acceso a archivos, permisos sobre archivos, parámetros de autenticación.
  •  Pruebas de fiabilidad de configuraciones.
  •  Análisis de seguridad de protocolos: Mail electrónico (SMTP, POP3, IMAP), File Transfer Protocol (FTP), Hypertext Transfer Protocol (HTTP).
  •  Revisión de la seguridad Perimetral (Firewalls).
  •  IP Spoofing.
  •  Escaneo de puertos TCP y UDP.
  •  Infiltración de código SQL malicioso, dentro de las bases de datos y/o aplicaciones (SQL Injection).
  •  Prueba sobre la existencia de “backdoors” a partir de su identificación y explotación.

Infraestructuras

Los fabricantes y los integradores de equipos de infraestructura acostumbran a configurar los elementos de forma que sean fáciles de implementar.

Por ello es recomendable la realización de auditorías de seguridad a nivel de infraestructura que permitan detectar debilidades de seguridad como:

  • la detección de puertos y servicios abiertos por defecto.
  • la detección de cuentas o credenciales configuradas por defecto.
  • la existencia de protocolos vulnerables.
  • la existencia de software instalado no necesario.

La revisión de los servicios y de la configuración de los sistemas (hardening) es una buena práctica para la prevención de ataques.

Estas auditorías incluyen la revisión exhaustiva de las configuraciones de firewalls, routers y switches a partir de configuraciones seguras a nivel de infraestructura.

Redes

Las auditorías de elementos de red revisan la seguridad de los puertos, protocolos y servicios de las redes externas e internas de una organización, con el fin de minimizar las ventanas de exposición de cara a posibles atacantes.

Las auditorías de seguridad de redes incluyen, los siguientes tipos de revisiones de seguridad:

  • Análisis de vulnerabilidades en los equipos de comunicaciones y pruebas de visibilidad desde las diferentes secciones de la red.
  • Revisión de seguridad de redes WAN, LAN, FW, VPN, Wifi y SCADA.
  • Revisión de la configuración de la red global y su visibilidad.
  • Revisión de la configuración de redes LAN y su visibilidad.
  • Análisis de la configuración de firewalls en particular de las reglas y políticas activas y el grado de seguridad que proporcionan.
  • Análisis de la configuración de servicios VPN, ataques sin credenciales y test de intrusión al servicio VPN.
  • Revisión de logs a nivel de red.

Cloud

Nuestra auditoría de seguridad se basa en la experiencia y conocimiento especializado en el diseño, gestión y operación continua de sistemas y aplicaciones críticas en plataformas Cloud.

Nuestros diseños y arquitecturas se basan en los productos de seguridad líderes en el mercado y las mejores prácticas disponibles en la actualidad.

El uso de tecnologías en la nube ofrece unas ventajas en escalabilidad y flexibilidad que hace que el despliegue de aplicaciones resulte fácil para incluso los propios desarrolladores. No obstante dadas sus características, complica el modelo de gobierno y el despliegue de mecanismos de seguridad comúnmente encontrados en infraestructuras on-premise.

Por ello, desde Ackcent, ofrecemos nuestros servicios con la finalidad de disponer de arquitecturas de forma segura, participando con requerimientos de seguridad desde las fases más tempranas de diseño y ofreciendo servicios de análisis continuo con el objetivo de ofrecer y adaptar todos los controles de seguridad conocidos a un entorno Cloud.

Nuestras revisiones incluyen diferentes tipos de análisis:

  • Análisis y diseño de la arquitectura, desde un punto de vista de seguridad.
  • Análisis de los controles de autenticación y autorización a los recursos Cloud.
  • Inventariado y control de los recursos desplegados.
  • Revisión de seguridad de los mecanismos de control y configuraciones empleadas.

SAP

Nuestro equipo lleva a cabo auditorias de servidores SAP a nivel de infraestructura, componentes software y configuración para detectar vulnerabilidades de software y configuraciones erróneas.

Así mismo, también realiza evaluaciones para el cumplimiento de las normas y mejores prácticas actuales, incluyendo SAP ISACA, DSAG y OWASP-EAS.

El análisis y revisión de la configuración se realiza principalmente sobre:

  • Parámetros del sistema relacionados con la seguridad.
  • Accesos externos.
  • Cifrado de comunicaciones.
  • Revisión a nivel de base de datos.
  • Revisión de componentes SAP: configuración, accesos críticos a RFC procedures, tables, …
  • Revisión de código mediante herramienta SAST (Source Code Analysis Tool) desarrollada especialmente para ABAP. – ABAP Code Review Tool.
  • Vulnerabilidades genéricas de código.
  • Vulnerabilidades específicas SAP.
  • Revisión usuarios, roles y privilegios.

Internet of Things (IoT)

El volumen de información que se transmite a nivel de IoT sigue aumentando, con lo que también lo hace el grado de riesgos de seguridad. La mayoría de los dispositivos se basan en sensores que tienen recursos computacionales mínimos y las oportunidades de antivirus, encriptación y otras formas de protección dentro de las cosas son más restringidas.

En Ackcent disponemos de un equipo de especialistas en seguridad IoT para asesorar en el análisis y gestión de riesgos en redes IoT, revisando la seguridad de extremo a extremo de las infraestructuras y redes IoT.

En particular, las auditorías se centran en la revisión de la seguridad de los siguientes aspectos:

  • Descubrimiento de activos:
    • Análisis de visibilidad de dispositivos IoT en redes empresariales.
    • Revisión y configuración de una “base de datos de activos” de IOT.
  • Gestión de dispositivos:
    • Aprovisionamiento y gestión de claves criptográficas seguras.
    • Gestión de la accesibilidad, acceso a la identidad y escalabilidad rápida y segura.
    • Políticas de descargas de software, parches, actualizaciones y otra información periódicamente.
  • Endpoint y seguridad de datos:
    • Protección de puntos finales.
    • Funciones anti-manipulación.

El IoT es aplicable a diferentes sectores:

Medical Devices

El continuo desarrollo de nuevas tecnologías y estándares de proveedores de dispositivos médicos constituyen nuevos paradigmas y modelos operacionales de gestión centrados en los pacientes y en sistemas de monitorización de salud.

La Administración de Alimentos y Fármacos de los Estados Unidos (FDA) publicó en enero de 2016 directrices sobre ciberseguridad para abordar de forma continua, los riesgos relacionados con la ciberseguridad para mantener a los pacientes seguros y proteger mejor la salud pública en el ámbito de los dispositivos médicos.

Nuestros servicios están alineados con la orientación de la FDA, la cual recomienda implementar un programa de gestión de riesgos de seguridad cibernética integral estructurado y sistemático, que permita gestionar adecuadamente el ciclo de vida de las  vulnerabilidades que se indetifiquen los dispositivos.

Car hacking

La creación de nuevas ofertas de movilidad inteligente y de vehículos conectados constituye una gran oportunidad para la industria del automóvil. Estas tienen en común el diseño de nuevos automóviles definidos por el software y por la tecnología como componentes principales de los nuevos productos de la industria del automóvil.

Disponemos de un equipo de seguridad para contribuir al desarrollo del sector del vehículo inteligente seguro, a partir de la inclusión de la seguridad en el diseño de vehículos inteligentes.

Los servicios de seguridad denominados internamente como servicios Car Hacking se centran en la revisión de los riesgos de seguridad asociados a las innovaciones del sector.

Industria 4.0 (SCADA)

En ocasiones, es necesaria la realización de auditorías técnicas en entornos poco comunes o difíciles de testear debido a su naturaleza, como el caso de las redes de sistemas industriales.

Tenemos una amplia experiencia en auditorías de este tipo de entornos, donde la exclusividad a nivel de gestión de los propios fabricantes y al uso de protocolos de comunicación históricos, como son los sistemas SCADA, requiere de metodologías, herramientas y procedimientos muy específicos.

Las auditorías SCADA permiten el análisis en detalle de la superficie de ataque en un sistema de control industrial, a partir del análisis y la detección de vulnerabilidades de los sistemas que los componen.