Auditoría de seguridad

Test de Penetración

Los recursos públicos de una organización son los más visibles desde el exterior y representan la cara visible de la misma ante clientes y proveedores. Por este mismo motivo son los recursos más expuestos al ataque de intrusos y por tanto los más vulnerables.

El test de penetración diseñado por personal especializado de S2 Grupo pretende simular la actividad de un supuesto atacante que quisiera tomar posiciones en los recursos de la organización. Por ello, el equipo de intrusión realizará, desde ubicaciones externas a las instalaciones del cliente, las pruebas técnicas necesarias para verificar la seguridad de los recursos públicos de la organización. Las subfases de esta etapa son las siguientes:

• Test de visibilidad y seguridad perimetral. El equipo de intrusión de S2 Grupo realizará un inventario de los servicios accesibles públicamente a Internet, con el fin de determinar cuáles serían las principales puertas de entrada que valoraría un intruso a la hora de intentar un ataque contra los recursos corporativos dentro del alcance propuesto. Entre las pruebas a realizar, el equipo de intrusión verificará la correcta implantación de controles de acceso a nivel de red (Firewalls y Routers) con el fin de verificar si un potencial intruso sería capaz de evadir las restricciones impuestas por dichos controles y obtener una visibilidad mayor sobre los recursos corporativos de la que a priori debería ser posible desde Internet o redes externas.
• Test de penetración. Una vez obtenido el inventario de recursos visibles desde el exterior, el equipo de intrusión realizará una auditoría de vulnerabilidades que tendrá como objetivo detectar deficiencias de diseño, implementación o implantación que pudieran permitir a un atacante obtener privilegios de acceso no autorizados, llegando incluso a obtener control total sobre los sistemas atacados.
• Test de propagación. Una vez encontradas y explotadas vulnerabilidades sobre los sistemas visibles desde Internet, el equipo de intrusión de S2 Grupo, en función de las posibilidades que permita la vulnerabilidad explotada, intentará realizar una propagación a otros sistemas o servicios que, si bien no eran accesibles públicamente desde Internet, sí que pasan a serlo tras haber explotado las vulnerabilidades presentes en los sistemas públicos, lo cual permitiría a un intruso acceder a sistemas a priori no expuestos. Este test permite a la organización conocer el grado de riesgo real existente tras cada vulnerabilidad detectada, y por tanto permite planificar la corrección de vulnerabilidades teniendo en cuenta el impacto real que tendría su explotación, no sólo el impacto acotado de la propia máquina que presenta la vulnerabilidad.

Auditoría de Seguridad Lógica

En función del objetivo de protección S2 Grupo diseña auditorías de seguridad centrándose en al ámbito lógico de la protección.

Una auditoría de seguridad lógica se centra en auditar aspectos técnicos de la infraestructura TIC contemplando tanto aspectos de diseño de la arquitectura desde el punto de vista de seguridad, como aspectos relacionados con los mecanismos de protección desplegados para hacer frente a todo tipo de incidentes lógicos.

Una auditoría de seguridad lógica incluye por tanto el trabajo del equipo de ethical hacking de S2 Grupo y desarrolla en su ámbito un test de penetración tanto externo como interno.

S2 Grupo desarrolla este tipo de auditorías en base a lo establecido por entidades como OSSTMM y Sans institute.

Se diseñan por tanto auditorías de seguridad perimetral cuando el TOE (objetivo de evaluación) es el perímetro de la organización. Se diseñan auditorías de caja blanca o de caja negra en función de la visibilidad del equipo de penetración de S2 Grupo, e incluso auditorías de seguridad.