La tecnologia i digitalització és fonamental per a l’evolució de l’economia i en general la societat. Això, suposa a més una formació prèvia per a mantenir la seguretat en les infraestructures corporatives. Igual que protegim les nostres llars amb avançats sistemes de seguretat, hem de protegir l’element més valuós de les empreses, les seves dades i infraestructura. Amb el control i implementació de sistemes de ciberseguretat podem estalviar-nos en la majoria de les ocasions una mala experiència que posi en joc mesos i fins i tot anys de treball. La solució, audita la teva seguretat amb pentesting.

Què és el pentesting?

Prova d’auditoria o intrusió: anàlisi i proves de seguretat en una pàgina web, servidors o xarxa que simula un atac real. Mitjançant aquest test s’aconsegueixen analitzar les possibles fallades o vulnerabilitats del sistema per a evitar possibles amenaces. Estan tenint especial repercussió en l’actualitat, potser és un dels test de ciberseguretat que dóna major visibilitat quant a riscos i vulnerabilitats.

Tipus de pentesting:

  • Caixa blanca (auditoria interna): accés a tota la informació crítica de la web, aplicacions, base de dades i infraestructura. L’atac el realitza algú que coneix l’organització al complet.
  • Caixa grisa: accés parcial als recursos.
  • Caixa negra (auditoria externa): Aquest tipus d’auditories o test d’intrusió, donen una visió d’elevada objectivitat sobre com es mostren els sistemes cap a Internet, la qual cosa permet obtenir clares conclusions sobre aquests.
    • Abast d’un potencial atacant.
    • Grau de fortificació o bastionado que mostren els portals Web.
    • Estabilitat dels serveis executats en les plataformes.

L’atacant no compta amb cap mena d’informació sobre la infraestructura analitzada, ni amb usuaris vàlids de les diverses aplicacions o serveis exposats.

Classificació de les vulnerabilitats:

Hi ha diversos tipus de vulnerabilitats per les quals s’analitzen diferents punts,depenent del tipus d’auditoria pentesant que es desenvolupi es realitzarà un o altre.

Alguns exemples són:

  • Versions de producte obsoletes. Serveis o sistemes operatius que s’executen amb versions obsoletes del producte o vulnerabilitats conegudes.
  • Elements sense configuracions segures Productes o serveis amb configuracions les quals no són segures o li falten elements per a protegir part de la seva infraestructura.
  • Informació exposada. Màquines o serveis de la xarxa que exposen informació a usuaris per a accedir a les mateixes sense cap mena de control o autenticació, la qual cosa pot resultar un element no segur.
  • Accés a autenticació de portals de gestió. Exposant atacs de força bruta o interrupció del servei exposat.

Aquestes vulnerabilitats al seu torn es categoritzen en nivells en funció del risc que suposen per a l’organització i els seus sistemes.

  • Crític: fort necessitat mesures correctives, possibilitat de cometre un atac i donar com resultat poder comprometre els sistemes.
  • Alt: possibilitat de cometre un atac i donar com resultat poder comprometre els sistemes.
    • Pèrdua dels principals recursos o actius tangibles.
    • Possibilitat de poder danyar o impedir treballar a l’organització.
  • Mitjà: L’explotació d’aquestes vulnerabilitats requereix d’un perfil d’atacant expert i no dóna lloc a privilegis elevats.
  • Baix:L’explotació d’aquestes vulnerabilitats és extremadament difícil.

Un exemple de com es representaria mitjançant un informe aquestes vulnerabilitats seria:

RiscTipus de vulnerabilitatEstat
MitjàInformació exposadaActiu/Inactiu

Es recomana fer aquest tipus d’auditories de manera periòdica ja que els mètodes de hackeo avancen cada vegada més. En moltes ocasions aquests atacs es produeixen des de dins de l’organització a causa de bretxes de seguretat o l’accés massiu d’empleats i fins i tot persones alienes a aquesta. Prevenen la intrusió o alteració de la xarxa i controla l’accés i modificació indeguda de les dades.

La seguretat és cosa de tots, encara no estàs preparat?