Pruebas de penetración
- Inicio
- Detección de vulnerabilidades
- Pruebas de penetración
¿Qué es un Análisis de Penetración?
Búsqueda manual de vulnerabilidades, realizada por un profesional con capacidades desarrolladas para encontrar debilidades en los sistemas o en la infraestructura emulando el comportamiento de un delincuente. Todo lo anterior con la finalidad de ayudar en la corrección antes que pueda ser descubierto o aprovechado por algún actor malicioso.
Los análisis de penetración, también conocidos como "pentest", se pueden realizar con diferentes niveles de profundidad y que pueden requerir alguna o nula información previa dependiendo del objetivo de las pruebas.
Caja Blanca
- Conocimiento profundo de la plataforma
- Múltiples usuarios, contraseñas y roles
- Perspectiva de usuario experto interno
Caja Gris
- Conocimiento básico de la plataforma
- Acceso de usuario final
- Perspectiva de usuario malicioso
Caja Negra
- Sin conocimiento previo
- Acceso público sin credenciales
- Perspectiva de amenaza externa
Tipos de "Pentest"
Así como existen diferentes tipos de "pentest", en WhiteJaguars seguimos metodologías de pruebas específicas para cada uno.
SOAP | REST APIs
Realizamos pruebas especializadas para Web APIs y SOAP WebServices.
Aplicaciones Web
Realizamos pruebas en QA, UAT y producción dependiendo de la metodología de pruebas a seguir.
Aplicaciones Móviles
Probamos aplicaciones desarrolladas para Android y iOS, aunque podemos probar otras plataformas.
Redes (LAN – WAN)
Análizamos su perímetro, ponemos a prueba sus medidas de protección actuales, la configuración y la arquitectura.
PCI (Interno + Externo)
Nuestros reportes están aprobados y en cumplimiento para ser utilizados como evidencia para PCI-DSS.
Redes Inalámbricas
Evaluamos la seguridad de los métodos de cifrado, la segmentación de las redes y el abuso de la infraestructura.
Metodología extensiva de pruebas
+100 verificaciones, +1000 vulnerabilidades diferentes.
Nuestra metodología de pruebas esta basada pero no limitada a cubrir todos los riesgos de la última versión del OWASP Top 10, las malas prácticas de desarrollo incluidas en el CWE/SANS Top 25 (donde sea aplicable), marcos de trabajo como PTES, NIST 800-115, MITRE ATT&CK, OWASP Testing Guide, OWASP ASVS y nuestro propio marco de pruebas extensivas.
Todo lo anterior en un proceso validado manualmente y sin Falsos Positivos, lo cual es uno de los mayores problemas con los mecanismos de detección automatizados.
Proceso probado y maduro
Le brindamos el marco de trabajo que garantice la resolución de incidencias.
El objetivo principal es que su empresa solucione las vulnerabilidades descubiertas. Nuestro trabajo no se limita a entregarle un reporte sin un proceso medible o accionable detrás. Nuestros años de experiencia nos han llevado a crear la plataforma y metodología de trabajo que le ayude de la forma más expedita y efectiva para solucionar los problemas reportados lo antes posible.
Puede solicitar una Demo en el momento que prefiera y con gusto le mostramos como funciona el proceso.
