Tipos de Pentest

|

Test de penetración Hacking Ético

|

N3XAsec es una empresa Mexicana

de seguridad informática, donde

brinda distintos servicios dentro del

rubro de la ciber seguridad, los

cuales son:

Test de Penetración. (Hacking

Ético)

Auditoria de código fuente.

Detección y mitigación de

Denegación de Servicios

(DOS)

Análisis Forense.

Investigación de crímenes

cibernéticos.

Desarrollo e implementación

segura de sistemas

informáticos.

Seguridad Perimetral.

Ciber seguridad financiera.

El objetivo de N3XAsec es generar

tranquilidad a sus clientes de que

toda su información y flujo de datos

estarán protegidos en contra de

ciberataques, grupos hacktivistas,

espionaje industrial e interno por

parte del mismo personal.

|

Test de Penetración

(Hacking Ético)

Objetivo

El objetivo del servicio de evaluación de seguridad informática denominado Test de Penetración es determinar el nivel de

protección que tiene la infraestructura tecnológica del Cliente, con el fin de simular un ataque real en contra del cliente,

esto a su vez definirá los alcances e impacto que tendría un atacante real.

.

Para realizar esta labor se aplican metodologías y técnicas usadas por los

atacantes desde diferentes perspectivas, intereses, equipos y tecnologías.

|

Procesos de

Hacking Ético

A quien va dirigido estos

servicios:

Sector gobierno:

1.-Cuerpos Policiacos.

2.-Sector Militar y Naval

3.-Sectores Financieros.

4.-Sector Empresarial.

|

Tipos de Test de Penetración

A quien va dirigido estos

servicios:

Sector gobierno:





|

Test de Penetración Black Box

Este tipo de evaluación corresponde a la perspectiva externa donde el CLIENTE solamente proporciona el nombre de su organización y mediante técnicas de hacking externo se obtiene la información necesaria para proseguir con la evaluación. Es la perspectiva tradicional de ataques desde Internet y que afectan a los componentes expuestos hacia dicha red o la búsqueda y explotación de formas de acceso a las redes internas o privadas.

Evaluaciones a considerar

DNS

Puertos

Servidores Web

Conexiones seguras

Sistemas de validación de usuarios

Intrusión a bases de datos

Intrusión a intranet

Servicios en la nube

Entre otros.

Alcance de la Evaluación Footprinting Scanning Enumeración Análisis de vulnerabilidades

automatizado y procesos manuales. Comprobación Penetración Escalamiento Acceso Total.

EXCEPCION: Cuando los componentes expuestos se encuentran en la modalidad de hosting o housing o cuando las direcciones IP públicas del CLIENTE no están registradas a su nombre en el servicio Whois de su región.

|

Este tipo de evaluación corresponde a la perspectiva Interna y externa donde el CLIENTE proporciona el nombre de su organización, una estructura interna de sus redes y mediante técnicas de hacking externo e interno se obtiene la información necesaria para proseguir con la evaluación. Es la perspectiva tradicional de ataques desde Internet y que afectan a los componentes expuestos hacia dicha red o la búsqueda y explotación de formas de acceso a las redes internas o privadas. Previene ataques internos por parte de empleados, invitados etc. Que pueden en cualquier caso tener acceso a un segmento de red y burlar algún tipo de protección logrando accesar a información sensible, de igual modo es un método de prevención de espionaje industrial.


DNS

Puertos

Servidores Web

Conexiones seguras




Servicios en la nube

Entre otros. Alcance de la Evaluación

Footprinting Scanning Enumeración Análisis de vulnerabilidades automatizado y procesos

manuales. Comprobación Penetración Escalamiento Acceso Total

Test de Penetración Gray Box

|

Este tipo de evaluación corresponde a la perspectiva Interna donde el CLIENTE proporciona una estructura detallada de sus infraestructura de red y mediante técnicas de hacking interno se obtiene la información necesaria para proseguir con la evaluación. Previene ataques internos por parte de empleados, invitados etc. Que pueden en cualquier caso tener acceso a un segmento de red y burlar algún tipo de protección logrando accesar a información sensible, de igual modo es un método de prevención de espionaje industrial.


DNS

Puertos

Servidores Web

Conexiones seguras




DMZ

Routers y switches

Protección a redes inalámbricas

Configuraciones de seguridad en servidores.

Test de fuerza bruta

Entre otros.

Alcance de la Evaluación Footprinting Scanning Enumeración Análisis de vulnerabilidades automatizado y procesos

manuales. Comprobación Penetración Escalamiento Acceso Total

.

Test de Penetración White Box

|

Auditoria de Código Fuente

Objetivo

Encontrar posibles fallos de programación que comprometan la seguridad de los

datos procesados por un sistema, así evitar ser explotados por un atacante

malicioso, proponiendo soluciones eficaces de seguridad.

Una auditoría de código fuente de N3XAsec puede ayudar a asegurar la calidad

de su sistema en una etapa previa a la de producción, o en su defecto a sistemas

que ya estén en uso. De otra manera, podría resultar en una pérdida de

utilidades, en un deterioro de la imagen corporativa mediante ciberataques, o ser

víctimas de grupos hacktivistas.

Nuestros expertos le proveen un reporte detallado de las posibles deficiencias de

su código, así como una lista de soluciones para prevenir y corregir posibles

vulnerabilidades. Le otorgamos una solución efectiva que protege a largo plazo.

Una auditoría de vulnerabilidades de código fuente es un examen sistemático del

código fuente de una aplicación, que tiene como finalidad descubrir los errores

que puedan conducir a vulnerabilidades que debilitan la integridad de su

información.

A quien va dirigido estos servicios:

Sector gobierno:





|

Auditoria de Informática Forense

La informática Forense se dedica a dar soluciones a

incidencias informáticas ocasionadas por perdida,

intencionales o accidentales de información, así como el

robo de información

Objetivo

1. Respuesta a incidentes. 2. Análisis Forense de sistemas Windows/Linux 3. Análisis Forense a sistemas Móviles: Android, iphone, Windows Mobile 4. Recuperación de Datos. 5. Análisis forense de Redes. 6. Investigación de crímenes en Internet. 7. Investigación de Espionaje Corporativo 8. Investigación de incidentes de acoso sexual. 9. Investigación de casos de pornografía infantil. 10.-Investigacion de casos de robo de identidad


Sector gobierno:





|

Denegación de Servicios

(Ataques DOS y DDOS)

Las pruebas de saturación por peticiones Web o Servicio en internet, simulan un ataque del grupo hacktivista Anonymous. Donde se utilizan las mismas herramientas que utiliza Anonymous desde clientes con conexiones al backbone de internet. Y herramientas propietarias de uso exclusivo de N3XAsec donde en alguno de los casos sobrepasa la eficacia de herramientas utilizadas comúnmente por atacantes en internet. Una de las pruebas de denegación de servicio distribuidas puede ser realizada con hasta 50,000 usuarios simulados (200,000 browsers simulados). Mostramos visualmente la distribución geográfica de las conexiones realizadas por los usuarios simulados. Se analiza la versión del software instalado en el servidor para ver si no se han descubierto vulnerabilidades o configuraciones defectuosas que puedan resultar en una denegación de servicio. En caso de que el servidor cuente con alguna vulnerabilidad de este tipo, se intenta explotar utilizando la prueba de concepto pública y si no es pública se crea una en base a la información de la alerta. Al terminar las pruebas de DOS, N3XAsec entrega un reporte con los resultados arrojados y una lista de recomendaciones a seguir para mitigar dichos ataques, en su defecto y en caso de que el cliente lo solicite N3XAsec implementara soluciones para la mitigación de ataques DOS.


Sector gobierno:





Documents

Tipos de Pentest