Tipos de Pentest
1 recomendación3,667 vistas
N3XAsec es una empresa mexicana de ciberseguridad que ofrece una variedad de servicios como pruebas de penetración ética, auditorías de código fuente, análisis forense, detección y mitigación de ataques de denegación de servicio, y desarrollo e implementación segura de sistemas. El objetivo de N3XAsec es brindar tranquilidad a sus clientes garantizando que su información y flujos de datos estén protegidos contra ciberataques.
Tipos de Pentest
- 1. | Test de penetración Hacking Ético
- 2. | N3XAsec es una empresa Mexicana de seguridad informática, donde brinda distintos servicios dentro del rubro de la ciber seguridad, los cuales son: Test de Penetración. (Hacking Ético) Auditoria de código fuente. Detección y mitigación de Denegación de Servicios (DOS) Análisis Forense. Investigación de crímenes cibernéticos. Desarrollo e implementación segura de sistemas informáticos. Seguridad Perimetral. Ciber seguridad financiera. El objetivo de N3XAsec es generar tranquilidad a sus clientes de que toda su información y flujo de datos estarán protegidos en contra de ciberataques, grupos hacktivistas, espionaje industrial e interno por parte del mismo personal.
- 3. | Test de Penetración (Hacking Ético) Objetivo El objetivo del servicio de evaluación de seguridad informática denominado Test de Penetración es determinar el nivel de protección que tiene la infraestructura tecnológica del Cliente, con el fin de simular un ataque real en contra del cliente, esto a su vez definirá los alcances e impacto que tendría un atacante real. . Para realizar esta labor se aplican metodologías y técnicas usadas por los atacantes desde diferentes perspectivas, intereses, equipos y tecnologías.
- 4. | Procesos de Hacking Ético A quien va dirigido estos servicios: Sector gobierno: 1.-Cuerpos Policiacos. 2.-Sector Militar y Naval 3.-Sectores Financieros. 4.-Sector Empresarial.
- 5. | Tipos de Test de Penetración A quien va dirigido estos servicios: Sector gobierno: 1.-Cuerpos Policiacos. 2.-Sector Militar y Naval 3.-Sectores Financieros. 4.-Sector Empresarial.
- 6. | Test de Penetración Black Box Este tipo de evaluación corresponde a la perspectiva externa donde el CLIENTE solamente proporciona el nombre de su organización y mediante técnicas de hacking externo se obtiene la información necesaria para proseguir con la evaluación. Es la perspectiva tradicional de ataques desde Internet y que afectan a los componentes expuestos hacia dicha red o la búsqueda y explotación de formas de acceso a las redes internas o privadas. Evaluaciones a considerar DNS Puertos Servidores Web Conexiones seguras Sistemas de validación de usuarios Intrusión a bases de datos Intrusión a intranet Servicios en la nube Entre otros. Alcance de la Evaluación Footprinting Scanning Enumeración Análisis de vulnerabilidades automatizado y procesos manuales. Comprobación Penetración Escalamiento Acceso Total. EXCEPCION: Cuando los componentes expuestos se encuentran en la modalidad de hosting o housing o cuando las direcciones IP públicas del CLIENTE no están registradas a su nombre en el servicio Whois de su región.
- 7. | Este tipo de evaluación corresponde a la perspectiva Interna y externa donde el CLIENTE proporciona el nombre de su organización, una estructura interna de sus redes y mediante técnicas de hacking externo e interno se obtiene la información necesaria para proseguir con la evaluación. Es la perspectiva tradicional de ataques desde Internet y que afectan a los componentes expuestos hacia dicha red o la búsqueda y explotación de formas de acceso a las redes internas o privadas. Previene ataques internos por parte de empleados, invitados etc. Que pueden en cualquier caso tener acceso a un segmento de red y burlar algún tipo de protección logrando accesar a información sensible, de igual modo es un método de prevención de espionaje industrial. Evaluaciones a considerar DNS Puertos Servidores Web Conexiones seguras Sistemas de validación de usuarios Intrusión a bases de datos Intrusión a intranet Servicios en la nube Entre otros. Alcance de la Evaluación Footprinting Scanning Enumeración Análisis de vulnerabilidades automatizado y procesos manuales. Comprobación Penetración Escalamiento Acceso Total Test de Penetración Gray Box
- 8. | Este tipo de evaluación corresponde a la perspectiva Interna donde el CLIENTE proporciona una estructura detallada de sus infraestructura de red y mediante técnicas de hacking interno se obtiene la información necesaria para proseguir con la evaluación. Previene ataques internos por parte de empleados, invitados etc. Que pueden en cualquier caso tener acceso a un segmento de red y burlar algún tipo de protección logrando accesar a información sensible, de igual modo es un método de prevención de espionaje industrial. Evaluaciones a considerar DNS Puertos Servidores Web Conexiones seguras Sistemas de validación de usuarios Intrusión a bases de datos Intrusión a intranet DMZ Routers y switches Protección a redes inalámbricas Configuraciones de seguridad en servidores. Test de fuerza bruta Entre otros. Alcance de la Evaluación Footprinting Scanning Enumeración Análisis de vulnerabilidades automatizado y procesos manuales. Comprobación Penetración Escalamiento Acceso Total . Test de Penetración White Box
- 9. | Auditoria de Código Fuente Objetivo Encontrar posibles fallos de programación que comprometan la seguridad de los datos procesados por un sistema, así evitar ser explotados por un atacante malicioso, proponiendo soluciones eficaces de seguridad. Una auditoría de código fuente de N3XAsec puede ayudar a asegurar la calidad de su sistema en una etapa previa a la de producción, o en su defecto a sistemas que ya estén en uso. De otra manera, podría resultar en una pérdida de utilidades, en un deterioro de la imagen corporativa mediante ciberataques, o ser víctimas de grupos hacktivistas. Nuestros expertos le proveen un reporte detallado de las posibles deficiencias de su código, así como una lista de soluciones para prevenir y corregir posibles vulnerabilidades. Le otorgamos una solución efectiva que protege a largo plazo. Una auditoría de vulnerabilidades de código fuente es un examen sistemático del código fuente de una aplicación, que tiene como finalidad descubrir los errores que puedan conducir a vulnerabilidades que debilitan la integridad de su información. A quien va dirigido estos servicios: Sector gobierno: 1.-Cuerpos Policiacos. 2.-Sector Militar y Naval 3.-Sectores Financieros. 4.-Sector Empresarial.
- 10. | Auditoria de Informática Forense La informática Forense se dedica a dar soluciones a incidencias informáticas ocasionadas por perdida, intencionales o accidentales de información, así como el robo de información Objetivo 1. Respuesta a incidentes. 2. Análisis Forense de sistemas Windows/Linux 3. Análisis Forense a sistemas Móviles: Android, iphone, Windows Mobile 4. Recuperación de Datos. 5. Análisis forense de Redes. 6. Investigación de crímenes en Internet. 7. Investigación de Espionaje Corporativo 8. Investigación de incidentes de acoso sexual. 9. Investigación de casos de pornografía infantil. 10.-Investigacion de casos de robo de identidad A quien va dirigido estos servicios: Sector gobierno: 1.-Cuerpos Policiacos. 2.-Sector Militar y Naval 3.-Sectores Financieros. 4.-Sector Empresarial.
- 11. | Denegación de Servicios (Ataques DOS y DDOS) Las pruebas de saturación por peticiones Web o Servicio en internet, simulan un ataque del grupo hacktivista Anonymous. Donde se utilizan las mismas herramientas que utiliza Anonymous desde clientes con conexiones al backbone de internet. Y herramientas propietarias de uso exclusivo de N3XAsec donde en alguno de los casos sobrepasa la eficacia de herramientas utilizadas comúnmente por atacantes en internet. Una de las pruebas de denegación de servicio distribuidas puede ser realizada con hasta 50,000 usuarios simulados (200,000 browsers simulados). Mostramos visualmente la distribución geográfica de las conexiones realizadas por los usuarios simulados. Se analiza la versión del software instalado en el servidor para ver si no se han descubierto vulnerabilidades o configuraciones defectuosas que puedan resultar en una denegación de servicio. En caso de que el servidor cuente con alguna vulnerabilidad de este tipo, se intenta explotar utilizando la prueba de concepto pública y si no es pública se crea una en base a la información de la alerta. Al terminar las pruebas de DOS, N3XAsec entrega un reporte con los resultados arrojados y una lista de recomendaciones a seguir para mitigar dichos ataques, en su defecto y en caso de que el cliente lo solicite N3XAsec implementara soluciones para la mitigación de ataques DOS. A quien va dirigido estos servicios: Sector gobierno: 1.-Cuerpos Policiacos. 2.-Sector Militar y Naval 3.-Sectores Financieros. 4.-Sector Empresarial.