VECTOR. Lanza servicio de hacking ético

 El hacking ético se ha convertido en un servicio de gran importancia para detectar peligros y vulnerabilidades. Analiza los sistemas y programas informáticos corporativos, asumiendo el rol de un ciberdelincuente y simulando ataques a la empresa.

Vector ofrece a sus clientes el servicio de hacking ético dentro de su área de seguridad de la división Software Products and Outsourcing, dirigida por Francisco Jose Mateos Ballester y Christopher McMahon. La principal ventaja del hacking ético es que  aporta a las empresas las claves para protegerse de los ciberataques y conseguir tres objetivos fundamentales:

• Adelantarse a los posibles cibercriminales solucionando vulnerabilidades que pueden provocar un ciberataque.
• Concienciar a los profesionales de las compañías de la importancia de la seguridad informática en su trabajo diario.
• Mejora sus procesos de seguridad (actualización de software, plan de respuesta a incidentes, etc.).

Vector explica que el hacking ético se divide en varias fases:

1. Acuerdo de Auditoría: consiste en elaborar un documento, consensuado con el cliente, que refleje el alcance de la auditoría, qué pruebas se van a realizar, qué obligaciones tiene el auditor, el nivel de permisividad de la empresa frente a las pruebas de ataques que se realicen, etc.
2. Recopilación de Información: En esta fase el auditor tratará de recabar toda la información posible sobre su objetivo (empresa o aplicación). Para ello emplea las más diversas herramientas, desde simples búsquedas en Google, Bing, etc. hasta el empleo de herramientas como NMap y similares en búsqueda de puntos de entrada a la aplicación y/o empresa. Se busca información de todo tipo
3. Modelado de Amenazas: Con la información proporcionada, se define la importancia de los activos de la empresa y se crean árboles de ataque con posibles amenazas que puedan afectar a los activos objetivo de la auditoría.
4. Análisis de Vulnerabilidades: De forma activa se buscan puertos y servicios existentes para localizar vulnerabilidades. Se usan recursos como bases de datos de vulnerabilidades de aplicaciones, exploits que exploten dichas vulnerabilidades. Se usan herramientas manuales y automáticas de escaneo de vulnerabilidades para descubrirlas.
5. Explotación: En esta fase, el auditor confirma que las vulnerabilidades detectadas en la fase anterior son riesgos reales a los que está expuesta la empresa.
6. Post-explotación: El auditor recopilará evidencias de que la fase de explotación ha tenido éxito, valorará el impacto real que pueda tener la explotación para la empresa y tratará de llegar lo más adentro de la organización que pueda vulnerando otros ordenadores internos, creando puertas traseras para posteriores accesos, etc.
7. Reporte: el auditor Finalmente, el auditor elaborará un informe detallado con todas las vulnerabilidades detectadas, como explotarlas y como corregirlas o mitigarlas.

Posteriormente, se elaborará un Plan de Mitigación de Vulnerabilidades en el siguiente ciclo de desarrollo y un seguimiento de las vulnerabilidades detectadas para confirmar la eliminación de las mismas.

El hacking ético puede enfocarse en el análisis de la red externa o interna de la empresa, o de las aplicaciones web. En Vector cuentan con un Servicio de hacking ético realizado por personal experto en la materia y certificado.

Fuente: Diario TI