Servicios de seguridad

Nuestros servicios

Ofrecemos diferentes tipos de servicios relacionados a las pruebas de seguridad o Ethical Hacking y acoplándose a los mejores estándares y metodologías de seguridad.

¿Como lo hacemos?

Nuestro equipo cuenta con años de experiencia práctica en el mundo del Hacking, además nuestros Hackers provienen de la vieja escuela y han trabajado en múltiples casos prácticos del Hacking en el mundo real. Es por eso que nuestras pruebas de seguridad ofensiva se basan en la mentalidad de un hacker real y no en herramientas automatizadas.

 

 

Planeación del proyecto

Se planifica el proyecto de Ethical Hacking, estableciendo fechas de compromiso en donde se realizaran las pruebas de pentest hacia los objetivos (IP/DNS) proporcionados por parte del cliente, así como la fechas de finalización del proyecto.

Pentest

Nuestro equipo realiza las pruebas de seguridad hacia los objetivos proporcionados por el cliente, nuestro equipo informa constantemente avances del proyecto en el caso de que encuentren vulnerabilidades de impacto alto o critico.

Entregables

Nuestro equipo realiza la entrega de un informe de seguridad ejecutivo y técnico que incluyen las pruebas de concepto para cada hallazgo encontrado, clasificando las vulnerabilidades en severidad crítica, alta, baja e informativa de acuerdo al estándar universal CVSS.

Imagen de forma
Imagen de forma

Nuestra metodología

En Netploy Security, nuestra metodología de pruebas de penetración se basa en el enfoque descrito en la guía de pruebas de OWASP y el manual de metodología de pruebas de seguridad de código abierto (OSSTMM).

1. Preparación

2. Reconocimiento

3. Mapa

4. Descubrimiento de vulnerabilidades

5. Explotación de vulnerabilidades

6. Informe

Enfoques de las pruebas de penetración

Los servicios de prueba de penetración de Netpoy Secutiy son compatibles con los siguientes enfoques de prueba:

BlackBox

Se refiere a probar un sistema sin tener conocimiento específico del funcionamiento interno del activo de información, sin acceso al código fuente y sin conocimiento de la arquitectura. Este enfoque imita de cerca cómo un atacante suele acercarse a una aplicación web al principio. Sin embargo, debido a la falta de conocimiento de la aplicación, el descubrimiento de errores y/o vulnerabilidades puede llevar mucho más tiempo y puede que no proporcione una visión completa de la postura de seguridad de la aplicación.

GrayBox

Se refiere a probar el sistema mientras se tiene algún conocimiento del activo objetivo. Este conocimiento suele estar restringido a la dirección URL de la aplicación, así como a las credenciales de usuario, que representan diferentes roles de usuario. Las pruebas de Greybox permiten enfocar y priorizar los esfuerzos basados en un conocimiento superior del sistema objetivo. Este incremento del conocimiento puede resultar en la identificación de vulnerabilidades más significativas, mientras que pone mucho menos esfuerzo. Por lo tanto, las pruebas de greybox pueden ser un enfoque sensato para simular mejor las ventajas que tienen los atacantes, en comparación con los profesionales de seguridad cuando evalúan aplicaciones. Las pruebas registradas permiten que el verificador de penetración evalúe por completo la aplicación web para detectar posibles vulnerabilidades. Además, le permite al probador verificar cualquier debilidad en la autorización de la aplicación que podría dar lugar a una escalada vertical y/u horizontal de privilegios.

WhiteBox

Se refiere a probar el sistema mientras se tiene pleno conocimiento del sistema de destino. En Netploy Security, nuestra prueba de penetración de whitebox está compuesta por una prueba de greybox combinada con una revisión de código segura. Dichas evaluaciones proporcionarán una comprensión completa de la aplicación y la postura de seguridad de su infraestructura.

Nuestras certificaciones

es_ESES