PenTesting a demanda

Descubre el riesgo oculto pensando y actuando como un verdadero hacker

¿Tu empresa está preparada para un ciberataque?

Los PenTesting, son ciberataques simulados contra tus sistemas utilizando herramientas y técnicas de piratería reales. Por lo tanto, si derrotamos tus medidas de seguridad, felicitaciones, encontramos tus debilidades antes de que lo hicieran los malos. Y estaremos a su lado con orientación para la corrección

¿Cuál es la diferencia entre PenTesting y análisis de vulnerabilidades?

PenTesting

Un PenTesting es un procedimiento manual, mucho más completo, que requiere talento altamente especializado, además de años de experiencia, herramientas especializadas y un poco de creatividad para realizarlo correctamente.

Es por eso que un Pentesting descubre riesgos de seguridad que el análisis de vulnerabilidades simplemente no puede ver.

Por eso decimos que no se trata de obtener un informe limpio, sino de que encontremos formas de entrar en su red.

Una vez que sepas cómo hemos vulnerado tu perímetro, podrás cerrar esas brechas y reducir significativamente tus posibilidades de ser hackeado por un actor malintencionado real

Análisis de Vulnerabilidades

Un análisis de vulnerabilidades, es una evaluación de seguridad realizada utilizando una herramienta de software para probar objetivos definidos, y es por eso que el resultado proporcionado es un informe automatizado.

Cabe mencionar que no hay nada de malo en los análisis de vulnerabilidades; ciertamente tienen un uso y, a menudo, nuestros clientes los realizan justo antes de un PenTesting para ayudar a prepararse. Sin embargo, los análisis de vulnerablidades no son lo mismo que un PenTesting.

En conclusión, las empresas que ofrecen un análisis de vulnerabilidades como un PenTesting, buscan clientes que simplemente quieren “marcar la casilla” y seguir adelante.

¿Qué tipo de PenTesting ofrecemos?

PenTest de red externa

Un PenTesting de red externa se centra en una simulación manual de violación contra sus IP públicas. Estas IP siempre están expuestas a posibles ataques y representan su puerta de entrada a atacantes de todo el mundo

PenTest de red interna

Desafortunadamente, tu amenaza más peligrosa, ya está conectada a tu red. Etihak realiza PenTesting desde la perspectiva de un recurso interno malicioso. El objetivo es validar el nivel de movimiento una vez adentro

PenTest de red inalámbrica

Los hackers trabajan sobre una base de menor riesgo, mayor recompensa. Buscan vectores de ataque que representen un riesgo mínimo de detección, y las redes inalámbricas se ajustan a esa factura

PenTest de aplicaciones web

Los PenTesting de aplicaciones web no son lo mismo que una prueba tradicional. Etihak realiza pruebas de aplicaciones web observando muy de cerca todos los detalles que hacen que su aplicación web funcione

PenTest de sistemas IoT

Internet de las cosas (IoT) son cada vez más comunes en nuestras redes. Hemos probado cables, sistemas de acceso físico, cámaras de vigilancia, entre otros. Estos equipos, muchas veces contienen vulnerabilidades que son pasadas por alto.

PenTest de redes OT

Según Gartner, hasta el 24% de las organizaciones con sistemas de tecnología operativa experimentaron una brecha en 2021 que resultó en el acceso de un actor malicioso. Sin duda, este número aumenta cada año a medida que los sistemas de OT se expanden a nivel mundial

FAQ

Resolvamos algunas dudas sobre PenTesting

¿Mi empresa necesita un PenTesting de red externa?

Si tiene sistemas orientados hacia el exterior, sí. Esto es así si solo tiene un sitio simple orientado al cliente o una gran presencia externa que incluye servicios de transferencia de archivos, sitios SaaS y API orientadas al cliente … o cualquier cosa intermedia.

Por eso decimos que un PenTesting de red externa de Etihak puede mostrarte dónde están tus debilidades y dónde necesitas más recursos para mantener alejados a los piratas informáticos

¿Mi empresa necesita un PenTesting de red interna?

Si tienes información confidencial en tu red interna o tu red permite la conectividad a sistemas confidenciales, entonces debes considerar seriamente una prueba de penetración de red interna.

Es así que los PenTesting pueden exponer configuraciones erróneas, sistemas y software obsoletos y otras vulnerabilidades comunes que pueden ser difíciles de mantener para las empresas

Si me he sometido a un PenTesting de red interna, ¿todavía necesito un PenTesting de red externa?

Etihak recomienda encarecidamente tener ambos, dado que la mayoría de las empresas no saben todo lo que han expuesto externamente.

A menudo encontramos que alguien que se apresura en hacer su trabajo puede centrarse más en hacer que las cosas funcionen. . . y no en asegurarlos

Si ya he tenido un PenTesting de aplicación web, ¿se necesita un PenTesting de red externa? ¿Podrían realizarse los PenTesting juntos?

Sí y sí, ya que estas son dos pruebas muy diferentes, aunque pueden involucrar el mismo sistema.

Es importante notar que un PenTest de una aplicación web generalmente tiene credenciales y se centra completamente en la aplicación en sí, poniendo menos énfasis en otros puertos abiertos y posibles problemas en el sistema. Por lo tanto, esto permite al evaluador profundizar y centrarse en la lógica empresarial de la aplicación y las posibles brechas de codificación frente al sistema que aloja la aplicación.

Por otro lado, la prueba externa incluye aplicaciones web, sin duda, pero no profundiza en ellas (a menos que el Pentester encuentre una manera de entrar a través de la inyección SQL u otra vulnerabilidad crítica).

Sabemos que un PenTesting se centra en descubrir cualquier brecha en tu red externa y explorar a qué exploits podrían conducir, por lo que los PenTest de aplicaciones web y redes externas separadas o combinadas son válidas y útiles.

Podemos concluir que una prueba combinada puede ayudarte a trabajar dentro de un presupuesto. Las pruebas separadas proporcionan informes separados, lo que puede ser útil si su equipo informa los hallazgos a diferentes partes interesadas

¿Necesito que los PenTesting de redes inalámbricas en ubicaciones separadas?

En principio, tu equipo puede mover el Transporter en los momentos apropiados durante la prueba, o Etihak estará encantado de enviar a tu equipo varios dispositivos si el proyecto lo amerita.

Explícanos tu entorno y el equipo de Etihak adaptará una solución a tus necesidades

¿Tiene que estar Etihak in situ para realizar los PenTesting? ¿Qué sucede si tengo varias ubicaciones para probar?

En alianza con Raxis, realizamos muchos PenTesting de redes inalámbricas de forma remota. Esto lo hacemos con el potente dispositivo de prueba inalámbrico Raxis Transporter, desarrollado internamente y plug-and-play, por lo que se puede permitir que los pentester de Raxis trabajen de forma remota con el mismo nivel de calidad que una prueba in situ.

El Transporter es realmente así de simple. Tu equipo lo conecta a la red y los pentesters de Raxis están listos para ponerse a trabajar.

¿Se puede realizar el PenTesting inalámbrico en combinación con mi PenTesting interno?

Sí, y a menudo recomendamos esta combinación para dar a las organizaciones la mejor idea de cómo los hackers malintencionados pueden combinar vulnerabilidades para obtener acceso a la red.

Como las redes inalámbricas de producción están destinadas a dar a los empleados acceso a las redes de producción de las organizaciones, y las redes inalámbricas para invitados no lo hacen, las pruebas inalámbricas de Etihak aclaran el puente entre las redes internas y las redes inalámbricas que a menudo son la ruta de acceso más fácil y de menor riesgo para los piratas informáticos.

Podemos concluir que las pruebas de red internas e inalámbricas separadas o combinadas son válidas y útiles. Una prueba combinada puede ayudarlo a trabajar dentro de un presupuesto. Las pruebas separadas proporcionan informes separados, lo que puede ser útil si su equipo informa los hallazgos a diferentes partes interesadas.