Pentesting: Servei d'Auditoria Externa i Auditoria d'Aplicacions Web (Hacking Ètic)

Coneixem profundament les necessitats de les PIMEs, i intentem donar-los compliment dissenyant, implantant, mantenint i operant plans integrals de seguretat basats en les sis funcions del NIST (Govern, Identificació, Protecció, Detecció, Resposta i Recuperació). Dins d'elles, el nostre servei d'Auditoria Externa us permetrà conèixer el vostre perímetre d'exposició, adquirint una foto clara de les seves vulnerabilitats exposades i de com posar-los solució.

Fase 1: Petjada (OSINT)

Durant la primera fase del servei, l'equip de Zerolynx realitzarà un mapa de la superfície d'atac exposada a Internet. Per a aquesta tasca, es consultaran fonts obertes i privades amb l'objectiu de realitzar processos de Footprinting a la recerca de tota mena d'informació sensible que hi hagi actualment o que hagi pogut ser publicada en el passat a Internet. Per a aquesta tasca, es farà ús de diferents tècniques basades en metodologies OSINT, destacant especialment:

• Hacking amb cercadors (Google, Bing, Yandex, Exalead, Duckduckgo i Baidu).
• Serveis de cerca d'actius (Shodan, Censys, Greynoise, Zoomeye, Fofa, Onyphe, Binayedge, Wigle i Oshadan).
• Serveis de cerca de Threat Intelligence (RiskIQ, Cisco Talos Intelligence, ThreatExchange, VirusTotal).
• Enumeració d'actius en llocs web d'enganxat (Pastebin, Pasteguru, TextSnip, Snip.Net, Hastebin, Anonpaste, etc.).
• Eines de Crawling i anàlisi massiva de continguts a Internet.
• Consulta de registres Whois.
• Store d'aplicacions mòbils (AppStore, PlayStore, etc.).
• Anàlisi d'encaminaments IP i dominis (Robtex, Ipv4info, ThreatCrowd, MxToolBox, IPStack, DB-IP, Ultratools).
• Repositoris de codi públics (github, gitlab, bitbucket, etc.).
• Leaks de contrasenyes publicats a Internet i la Dark Web.
• Estudi de possibles dominis visualment similars (Typosquatting), mitjançant l'ús de scripts propis i tecnologies en línia.
• Anàlisi de llocs web antics publicats a Archive.org.
• Rastreig d'aplicacions a xarxes socials (Twitter, Facebook, Instagram i LinkedIn, entre d'altres).
• Anàlisi de possibles llocs, que podent ser lícits, hagin estat catalogats com a phishing en plataformes com OpenPhish, PhisTank o PhisStats.
• Localització de dades comercialitzades a mercats underground d'Internet.

Nivell 2: empremta digital

Un cop recopilada la informació inicial de cada aplicació/servei, s'iniciarà el procés de Fingerprinting, procedint a la realització d'una anàlisi en profunditat dels actius per a la seva explotació posterior. Per realitzar un mapa complet de la superfície d'atac, s'enumeraran tots els ports i serveis exposats, posant èmfasi principalment a identificar els elements següents:

• Ports i serveis accessibles des d'Internet.
• Programari i versió utilitzada a cada servei.
• Tecnologies utilitzades, especialment, aquelles obsoletes o amb vulnerabilitats conegudes.
• Llibreries externes utilitzades i altres relacions entre els diferents actius.

De manera paral·lela s'executarà una cerca activa de possibles vectors d'explotació vàlids per a etapes posteriors del procés. Amb aquesta finalitat es posarà especial èmfasi en la detecció de funcionalitats que habitualment comporten un risc més gran de ser explotades per comprometre el perímetre, ja sigui mitjançant vulnerabilitats, injeccions de codi, pujada de fitxers maliciosos, o fins i tot proves de força bruta o de credencials filtrades amb anterioritat. Algunes de les funcionalitats que rebran especial atenció són:

• Panells d'autenticació web.
• Formularis de pujada de fitxers.
• Serveis dintercanvi de fitxers.
• Tecnologies daccés remot per a administració.
• Tecnologies descriptori remot.
• Connexions VPN.

Per tant, a efectes de la matriu d'atacs ATT&CK del MITRE, es preveu la cerca d'elements que facilitin l'accés mitjançant les tècniques d'Initial Access següents:

• Aplicació d'explotació pública (T1190).
• Serveis remots externs (T1133).
• Comptes vàlids (T1078.001, T1078.002, T1078.003, T1078.003).

La resta dels vectors d'atac que inclouen el compromís de terceres parts o l'accés físic quedarien, al principi, fora de l'abast del projecte.

Fase 3: Anàlisi de Vulnerabilitats

La fase següent utilitza tota la informació anteriorment recopilada com a base per a la detecció de possibles vies d'atac. Aquestes es prioritzaran en funció de la possibilitat d‟explotació i el potencial impacte, amb l‟objectiu de maximitzar la dedicació a la recerca de les vulnerabilitats més crítiques, com l‟exfiltració de dades o l‟execució remota de codi.

Aquesta fase, en qualsevol cas, cobreix la major part de l'auditoria de seguretat i permet identificar vulnerabilitats relacionades amb la gestió d'identitats, l'autenticació, l'autorització o la gestió de sessions. També es dóna una importància especial a les injeccions mitjançant proves de validació d'entrades. Finalment, permet trobar errors de gestió d'errors, detectar mètodes criptogràfics incorrectament implementats i vulnerabilitats en la lògica del negoci. A grans trets, també es cobriran les categories de proves vigents de la metodologia OWASP al moment de la realització de la revisió.

• Recol·lecció d'informació
• Gestió de configuració i implementació
• Gestió d'identitats i gestió de sessió
• Autenticació i Autorització
• Validació d'Entrades i Maneig d'errades
• Criptografia Dèbil
• Lògica de Negoci i Costat Client

En el cas que les vulnerabilitats trobades permetin escenaris especialment nocius, com són l'execució de codi remot o l'escalada de privilegis, es farà una comunicació prèvia amb els responsables de gestió de l'auditoria de seguretat, per decidir si procedir a fer proves de concepte, o aturar les proves sense explotació. En qualsevol dels casos, les vulnerabilitats d'impacte crític seran immediatament reportades al client per reduir al màxim el temps en què aquesta potencial bretxa es troba activa.

Fase 4: Anàlisi de resultats

En cas de detectar-se vulnerabilitats d'alt impacte que siguin reportades durant el servei, el client podrà plantejar dubtes, o sol·licitar la realització de tests addicionals que permetin aclarir aquestes debilitats, per exemple, si es desplega una contramesura o solució durant el temps del projecte . No obstant això, és important entendre que en cap cas la realització de tests addicionals podrà impactar en la planificació del projecte, consumint les jornades dedicades a la realització de l'informe final, tret que tant Zerolynx com el client acordin prèviament aquesta situació. En qualsevol cas, Zerolynx posa a disposició del client la possibilitat de contractar jornades addicionals per anàlisi i retesting de vulnerabilitats si fos necessari

Fase 5: Informe final

Mitjançant la consolidació de totes les evidències obtingudes es construirà un complet informe tècnic i executiu d'acord amb el model de Zerolynx, i inclourà, almenys, els punts següents:

• Objecte i abast de l'auditoria
• Sistemes auditats
• Equip auditor
• Interlocutors que hagin intervingut a l'auditoria
• Dates de desenvolupament de les proves
• Documentació de referència
• Clàusula de confidencialitat
• Vulnerabilitats detectades, classificades segons la seva importància
• Solucions recomanades a les vulnerabilitats
• Vulnerabilitats esmenades a l'auditoria
• Observacions
• Punts forts i oportunitats de millora
• Conclusions obtingudes

L'informe comptarà amb un Resum Executiu, ressaltant els principals riscos detectats i recomanacions de priorització per a la seva possible resolució. A continuació, es mostren exemples de resum executiu i fitxes de vulnerabilitat usades per Zerolynx. Això no obstant, la informació de l'informe i les vulnerabilitats es podrà adaptar a les necessitats i requeriments del client si fos necessari.

Així mateix, Zerolynx posa a disposició del client una presentació a alt nivell al final del projecte en què es documentaran les principals troballes i remediacions.

Aquest servei està dissenyat exclusivament per a PIMEs de fins a 250 empleats. Si voleu contractar aquest servei per a companyies més grans, no dubteu a posar-vos en contacte amb el nostre equip comercial des del formulari de contacte de la nostra web.

Més informació sobre els nostres serveis de Pentesting d'Auditoria externa i Auditoria Web

Adquireix el servei des de la nostra botiga virtual ia menys de 48 hores (laborables) es posarà en contacte amb tu un dels nostres Project Managers per agendar el començament del treball, el qual ens portarà, aproximadament, una setmana.