Est. 2010
¿Por qué realizar una prueba de penetración?
Una prueba de penetración te permite evaluar la seguridad de un ambiente, realizando un ataque simulado dentro de aplicaciones, sistemas, aplicaciones y así determinando la efectividad de controles, vulnerabilidades, errores de diseño entre otros.
​
El objetivo al realizar pruebas de penetración debe de ser primordialmente el endurecimiento de sus sistemas y aplicaciones, formando parte de un ciclo de mejora continua
Prueba de penetración de aplicaciones
Prueba de penetración de API
Con el incremento en la utilización de APIs, es crítico que las empresas realicen evaluaciones a su infraestructura de APIs e identifique la efectividad de controles de seguridad existentes.
Nuestro equipo se enfocará en simular ataques a las APIs de la empresa basándonos en las vulnerabilidades de APIs del Top 10 de OWASP. Te ayudan a identificar vulnerabilidades y su impacto mitigando a si el riego de exfiltración de datos e incidentes de seguridad.
Las pruebas de penetración de aplicación de Brier & Thorn se realizan en base a las vulnerabilidades del top 10 de OWASP (Open Web Application Security Project) en conjunto con nuestra metodología de prueba logramos generar un marco bajo el cual evaluamos la seguridad de aplicaciones web.
Nuestra evaluación considera el contexto de su empresa para identificar vulnerabilidades que solo pueden ser identificadas manualmente (e.g. validación de datos) proporcionando resultados accionables a su equipo.
Prueba de penetración como servicio (PTaS)
La evaluación continua de los sistemas, aplicaciones, plataformas e infraestructura es necesaria, nuestro se servicio de Pruebas de Penetración as a Service se enfoque en realizar pruebas continuamente de acorde a sus necesidades, apoyándote a identificar y priorizar las vulnerabilidades afectando a tu ambiente.
Prueba de penetración de red
Nuestro equipo evalúa la seguridad de su red desde dos perspectivas, la primera es desde un punto externo probando el perímetro de la red. Adicionalmente, se realiza la evaluación de forma interna, simulando a un atacante que ha logrado comprometer a un usuario e intentando realizar movimiento lateral a través de la red.
Durante nuestra evaluación, nuestro equipo busca escalar privilegios (e.g. usuarios administradores), exfiltrar datos y si así lo requiere, probar la efectividad de la segmentación de red.
Puntos destacados de nuestro servicio
Nuestro servicio de pruebas de penetración se enfoca en simular ataques para identificar vulnerabilidades en su entorno, adhiriéndose a metodologías reconocidas que incluyen, entre otras, el Estándar de ejecución de pruebas de penetración (PTES), la Guía de pruebas de OWASP, etc.
MetodologÃa
Basamos nuestra metodología en estándares reconocidos de la industria, generando marcos de evaluación para cada proyecto. Como base de nuestras pruebas de penetración nos basamos en el estándar de PTES (Penetration Test Execution Standard) mismo que establece 7 fases dentro del proceso de evaluación.
Prueba manual
Las pruebas manuales se refieren a aquellas evaluaciones que combinan el uso de herramientas profesionales como lo son los escáneres de vulnerabilidad, de código estático y dinámica con el conocimiento adquirido de nuestro equipo. Esto nos permite identificar fallas de diseño y defectos que no son detectados por herramientas automatizadas.
IngenierÃa social
Como complemento a nuestras pruebas de penetración, nos apoyamos de campañas de ingeniería social como Phishing, esto nos permite identificar no tan solo vulnerabilidades dentro de los sistemas pero también dentro de los usuarios.
Reportes
Al termino de nuestra evaluación, proporcionamos un reporte completo que incluirá la narrativa de la prueba, los hallazgos y vulnerabilidades al igual que recomendaciones para su remediación. Como apéndices a dicho reporte, se proporcionan los resultados de las herramientas utilizadas.
Resultados
Brier & Thorn tiene una política de transparencia, cualquier hallazgo critico se le proporcionara de forma inmediata con el propósito de mitigar a la brevedad. Adicionalmente, al termino de la prueba se agendara una sesión con su equipo para revisar a detalle los hallazgos y proporcionar recomendación para su remediación.