¿Cuál es el objetivo de este servicio?
El objetivo de este servicio es ayudarte a identificar servicios que están expuestos en tu infraestructura con vulnerabilidades que puedan suponer un riesgo para tu organización o servicios que simplemente desconocías de su existencia.
Las vulnerabilidades de seguridad localizadas, a diferencia del servicio de hacking ético, no se van a aprovechar para intentar acceder a los sistemas. Esto va a permitir realizar una revisión de seguridad menos agresiva contra los sistemas.
¿Por qué me debería interesar?
El servicio de análisis de vulnerabilidades es el servicio ideal para los sistemas que tienen servicios críticos en el alcance de la auditoría. Mientras que los servicios de hacking ético pueden provocar ocasionalmente la caída de un servicio en un intento de comprometer el sistema, los servicios de análisis de vulnerabilidades son más inocuos y permiten identificar las mismas vulnerabilidades con menor riesgo.
¿Cómo trabajamos?
Mediante el uso de herramientas automáticas y manuales, se comprueban cada uno de los servicios que están expuestos a internet en el sistema definido. Tras detectar los servicios que se encuentran en el sistema, el equipo de seguridad analiza las vulnerabilidades asociadas a dicho servicio y la posibilidad de que un atacante las utilice para comprometerlo. El análisis finaliza cuando se han identificado todos los fallos de seguridad sin intentar, en ningún momento, tomar el control del sistema a partir de las vulnerabilidades detectadas
¿Qué se entrega al cliente?
Tras realizar las diferentes pruebas y análisis, el cliente recibe un informe con las vulnerabilidades que han sido detectadas y la evidencia de la existencia de estas.
Junto a cada vulnerabilidad detectada, se incluirá las recomendaciones de seguridad necesarias para mitigar el problema y evitar ser el próximo objetivo de un ciberataque.
¿Y después?
Después es tu turno para corregir las vulnerabilidades. La naturaleza de este servicio es evitar las pruebas agresivas contra los sistemas, por ese motivo, la ausencia de evidencias de compromiso del sistema no resta gravedad a los hallazgos. Las vulnerabilidades detectadas deben corregirse o mitigarse en la mayor brevedad posible y evaluar de nuevo el sistema para confirmar que se han corregido.
¿Ya soy invulnerable?
Obviamente no, la securización de tus servicios expuestos a internet pone un cerrojo a la puerta de entrada a tu casa pero todavía pueden intentar entrar por las ventanas. Te recomendamos que revises los diversos servicios que se ofrecen desde Alfa5 para, poco a poco, tapiar las ventanas de tu organización.