¿Cuál es el objetivo de este servicio?
El objetivo de este servicio es ayudarte a identificar fallos de seguridad contenidos en el código fuente de tu sitio web que le permitiría a un atacante tomar el control tanto del sistema como de la información contenida en él.
Este servicio permite al analista de seguridad ponerse el sombrero negro y actuar como lo haría un atacante real. Estas acciones implican realizar pruebas controladas contra la página web con el fin de obtener información sensible, manipular contenido, tomar el control del sistema o denegar el servicio para conocer en detalle las implicaciones que tiene cada una de las vulnerabilidades detectadas.
¿Por qué me debería interesar?
Los sitios web corporativos son el reflejo de una empresa hacia sus clientes. Los problemas de seguridad pueden ocasionar robo de datos personales de los clientes, información corporativa sensible o manipulación del contenido del sitio web.
Todas estas problemáticas pueden ser la causa de una pérdida enorme de reputación de la empresa e incluso ocasionar graves multas de la agencia de protección de datos.
¿Cómo trabajamos?
Mediante el uso de herramientas automáticas y de pruebas manuales se buscan vulnerabilidades que puedan afectar al sitio web.
En el caso de que la web esté protegida por un WAF, se recomendará incluir al analista de seguridad en listas blancas para realizar las pruebas de forma fluida y sin bloqueos.
La motivación detrás de incluir al analista en lista blanca es evitar que fallos de seguridad sean enmascarados por el WAF durante la auditoría.
Las pruebas están basadas en OWASP con especial énfasis en la búsqueda de vulnerabilidades catalogadas en el top 10 del OWASP Top 10 2021.
Una vez detectadas evidencias de la existencia de una vulnerabilidad, el analista de seguridad intentará explotar la vulnerabilidad de igual manera que haría un atacante real con el objetivo de acceder a información confidencial o tomar el control del servidor.
Durante la realización de estas pruebas no se realizan pruebas contra la infraestructura que contiene el sitio web, por lo tanto, todos los hallazgos encontrados hacen referencia exclusivamente al sitio web.
¿Qué se entrega al cliente?
Tras realizar las pruebas pertinentes, el analista de seguridad preparará un informe detallado de las vulnerabilidades localizadas, evidencias de estas y de compromiso del sistema en el caso de que se haya producido y una o varias recomendaciones de seguridad para remediar o mitigar estos problemas.
¿Y después?
Después es tu turno para corregir las vulnerabilidades. Junto a cada vulnerabilidad podrás encontrar recomendaciones de seguridad para aplicar en el sitio web y referencias a recursos que te permitirán abordar la solución sin ningún problema.
Es muy recomendable, una vez que has solucionado los problemas volver a realizar una auditoría de seguridad para confirmar que las vulnerabilidades se han corregido correctamente.
¿Ya soy invulnerable?
Obviamente no, la securización de tu sitio web es un pequeño paso en tu camino hacia una organización más segura pero todavía hay mucho camino que recorrer. Te recomendamos que revises los diversos servicios que se ofrecen desde Alfa5 para, poco a poco, tapiar las ventanas de tu organización.