Pentesting como Servicio (PTaaS)

Hackers ponen a prueba la seguridad de las tecnologías de las TIC durante todo el año, el beneficio de este tipo de servicio es que se detectan las nuevas vulnerabilidades explotables, las deficiencias en los controles de la red e infraestructura, reduciendo riesgos de seguridad.

  Política de Seguridad y Confidencialidad

Servicio ejecutado por especialistas en el campo, confidencialidad asegurada

Nos diferenciamos de otras empresas porque las Pruebas de Penetración son manuales, contamos con especialistas certificados en operaciones de campo realizando Ciberseguridad ofensiva, utilizamos scripts, conocemos el arte de evadir el software de defensa; ampliando y descubriendo el total de servicios asignados a una IP, cosa que no se obtiene con las costosas tools automatizadas de escaneo de vulnerabilidades ejecutadas con parámetros por defecto, dando como resultado una visión parcial e incompleta de las fallas.

Contamos con 2 planes:

Plan Anual - Cobertura los 12 meses del año.

Plan Semestral - Cobertura por 6 meses del año.

Alcance del Servicio:

  • Pentesting Black Box (ciberataques desde el exterior o desde Internet)
  • Pentesting White Box (ciberataques desde el interior de la organización o red LAN y vía VPN)
  • Pentesting de Aplicaciones Web (basado a OWASP top 10)

Metodología: OSSTMM (Manual de la Metodología Abierta de Pruebas de Penetración de la Seguridad)

Operaciones:

OSINT: Descubrimientos de activos tecnológicos de la organización.

Escaneo: Descubrimiento de los puertos vivos aplicando evasión de firewall.

Enumeración: Descubrimiento de los servicios y sus versiones de cada IP LAN o Pública.

Análisis de vulnerabilidades: Evaluación de criticidad CVSS de la falla descubierta y del exploit a utilizar.

Explotación: Descarte de falso positivo y condiciones para la ejecución del exploit.

Post Explotación: Elevación de privilegios y movimiento lateral.

Informe Mensual: 

Se entregará un informe técnico y otro ejecutivo de las operaciones realizadas.

Informe de Alta Prioridad:

Este informe se genera cuando se descubra una falla crítica CVSS 9-10 que amenace los procesos de las operaciones del negocio para su remediación inmediata, ya que se puede obtener Ejecución de Código Remoto (RCE) o ejecución de ransomware.

"Solo atacando... puedes saber donde están las fallas a corregir"

Data sheet

Tipo de Pentesting
Aplicaciones Web
Black Box (Caja Negra)
White Box (Caja Blanca)