Una vez se ha descubierto una vulnerabilidad, es obligatorio revisar su estado periódicamente. En este servicio, seguiremos la vida de la vulnerabilidad para comprobar su mitigación y correcta solución. Para ello, contamos con una aplicación en la que añadimos los activos y sus vulnerabilidades para asignarle un estado a cada uno.

Nuestros servicios de auditoría de seguridad se dividen en tres grupos:

• SAST: la codificación de una aplicación debe ser segura. Esto se mide basándose en la seguridad del código y en la prevención de vulnerabilidades que puedan comprometerla.
• DAST: la integración del código y la infraestructura representa una etapa delicada en el proceso, en la que varias vulnerabilidades pueden aparecer. Es importante detectarlas lo antes posible.
• INFRAESTRUCTURA: búsqueda de vulnerabilidades en un sistema, con el objetivo de detectar vulnerabilidades o posibles exposiciones que permitan a un atacante comprometer un sistema. También incluye una revisión de distintas infraestructuras Cloud (SaaS, PaaS, etc.).

Ofrecemos auditorías de pentesting desde diferentes enfoques para simular mejor las acciones de un atacante real, ayudando a las organizaciones a identificar debilidades y áreas de mejora:

• Interno: la cantidad y naturaleza de los individuos que acceden a la red de una organización varía según su rol, como empleados, proveedores, clientes, etc. A través de este servicio medimos el nivel de exposición de la infraestructura interna de una organización.
• Externo: la existencia de una vulnerabilidad, el uso de malas prácticas o la publicación de información sensible pueden permitir a un usuario malicioso o a un atacante anónimo acceder a la infraestructura interna. Ataque DoS.
• Ingeniería social: con la intención de medir el alcance de la concienciación de nuestros activos humanos, este servicio propone varias actividades para medir el nivel de exposición de la organización debido al factor humano. Estos ataques se suelen basar principalmente en técnicas de phishing.

Ofrecemos apoyo a lo largo del ciclo de vida de software para garantizar que hay medidas de seguridad adecuadamente definidas en todas las áreas. Las principales áreas cubiertas incluyen auditorías, que también se ofrecen por separado:

• Arquitectura de seguridad.
• Pruebas de seguridad para aplicaciones estáticas.
• Pruebas de seguridad para aplicaciones dinámicas.
• Pruebas de penetración para aplicaciones.

Análisis de las configuraciones existentes en distintos dispositivos, con el objetivo de detectar cualquier vulnerabilidad que exponga al dispositivo y a la organización en su totalidad. Se recomienda el uso de estándares de seguridad, guías de bastionado y formación. No tiene sentido usar sofisticados sistemas de protección si nos olvidamos de bastionar y configurar nuestros sistemas correctamente, ya sean servidores, elementos de red o cualquier otro dispositivo perforado en la red interna o externa (Internet). En NTT DATA usamos tanto nuestro conocimiento como el de importantes asociaciones internacionales que buscan garantizar la seguridad de cada uno de los distintos elementos de redes e infraestructuras tan críticas como las instituciones bancarias o militares.
Configurar un dispositivo de forma segura requiere, por una parte, un gran conocimiento sobre la tecnología a configurar, y por otra, habilidades en lo relativo a seguridad de la información. Por tanto, es una tarea delicada y debe aplicarse dentro de bases de seguridad reconocidas.

• Analizar los sistemas operativos en cuanto al cumplimiento de estándares de seguridad, con el objetivo de localizar deficiencias en su seguridad, las cuales pueden exponer los servicios alojados en el sistema. Ejemplos: Windows, Linux, Solaris.
• El software básico presente en servidores web, bases de datos, etc. Todo ello debe estar configurado correctamente para no exponer las aplicaciones o sistemas (aplicaciones web, directorios activos, etc.) a los que sirven. Ejemplos: Apache, Tomcat, IIS, MySQL.
• Analizar la configuración de distintos tipos de elementos de red para comprobar su configuración en relación a protocolos, criptografía, servicios u otras características que expongan el dispositivo y la red. Ejemplos: Cisco IOS, Checkpoint GAIA, Juniper Junos.

El desarrollo inicial de una aplicación debe tener un diseño de seguridad y cumplir los requisitos de seguridad establecidos.

• REQUISITO: durante la determinación de requisitos de seguridad para la futura aplicación, otros requisitos de sistema funcionales/no funcionales serán establecidos. Se realizará un análisis de impacto de negocio tanto para nuevos desarrollos como para aplicaciones existentes, para determinar la criticidad de la aplicación: alta, media o baja. Los controles de seguridad requeridos para la arquitectura y el desarrollo de la aplicación se establecerán de acuerdo a su nivel de criticidad. Para aplicaciones existentes, podrá realizarse una evaluación de los controles de seguridad, además del análisis de riesgo, para evaluar el nivel de cumplimiento y garantizar su seguridad en todo momento.
• DISEÑO: esta fase es esencial para la seguridad del software, y cualquier decisión tomada en este momento determinará el nivel de madurez del software. Proponemos lo siguiente:
  
  • Revisión de arquitectura: revisión de la arquitectura en lo relativo al cumplimiento de los requisitos de la fase previa. Revisión en relación a estándares de referencia (“Application Security Verification Standard – OWASP”).
  • Threat Modelling: proceso para detectar amenazas específicas en un software por medio de un análisis detallado (diseño, estructura, componentes, librerías, etc.) y para obtener contramedidas para su mitigación. Se trata de una auditoria de seguridad del diseño de la aplicación.
  • Superficie de ataque: proceso para hallar todos aquellos elementos de software que sean accesibles desde el exterior, para ser conscientes y controlar aquellos elementos que puedan sufrir un ataque externo. Es similar a un pentest, pero en el diseño. Dos niveles:
  • Primer nivel: el software analizado (ej.: la aplicación).
  • Segundo nivel: entorno de ejecución (ej. Sistema Operativo, servidores web, etc.).
  • Identificación y análisis de la seguridad de: direcciones IP, protocolos asociados (DHCP, FTP, Kerberos, etc.), vistas accesibles vía URL, servicios web, sockets, etc.