El Test de Intrusión, ¿qué es?
El test de intrusión (también llamado Pen Test) es un servicio que consiste en simular un ataque real a un sistema informático para encontrar sus vulnerabilidades, detectar fallos y conocer el nivel de seguridad del sistema.
Se suele realizar con el fin de mejorar la seguridad y prevenir futuros ataques.
Se relaciona el test de intrusión al hacking ético, ya que ha de haber ética a la hora de emular un ataque y comunicar la situación de seguridad a la empresa.
Existen dos modalidades para realizar el test de intrusión:
- Caja negra: consiste en penetrar el sistema sin tener conocimientos ni información sobre la empresa, simulando un ataque con los recursos que tendría un hacker.
- Caja blanca: se produce una penetración conociendo la empresa y el sistema por completo, por lo que la seguridad se pone a prueba al máximo.
Cómo funciona el Test de Intrusión
En Aronte, empleamos una metodología en la que dividimos el test de intrusión en 5 fases.
FASE 1 – Recogida de información
Analizamos la información de los sistemas informáticos de la organización para conocerlos mejor y establecer los principales objetivos.
FASE 2 – Modelos de amenazas
Una vez tenemos la información sobre los sistemas decidimos qué método de ataque utilizar y los tipos de amenazas que simularemos desde Aronte.
FASE 3 – Análisis y explotación de Vulnerabilidades
Realizaremos un análisis con el fin de identificar los fallos y vulnerabilidades que presentan los sistemas e intentaremos romper las barreras de seguridad para acceder a ellos.
FASE 4 – Post-explotación
Una vez dentro del sistema, la fase de post-explotación nos permite entender dónde pueden encontrarse los datos sensibles.
FASE 5 – Presentación de informes
La presentación de los informes es uno de los aspectos más importantes de la prueba.
Comunicamos al cliente el trabajo efectuado y los resultados del test de intrusión junto a las mejoras a aplicar, ordenadas según la importante y/o preferencia para asegurar la red.
Aronte, expertos en la seguridad de la información.