SlideShare ist ein Scribd-Unternehmen logo

Ciberseguridad: CAso Alma Technologies

Santiago Toribio Ayuga
Santiago Toribio Ayuga

Ciberseguridad: Caso alma Technologies

Business
1 von 13
Downloaden Sie, um offline zu lesen
Cybersecurity Santiago Toribio Tfno: 669 373 358 s.toribio@almatech.es
www.andanzatechnologies.com Riesgos actuales asociados a Internet. Ciberiesgos Ciberiesgos asociados a la actividad en Internet. • Cualquier dirección IP pública asociada nuestros elementos de red y/o sistemas es una ventana expuesta a Internet que debe contar con las medidas adecuadas de protección. • Cualquier vulnerabilidad en estos elementos está expuesta a Internet y puede ser identificada y utilizada para realizar ataques maliciosos. • Existen dos grandes tipos de vulnerabilidades asociados a los elementos expuestos a Internet: • Entornos web y aplicaciones. SQL Inyection, Cross-Site Scripting (XSS), Buffer Overflow, , Authentication Bypass or File Inclusion, errores de programación, etc. son técnicas utilizadas con éxito por los hackers. • Infraestructuras. Mala parametrización, credenciales débiles, ausencia de parches de seguridad, versiones obsoletas, seguridad perimetral insuficiente (FW, IDS…) mala segmentación de red y arquitecturas de sistemas y aplicaciones deficientes hacen posible la realización de ciberataques con éxito.  El Hacking se ha “democratizado”. Existen infinidad de herramientas en Internet como SQLmap, Hajiv, etc. que permiten perpetrar ataques exitosos de forma sencilla y amigable sin necesidad de tener conocimientos técnicos avanzados. Técnicas de Pentesting
www.andanzatechnologies.com El HE es una herramienta excelente para calibrar con precisión el nivel de Ciberiesgo:  Sus principales capacidades al servicios de la Ciberseguridad son:  Auditoría remota de entornos complejos en cualquier ubicación.  Identificación e inventario de las vulnerabilidades asociadas a cada elemento de red y/o sistema.  Identificación de los vectores de ataque mas factible y evaluación del riesgo real que suponen para la compañía.  Identificación de los activos expuestos a internet y las correspondientes evidencias.  Seguimiento ágil y efectivo de los planes de remediación mediante la realización de un retesting que permita evaluar la efectividad de las medidas adoptadas.  Análisis forense de los incidentes de seguridad para identificar los vectores de ataque utilizados, la profundidad del ataque, sus efectos y los activos alcanzados.  Otras capacidades adicionales. Alerta temprana y Ciberinteligencia:  Identificación proactiva de ataques Zero-Day.  Seguimiento, investigación e infiltración en los foros “underground” y Deep Web para:  Identificar robos de información y acciones ilegales/fraudulentas contra la compañía.  Definición de mecanismos de alerta temprana para prevenir ataques. Técnicas de Pentesting
www.andanzatechnologies.com Cómo lo hacemos? Aplicamos dos esquemas de trabajo:  Fase 1. Pentest de Caja Negra.  Este trabajo se realiza exclusivamente desde Internet y permite calibrar con precisión el nivel exposición a Internet.  Creación de un inventario de los elementos expuestos a Internet y sus vulnerabilidades asociadas.  Aplicación de técnicas de HE a los vectores de ataque mas factibles y generación de las evidencias de los resultados obtenidos.  Fase 2. Pentest de Caja Blanca.  Este fase del trabajo se realiza desde el interior de la red y es un complemento esencial a la Fase 1 ya que una vez que se ha penetrado el perímetro exterior, los Hackers utilizan estas vulnerabilidades internas para profundizar en sus ataques hacia los activos más sensibles y valiosos.  Se analiza en detalle la topología de la red y la arquitectura de los sistemas desde una perspectiva de seguridad.  Se audita el nivel de hardening de los elementos y sistemas críticos.  Se analiza el nivel de resiliencia frente ataques externos e internos. Un empleado desleal (insider) puede ser muy peligroso ya que conoce cuáles son y donde se encuentran los datos mas sensibles de la compañía. Para la realización de estos trabajos utilizamos técnicas herramientas específicas expresamente parametrizadas para la ejecución de forma segura de este tipo de actividades. Nuestra metodología tiene un componente manual altamente especializado que nos permite obtener un inventario muy preciso de las vulnerabilidades y el riesgo real que suponen. Este nivel de precisión es imposible de alcanzar solo con herramientas automáticas. Técnicas de Pentesting
www.andanzatechnologies.com A la hora de identificar las vulnerabilidades y calibrar los riesgos aplicamos los principales estándares internacionales  OSSTMM. Open Source Security Testing Methodology Manual.  Es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet.  Incluye un marco de trabajo que describe las fases que habría de realizar para la ejecución de la auditoría. Se ha logrado gracias a un consenso entre cientos de expertos internacionales sobre el tema, que colaboran entre sí mediante Internet. http://osstmm.org  CVSS. Common Vulnerability Scoring System.  Con el objetivo de valorar de forma objetiva las vulnerabilidades utilizamos la metodología CVSS que es el estándar internacional de facto.  La elección de esta métrica se basa en la necesidad de tener un sistema de valoración independiente de los fabricantes y respaldada por un organismo de referencia a nivel mundial como el FIRST. http://first.org/cvss/ Técnicas de Pentesting
www.andanzatechnologies.com Técnicas de Pentesting NIVEL DE RIESGO AMENAZA Bajo Se consigue información pública de la compañía, pero que supone un daño mínimo o nulo al negocio; o bien se consigue información sobre el sistema analizado pero no se consigue utilizarla para explotar nuevas vulnerabilidades. Medio Se consigue información sensible de la compañía: información financiera básica (facturaciones, beneficios), detalles de proyectos, información básica sobre clientes (nombres y etc.), datos de carácter personal de nivel bajo (nombre, apellidos, direcciones de contacto, teléfonos, números de Cuentas corrientes). Alto Acceso a datos de carácter privado: historiales de trabajo (Curriculum Vitae, datos de la Seguridad Social), datos de carácter personal de nivel medio (datos relativos a infracciones administrativas o penales, de hacienda pública, servicios financieros, solvencia patrimonial o crédito); o bien se logra explotar una vulnerabilidad que permite ejecución de comandos o shell directamente en la máquina como usuario; obtención de credenciales de acceso a sistemas, bases de datos o aplicaciones; acceso masivo a datos de la base de datos. Crítico Acceso a datos de carácter confidencial: secretos comerciales, datos de carácter personal de nivel alto (ideología, religión, creencias, origen racial, salud, vida sexual, datos con fines policiales sin consentimiento del interesado), código fuente de aplicaciones, información útil para la competencia; o bien se consigue ejecución de comandos o Shell como usuario de administración del sistema. Criterios de valoración de vulnerabilidades del estándar CVSS:
www.andanzatechnologies.com Desarrollamos nuestras propias herramientas We have a platform for conducting remote penetration tests for our clients and monitoring their level of cyber risk. The platform is composed of 3 main components: Disponemos de nuestra propia plataforma para la realización de test de penetración y la monitorización de su nivel de ciberiesgo. La plataforma se compone de tres elementos principales:  Plataforma de Pentest:  Está optimizada para la realización de test de penetración de forma ágil y segura según nuestra propia metodología desarrollada durante años.  Permite la realización de retesting de forma inmediata para verificar la efectividad de los planes de remediación.  Permite la planificación de nuevos test de penetración, totales o parciales, para calibrar la evolución del nivel de ciberiesgo del cliente.  Sondas de HE.  Esta sonda basada en tecnología Raspberry y un sistema operativo altamente securizado basado en NetBSD actúa como pasarela segura para la realización remota de test de caja blanca y recopilación de evidencias.  Muy pequeña y fácil de instalar. Solo hay que conectarla al segmento de red a auditar y ella sola se autoconfigura para la realización de los test de forma segura en la venta de servicio especificada.  Una vez conectada a al red la sonda establece un túnel seguro con nuestra plataforma.  Toda la actividad realizada por la sonda genera un log de actividad para permitir al cliente auditar7trazar toda la actividad realizada  Cyberintelligence Platform.  Posee elevadas capacidades de búsqueda de contenidos/información perteneciente a la compañía en Internet y redes sociales que permiten identificar fugas de información.  Permite el seguimiento de determinados foros y redes underground para identificar y prevenir acciones maliciosas contra la compañía. Herramientas de Pentesting
www.andanzatechnologies.com Somos Partner tecnológicos de compañías innovadoras en materia de Ciberseguridad Herramientas de Seguridad Randed. Tecnología de Isolation Cloud capaz de convertir cualquier sesión de usuario en un ‘stream’ de video. Basada en el concepto Air Gap, permite que toda aplicación necesaria para el usuario puede ser accedida y gestionada desde cualquier PC o dispositivo dentro de un entorno controlado, seguro e independiente, manteniendo el mismo formato de interfaz a través, simplemente, de un navegador web. Buguroo. Su producto bugFraud es una solución antifraude que combina tecnologías de Deep Learning y Analíticas Cognitivas, aplicadas al comportamiento del usuario, para la detección y prevención de amenazas que atenten contra la seguridad de las sesiones de usuarios de portales de banca online, comercio online, etc… Smartfense. Desarrolla una plataforma de capacitación y concienciación en Seguridad de la Información que genera hábitos seguros en los usuarios finales. La plataforma de SMARTFENSE, distribuida por Lidera, permite la gestión del programa de capacitación y concienciación, con métricas que dan a conocer de forma objetiva el grado de efectividad de sus acciones. CounterCraft. La solución de CounterCraft despliega campañas basadas en el engaño, ofrece un monitoreo en detalle y acciones de respuesta complejas. La plataforma de engaño distribuido, premiada por relevantes organizaciones, es utilizada actualmente por gobiernos, organismos de seguridad y defensa, y compañías del índice Fortune500
www.andanzatechnologies.com Sistema Intermedio Audited System 1- Loader instalation 2- Actualización del script (si es necesario) 3- Loader control scripts execution 4- Envío de resultados 5- Recepción y análisis de resultados Consol 6- Configuration evidences sending Log repository 7- Envío de Logs Ethical Hacking Platform
www.andanzatechnologies.com Cybersecurity Governance Model 10 Security standars: OWASP…. System Risk Analysis Controls access to data Audit and traceability Source code analysis and Penetration Test App Middleware BBDD SO COMM CPD Seguridad en el Desarrollo Seguridad en las Infraestructuras Log&configurationanalysis Security Rq´s: Design, hardening, access control, resiliance, polit. BCK, audit y traceability, standars compliance… Controles de Ciberseguridad sobre todas las capas tecnológicas
www.andanzatechnologies.com Protocolo de conexión:  Los mecanismos de conexión entre la plataforma y la sonda se hacen mediante mecanismos avanzados de criptografía • La conexión se establece desde la sonda hacia la dirección IP de la plataforma mediante un túnel seguro por lo que la red del cliente nunca se expone a internet.  La persistencia de la conexión es revisada de forma permanente. En caso de caída se restablece de forma automática y autónoma.  El uso del ancho de banda es autolimitado para optimizar el uso de recursos de red.  A la sonda se le asigna una IP fija de la red para que pueda ser monitorizada por parte de las áreas de red/seguridad.  Toda la actividad de la sonda se registra en log para permitir tracear y auditar su actividad. Ethical Hacking Platform
www.andanzatechnologies.com Sondas de HE ¿Qué es?:  Dispositivo físico que se conecta a la red local de la OB para facilitar la auditoría de Ciberseguridad a distancia.  Contiene las herramientas básicas necesarias para un análisis de seguridad y actúa de pasarela con la plataforma de Hacking Ético.  Bastionada a conciencia para garantizar los máximos niveles seguridad. Las comunicaciones van cifradas y el acceso se realiza mediante certificados.  El cliente tiene la posibilidad de desconectar/conectar la sonda según sus necesidades/criterio.  La sonda es autónoma. Una vez encendida y conectada a la red se autoconfigura para conectarse a la plataforma de Hacking Ético.  Basada en tecnología Raspberry permite un despliegue de múltiples sondas low-cost adecuarse a la topología de la red del cliente. BENEFICIOS Solución plug &play que permite el inicio inmediato de las auditorías. Permite automatizar las tareas de seguimiento (retesting) de las vulnerabilidades identificadas Permite el despliegue en diferentes puntos para adecuarse a la topología y las particularidades de la red y los sistemas del cliente Permite la actualización y/o potenciación de las capacidades de monitorización y control de la red y los sistmas del cliente
s.Toribio@almatech.es Valentín Beato, 23 - 28037 Madrid , España Tel. +34 669 373 358

Empfohlen

Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Alfredo Carrascal
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
Universidad Kino A.C.
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de Vulnerabilidades
Meztli Valeriano Orozco
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
Hacking Bolivia
 
Clase dieciocho 2011
Clase dieciocho 2011Clase dieciocho 2011
Clase dieciocho 2011
tecnodelainfo
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
Aniiitha01
 
Amenaza a las bases de datos
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datos
Leonel Ibarra
 
Hacking etico
Hacking eticoHacking etico
Hacking etico
Hacking etico
 

Empfohlen

Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Alfredo Carrascal
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
Universidad Kino A.C.
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de Vulnerabilidades
Meztli Valeriano Orozco
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
Hacking Bolivia
 
Clase dieciocho 2011
Clase dieciocho 2011Clase dieciocho 2011
Clase dieciocho 2011
tecnodelainfo
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
Aniiitha01
 
Amenaza a las bases de datos
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datos
Leonel Ibarra
 
Hacking etico
Hacking eticoHacking etico
Hacking etico
Hacking etico
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
Tensor
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
Alexander Velasque Rimac
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
Base10media
 
HackWeb
HackWebHackWeb
HackWeb
Carlos Eduardo Sanchez Martinez
 
seguridad basica informática
seguridad basica informáticaseguridad basica informática
seguridad basica informática
Jorge Pfuño
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentes
Eduardo Arriols Nuñez
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red Team
Eduardo Arriols Nuñez
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios
Rafael Seg
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Eduardo Arriols Nuñez
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
Eduardo Arriols Nuñez
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramillo
David Moreno Saray
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team Operations
Eduardo Arriols Nuñez
 
Introduccion ethical hacking - chakan
Introduccion ethical hacking - chakanIntroduccion ethical hacking - chakan
Introduccion ethical hacking - chakan
ch4k4n
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration Testing
Eduardo Arriols Nuñez
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Eduardo Arriols Nuñez
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de Pentest
Rafael Seg
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
n3xasec
 
Herramientas de analisis forense en delitos informaticos
Herramientas de analisis forense en delitos informaticosHerramientas de analisis forense en delitos informaticos
Herramientas de analisis forense en delitos informaticos
Carmen Castillo
 
Cuestionario
CuestionarioCuestionario
Cuestionario
learcos23
 
Carlos cuestionario jhan pool, bryan
Carlos cuestionario jhan pool, bryanCarlos cuestionario jhan pool, bryan
Carlos cuestionario jhan pool, bryan
kebvin26
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
Alexander Velasque Rimac
 
Auditoria Manual
Auditoria ManualAuditoria Manual
Auditoria Manual
longinus692
 

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
HackWeb
HackWebHackWeb
HackWeb
 
seguridad basica informática
seguridad basica informáticaseguridad basica informática
seguridad basica informática
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentes
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red Team
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramillo
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team Operations
 
Introduccion ethical hacking - chakan
Introduccion ethical hacking - chakanIntroduccion ethical hacking - chakan
Introduccion ethical hacking - chakan
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration Testing
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de Pentest
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
 
Herramientas de analisis forense en delitos informaticos
Herramientas de analisis forense en delitos informaticosHerramientas de analisis forense en delitos informaticos
Herramientas de analisis forense en delitos informaticos
 
Cuestionario
CuestionarioCuestionario
Cuestionario
 
Carlos cuestionario jhan pool, bryan
Carlos cuestionario jhan pool, bryanCarlos cuestionario jhan pool, bryan
Carlos cuestionario jhan pool, bryan
 

Ähnlich wie Ciberseguridad: CAso Alma Technologies

Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
Alexander Velasque Rimac
 
CASO 2 DE SEGURIDAD INFORMATICA.docx
CASO 2 DE SEGURIDAD INFORMATICA.docxCASO 2 DE SEGURIDAD INFORMATICA.docx
CASO 2 DE SEGURIDAD INFORMATICA.docx
ArakiSg
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
Alonso Caballero
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
Idat
 

Ähnlich wie Ciberseguridad: CAso Alma Technologies (20)

Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
 
Auditoria Manual
Auditoria ManualAuditoria Manual
Auditoria Manual
 
CASO 2 DE SEGURIDAD INFORMATICA.docx
CASO 2 DE SEGURIDAD INFORMATICA.docxCASO 2 DE SEGURIDAD INFORMATICA.docx
CASO 2 DE SEGURIDAD INFORMATICA.docx
 
Resumen ejecutivo eh
Resumen ejecutivo ehResumen ejecutivo eh
Resumen ejecutivo eh
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_Colaborativo
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
 
Mrlooquer Rating
Mrlooquer RatingMrlooquer Rating
Mrlooquer Rating
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Seguridad clase-2
Seguridad clase-2Seguridad clase-2
Seguridad clase-2
 
Webinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaWebinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad Gestionada
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0
 
S4 cdsi1-2
S4 cdsi1-2S4 cdsi1-2
S4 cdsi1-2
 

Mehr von Santiago Toribio Ayuga

Mehr von Santiago Toribio Ayuga (20)

Corporate venture builder
Corporate venture builderCorporate venture builder
Corporate venture builder
 
Peresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioPeresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribio
 
Sirius
SiriusSirius
Sirius
 
Alma Technologies 2019: Santiago Toribio
Alma Technologies 2019: Santiago ToribioAlma Technologies 2019: Santiago Toribio
Alma Technologies 2019: Santiago Toribio
 
Casos exito santiago toribio almatech
Casos exito santiago toribio almatechCasos exito santiago toribio almatech
Casos exito santiago toribio almatech
 
Certificado amces santiago toribio
Certificado amces santiago toribio Certificado amces santiago toribio
Certificado amces santiago toribio
 
Especial hiperconvergencia-hpe.pdf
Especial hiperconvergencia-hpe.pdfEspecial hiperconvergencia-hpe.pdf
Especial hiperconvergencia-hpe.pdf
 
Ricoh Santiago Toribio digital transformation
Ricoh Santiago Toribio digital transformationRicoh Santiago Toribio digital transformation
Ricoh Santiago Toribio digital transformation
 
Presentación HSS
Presentación HSSPresentación HSS
Presentación HSS
 
Financiacion privada
Financiacion privadaFinanciacion privada
Financiacion privada
 
Emprendimiento IT, IOT. Experiencia Sharing Ecoomy
Emprendimiento IT, IOT. Experiencia Sharing Ecoomy Emprendimiento IT, IOT. Experiencia Sharing Ecoomy
Emprendimiento IT, IOT. Experiencia Sharing Ecoomy
 
Biohuertos plan de negocio
Biohuertos plan de negocioBiohuertos plan de negocio
Biohuertos plan de negocio
 
corporativacsqtoribio
corporativacsqtoribiocorporativacsqtoribio
corporativacsqtoribio
 
Asesoramiento financiero
Asesoramiento financieroAsesoramiento financiero
Asesoramiento financiero
 
folleto cosmobile
folleto cosmobilefolleto cosmobile
folleto cosmobile
 
Sucesion. Home office
Sucesion. Home officeSucesion. Home office
Sucesion. Home office
 
Analisis competencia Ding.
Analisis competencia Ding. Analisis competencia Ding.
Analisis competencia Ding.
 
Business Plan Ezetop an Ding. Plan de negocio plataforma Transaccional
Business Plan Ezetop an Ding. Plan de negocio plataforma TransaccionalBusiness Plan Ezetop an Ding. Plan de negocio plataforma Transaccional
Business Plan Ezetop an Ding. Plan de negocio plataforma Transaccional
 
Economia colaborativa sharing economy
Economia colaborativa sharing economyEconomia colaborativa sharing economy
Economia colaborativa sharing economy
 
Medios de pago y Adquirencia bancaria. Business Plan Inbursa Mexico. Santiago...
Medios de pago y Adquirencia bancaria. Business Plan Inbursa Mexico. Santiago...Medios de pago y Adquirencia bancaria. Business Plan Inbursa Mexico. Santiago...
Medios de pago y Adquirencia bancaria. Business Plan Inbursa Mexico. Santiago...
 

Kürzlich hochgeladen

3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
Evafabi
 
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptxDIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
7500222160
 
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
MIGUELANGELLEGUIAGUZ
 
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocxCARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
WILIANREATEGUI
 
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfSENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
JaredQuezada3
 
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
i7ingenieria
 
Comparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdf
Comparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdfComparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdf
Comparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdf
AJYSCORP
 

Kürzlich hochgeladen (20)

liderazgo guia.pdf.............................
liderazgo guia.pdf.............................liderazgo guia.pdf.............................
liderazgo guia.pdf.............................
 
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
 
Reporte Tributario para Entidades Financieras.pdf
Reporte Tributario para Entidades Financieras.pdfReporte Tributario para Entidades Financieras.pdf
Reporte Tributario para Entidades Financieras.pdf
 
CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABA
CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABACAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABA
CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABA
 
Empresa Sazonadores Lopesa estudio de mercado
Empresa Sazonadores Lopesa estudio de mercadoEmpresa Sazonadores Lopesa estudio de mercado
Empresa Sazonadores Lopesa estudio de mercado
 
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptxDIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
 
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)
 
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptxSostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
 
Analisis del art. 37 de la Ley del Impuesto a la Renta
Analisis del art. 37 de la Ley del Impuesto a la RentaAnalisis del art. 37 de la Ley del Impuesto a la Renta
Analisis del art. 37 de la Ley del Impuesto a la Renta
 
Maria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralMaria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industral
 
EL REFERENDO para una exposición de sociales
EL REFERENDO para una exposición de socialesEL REFERENDO para una exposición de sociales
EL REFERENDO para una exposición de sociales
 
CONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdf
CONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdfCONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdf
CONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdf
 
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
 
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocxCARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
 
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfSENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
 
Distribuciones de frecuencia cuarto semestre
Distribuciones de frecuencia cuarto semestreDistribuciones de frecuencia cuarto semestre
Distribuciones de frecuencia cuarto semestre
 
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADADECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
 
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
 
Comparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdf
Comparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdfComparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdf
Comparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdf
 
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
 

Ciberseguridad: CAso Alma Technologies

  • 1. Cybersecurity Santiago Toribio Tfno: 669 373 358 s.toribio@almatech.es
  • 2. www.andanzatechnologies.com Riesgos actuales asociados a Internet. Ciberiesgos Ciberiesgos asociados a la actividad en Internet. • Cualquier dirección IP pública asociada nuestros elementos de red y/o sistemas es una ventana expuesta a Internet que debe contar con las medidas adecuadas de protección. • Cualquier vulnerabilidad en estos elementos está expuesta a Internet y puede ser identificada y utilizada para realizar ataques maliciosos. • Existen dos grandes tipos de vulnerabilidades asociados a los elementos expuestos a Internet: • Entornos web y aplicaciones. SQL Inyection, Cross-Site Scripting (XSS), Buffer Overflow, , Authentication Bypass or File Inclusion, errores de programación, etc. son técnicas utilizadas con éxito por los hackers. • Infraestructuras. Mala parametrización, credenciales débiles, ausencia de parches de seguridad, versiones obsoletas, seguridad perimetral insuficiente (FW, IDS…) mala segmentación de red y arquitecturas de sistemas y aplicaciones deficientes hacen posible la realización de ciberataques con éxito.  El Hacking se ha “democratizado”. Existen infinidad de herramientas en Internet como SQLmap, Hajiv, etc. que permiten perpetrar ataques exitosos de forma sencilla y amigable sin necesidad de tener conocimientos técnicos avanzados. Técnicas de Pentesting
  • 3. www.andanzatechnologies.com El HE es una herramienta excelente para calibrar con precisión el nivel de Ciberiesgo:  Sus principales capacidades al servicios de la Ciberseguridad son:  Auditoría remota de entornos complejos en cualquier ubicación.  Identificación e inventario de las vulnerabilidades asociadas a cada elemento de red y/o sistema.  Identificación de los vectores de ataque mas factible y evaluación del riesgo real que suponen para la compañía.  Identificación de los activos expuestos a internet y las correspondientes evidencias.  Seguimiento ágil y efectivo de los planes de remediación mediante la realización de un retesting que permita evaluar la efectividad de las medidas adoptadas.  Análisis forense de los incidentes de seguridad para identificar los vectores de ataque utilizados, la profundidad del ataque, sus efectos y los activos alcanzados.  Otras capacidades adicionales. Alerta temprana y Ciberinteligencia:  Identificación proactiva de ataques Zero-Day.  Seguimiento, investigación e infiltración en los foros “underground” y Deep Web para:  Identificar robos de información y acciones ilegales/fraudulentas contra la compañía.  Definición de mecanismos de alerta temprana para prevenir ataques. Técnicas de Pentesting
  • 4. www.andanzatechnologies.com Cómo lo hacemos? Aplicamos dos esquemas de trabajo:  Fase 1. Pentest de Caja Negra.  Este trabajo se realiza exclusivamente desde Internet y permite calibrar con precisión el nivel exposición a Internet.  Creación de un inventario de los elementos expuestos a Internet y sus vulnerabilidades asociadas.  Aplicación de técnicas de HE a los vectores de ataque mas factibles y generación de las evidencias de los resultados obtenidos.  Fase 2. Pentest de Caja Blanca.  Este fase del trabajo se realiza desde el interior de la red y es un complemento esencial a la Fase 1 ya que una vez que se ha penetrado el perímetro exterior, los Hackers utilizan estas vulnerabilidades internas para profundizar en sus ataques hacia los activos más sensibles y valiosos.  Se analiza en detalle la topología de la red y la arquitectura de los sistemas desde una perspectiva de seguridad.  Se audita el nivel de hardening de los elementos y sistemas críticos.  Se analiza el nivel de resiliencia frente ataques externos e internos. Un empleado desleal (insider) puede ser muy peligroso ya que conoce cuáles son y donde se encuentran los datos mas sensibles de la compañía. Para la realización de estos trabajos utilizamos técnicas herramientas específicas expresamente parametrizadas para la ejecución de forma segura de este tipo de actividades. Nuestra metodología tiene un componente manual altamente especializado que nos permite obtener un inventario muy preciso de las vulnerabilidades y el riesgo real que suponen. Este nivel de precisión es imposible de alcanzar solo con herramientas automáticas. Técnicas de Pentesting
  • 5. www.andanzatechnologies.com A la hora de identificar las vulnerabilidades y calibrar los riesgos aplicamos los principales estándares internacionales  OSSTMM. Open Source Security Testing Methodology Manual.  Es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet.  Incluye un marco de trabajo que describe las fases que habría de realizar para la ejecución de la auditoría. Se ha logrado gracias a un consenso entre cientos de expertos internacionales sobre el tema, que colaboran entre sí mediante Internet. http://osstmm.org  CVSS. Common Vulnerability Scoring System.  Con el objetivo de valorar de forma objetiva las vulnerabilidades utilizamos la metodología CVSS que es el estándar internacional de facto.  La elección de esta métrica se basa en la necesidad de tener un sistema de valoración independiente de los fabricantes y respaldada por un organismo de referencia a nivel mundial como el FIRST. http://first.org/cvss/ Técnicas de Pentesting
  • 6. www.andanzatechnologies.com Técnicas de Pentesting NIVEL DE RIESGO AMENAZA Bajo Se consigue información pública de la compañía, pero que supone un daño mínimo o nulo al negocio; o bien se consigue información sobre el sistema analizado pero no se consigue utilizarla para explotar nuevas vulnerabilidades. Medio Se consigue información sensible de la compañía: información financiera básica (facturaciones, beneficios), detalles de proyectos, información básica sobre clientes (nombres y etc.), datos de carácter personal de nivel bajo (nombre, apellidos, direcciones de contacto, teléfonos, números de Cuentas corrientes). Alto Acceso a datos de carácter privado: historiales de trabajo (Curriculum Vitae, datos de la Seguridad Social), datos de carácter personal de nivel medio (datos relativos a infracciones administrativas o penales, de hacienda pública, servicios financieros, solvencia patrimonial o crédito); o bien se logra explotar una vulnerabilidad que permite ejecución de comandos o shell directamente en la máquina como usuario; obtención de credenciales de acceso a sistemas, bases de datos o aplicaciones; acceso masivo a datos de la base de datos. Crítico Acceso a datos de carácter confidencial: secretos comerciales, datos de carácter personal de nivel alto (ideología, religión, creencias, origen racial, salud, vida sexual, datos con fines policiales sin consentimiento del interesado), código fuente de aplicaciones, información útil para la competencia; o bien se consigue ejecución de comandos o Shell como usuario de administración del sistema. Criterios de valoración de vulnerabilidades del estándar CVSS:
  • 7. www.andanzatechnologies.com Desarrollamos nuestras propias herramientas We have a platform for conducting remote penetration tests for our clients and monitoring their level of cyber risk. The platform is composed of 3 main components: Disponemos de nuestra propia plataforma para la realización de test de penetración y la monitorización de su nivel de ciberiesgo. La plataforma se compone de tres elementos principales:  Plataforma de Pentest:  Está optimizada para la realización de test de penetración de forma ágil y segura según nuestra propia metodología desarrollada durante años.  Permite la realización de retesting de forma inmediata para verificar la efectividad de los planes de remediación.  Permite la planificación de nuevos test de penetración, totales o parciales, para calibrar la evolución del nivel de ciberiesgo del cliente.  Sondas de HE.  Esta sonda basada en tecnología Raspberry y un sistema operativo altamente securizado basado en NetBSD actúa como pasarela segura para la realización remota de test de caja blanca y recopilación de evidencias.  Muy pequeña y fácil de instalar. Solo hay que conectarla al segmento de red a auditar y ella sola se autoconfigura para la realización de los test de forma segura en la venta de servicio especificada.  Una vez conectada a al red la sonda establece un túnel seguro con nuestra plataforma.  Toda la actividad realizada por la sonda genera un log de actividad para permitir al cliente auditar7trazar toda la actividad realizada  Cyberintelligence Platform.  Posee elevadas capacidades de búsqueda de contenidos/información perteneciente a la compañía en Internet y redes sociales que permiten identificar fugas de información.  Permite el seguimiento de determinados foros y redes underground para identificar y prevenir acciones maliciosas contra la compañía. Herramientas de Pentesting
  • 8. www.andanzatechnologies.com Somos Partner tecnológicos de compañías innovadoras en materia de Ciberseguridad Herramientas de Seguridad Randed. Tecnología de Isolation Cloud capaz de convertir cualquier sesión de usuario en un ‘stream’ de video. Basada en el concepto Air Gap, permite que toda aplicación necesaria para el usuario puede ser accedida y gestionada desde cualquier PC o dispositivo dentro de un entorno controlado, seguro e independiente, manteniendo el mismo formato de interfaz a través, simplemente, de un navegador web. Buguroo. Su producto bugFraud es una solución antifraude que combina tecnologías de Deep Learning y Analíticas Cognitivas, aplicadas al comportamiento del usuario, para la detección y prevención de amenazas que atenten contra la seguridad de las sesiones de usuarios de portales de banca online, comercio online, etc… Smartfense. Desarrolla una plataforma de capacitación y concienciación en Seguridad de la Información que genera hábitos seguros en los usuarios finales. La plataforma de SMARTFENSE, distribuida por Lidera, permite la gestión del programa de capacitación y concienciación, con métricas que dan a conocer de forma objetiva el grado de efectividad de sus acciones. CounterCraft. La solución de CounterCraft despliega campañas basadas en el engaño, ofrece un monitoreo en detalle y acciones de respuesta complejas. La plataforma de engaño distribuido, premiada por relevantes organizaciones, es utilizada actualmente por gobiernos, organismos de seguridad y defensa, y compañías del índice Fortune500
  • 9. www.andanzatechnologies.com Sistema Intermedio Audited System 1- Loader instalation 2- Actualización del script (si es necesario) 3- Loader control scripts execution 4- Envío de resultados 5- Recepción y análisis de resultados Consol 6- Configuration evidences sending Log repository 7- Envío de Logs Ethical Hacking Platform
  • 10. www.andanzatechnologies.com Cybersecurity Governance Model 10 Security standars: OWASP…. System Risk Analysis Controls access to data Audit and traceability Source code analysis and Penetration Test App Middleware BBDD SO COMM CPD Seguridad en el Desarrollo Seguridad en las Infraestructuras Log&configurationanalysis Security Rq´s: Design, hardening, access control, resiliance, polit. BCK, audit y traceability, standars compliance… Controles de Ciberseguridad sobre todas las capas tecnológicas
  • 11. www.andanzatechnologies.com Protocolo de conexión:  Los mecanismos de conexión entre la plataforma y la sonda se hacen mediante mecanismos avanzados de criptografía • La conexión se establece desde la sonda hacia la dirección IP de la plataforma mediante un túnel seguro por lo que la red del cliente nunca se expone a internet.  La persistencia de la conexión es revisada de forma permanente. En caso de caída se restablece de forma automática y autónoma.  El uso del ancho de banda es autolimitado para optimizar el uso de recursos de red.  A la sonda se le asigna una IP fija de la red para que pueda ser monitorizada por parte de las áreas de red/seguridad.  Toda la actividad de la sonda se registra en log para permitir tracear y auditar su actividad. Ethical Hacking Platform
  • 12. www.andanzatechnologies.com Sondas de HE ¿Qué es?:  Dispositivo físico que se conecta a la red local de la OB para facilitar la auditoría de Ciberseguridad a distancia.  Contiene las herramientas básicas necesarias para un análisis de seguridad y actúa de pasarela con la plataforma de Hacking Ético.  Bastionada a conciencia para garantizar los máximos niveles seguridad. Las comunicaciones van cifradas y el acceso se realiza mediante certificados.  El cliente tiene la posibilidad de desconectar/conectar la sonda según sus necesidades/criterio.  La sonda es autónoma. Una vez encendida y conectada a la red se autoconfigura para conectarse a la plataforma de Hacking Ético.  Basada en tecnología Raspberry permite un despliegue de múltiples sondas low-cost adecuarse a la topología de la red del cliente. BENEFICIOS Solución plug &play que permite el inicio inmediato de las auditorías. Permite automatizar las tareas de seguimiento (retesting) de las vulnerabilidades identificadas Permite el despliegue en diferentes puntos para adecuarse a la topología y las particularidades de la red y los sistemas del cliente Permite la actualización y/o potenciación de las capacidades de monitorización y control de la red y los sistmas del cliente
  • 13. s.Toribio@almatech.es Valentín Beato, 23 - 28037 Madrid , España Tel. +34 669 373 358