WEB AUDIT

Uno de los principales blancos de ciberataques son las aplicaciones web. Estas son la primera ventana y el espacio de interacción por excelencia con los clientes, proveedores o usuarios en general.

Para resolver esta problemática, existen muchas medidas, pero las más eficaces son las pruebas de penetración, conocidas también como Pentesting. La principal particularidad y ventaja de los Tests de intrusión, es el hecho de anticipar e identificar las posibles vulnerabilidades antes de ser explotadas por un ciberdelincuente, de hecho, la prueba consiste en recrear un ataque, actuando como un hacker usando las mismas herramientas y técnicas conocidas.

WEB AUDIT es un servicio dirigido a todas las empresas interesadas en garantizar un servicio web seguro y un entorno confiable para sus clientes. La auditoría ha sido diseñada para alcanzar dos objetivos principales, aplicando una metodología sólida y verificada.

Esos objetivos son:

1. Identificar las potenciales vulnerabilidades de seguridad de los sistemas objetivo (desde el punto de vista de un atacante) y evaluar los riesgos técnicos o procedimentales.
2. Recomendar un plan priorizado con medidas que permitan abordar las posibles vulnerabilidades identificadas en el sistema.

El servicio WEB AUDIT se brinda en tres formatos:

1. Black box: Simula el ataque "desde fuera", sin más conocimiento que una IP o una URL.
2. Grey box: Simula el ataque realizado "desde dentro", con el conocimiento de credenciales de usuario.
3. White box: Normalmente integrado en el desarrollo de sistemas.

WEB AUDIT se centra, sin excluir otras vulnerabilidades siempre recurrentes, en el OWASP TOP 10 2021, la referencia más importante de vulnerabilidades en el mundo hacker:

1. A01: Broken Access Control.
2. A02: Fallos criptográficos.
3. A03: Inyección.
4. A04: Diseño inseguro.
5. A05: Error de configuración de seguridad.
6. A06: Componentes vulnerables y obsoletos.
7. A07: Fallos de identificación y autenticación.
8. A08: Software and Data Integrity Failures.
9. A09: Fallos de seguimiento y registro de seguridad.
10. A10: La falsificación de solicitudes del lado del servidor.

Para la realización de todas las pruebas, SCASSI confía y dispone de un departamento de RED TEAM propio, con las certificaciones profesionales más reconocidas en el sector de la ciberseguridad, como CEH y OSCP, que utiliza las mejores herramientas de mercado, y plataformas propias.

Los resultados de WEB AUDIT se reflejan en un informe con el siguiente contenido:

1. Un resumen ejecutivo dirigido a personal directivo, escrito desde una perspectiva de negocio, que incluye el nivel de seguridad alcanzado relativo a su sector de actividad.
2. Una descripción detallada de las vulnerabilidades encontradas y verificadas; y los pasos necesarios para su mitigación. Las vulnerabilidades se numeran para utilizarlas como referencia y se asocian al dispositivo o software correspondiente.
3. Consejos y recomendaciones para la subsanación o mitigación de las vulnerabilidades descubiertas.
4. Pasos necesarios para la mitigación de los defectos y vulnerabilidades encontrados.