Test de Intrusión INTERNO (TII)
El Test de Intrusión Interno permite a los auditores simular un ataque desde dentro de la empresa, por ejemplo, un ciberdelicuente que ya haya obtenido acceso a la misma, un trabajador descontento, etc. Así pues, el auditor podrá disponer de credenciales de acceso al sistema (sin privilegios), acceso a la red corporativa (LAN), etc. Es decir, se realiza en modo White Box, con información y durante un período de dos semanas.
El Test de Intrusión se realiza siguiendo las metodologías basadas en las mejores prácticas, el objetivo principal es “simular un actor interno que pretende escalar privilegios ya obtenidos y vulnerar la infraestructura o servicios de la empresa”. Los auditores utilizarán la superficie de ataque más oportuna para cada caso, por lo que la auditoría se centrará en los puntos con más riesgo, probando y obteniendo evidencias de las vulnerabilidades encontradas. Para ello se utilizarán técnicas como las siguientes:
Hacking ético pasivo y obtención de información externa mediante OSINT.
• Descubrimiento de publicación de información sensible.
• Test de indexación de servidores y servicios públicos en fuentes abiertas
• Test de “Information disclosure” con Search Engine Hacking
• OSINT con técnicas de “Email Assumption”
Hacking ético activo:
• Descubrimiento de dispositivos, redes, servicios y protocolos mediante técnicas automáticas y posterior validación y revisión manual
• Análisis de vulnerabilidades de servicios internos mediante técnicas automáticas y posterior verificación de las vulnerabilidades manual
• Test de fuerza bruta de servicios internos
• Análisis de segmentación de red y accesos no autorizados
• Test de envenenamiento y captura de tráfico de red
• Intento de explotación de vulnerabilidades encontradas
• Análisis de seguridad de las redes WiFi
• Test de fuga de información
Realización de informes ejecutivo y técnico:
• Objetivo, alcance, metodologías y fases seguidas.
• Resumen ejecutivo con las conclusiones más significativas ordenadas por criticidad y estatus.
• Informe técnico con el detalle de la auditoría. Datos técnicos, vulnerabilidades ordenadas por criticidad, evidencias y recomendaciones para solventar o minimizar el riesgo.
• Detalle de tareas realizadas.