Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • La Seguridad Ofensiva

    Cargado por

    CHRISTIAN AQUINO
    9 vistas3 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    9 vistas3 páginas

    La Seguridad Ofensiva

    Cargado por

    CHRISTIAN AQUINO

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 3

    MATERIAL COMPILADO – ESCUELA DE GOBIERNO

    Presentación

    Los objetivos de este curso online son ambiciosos, ya que eliminando el tecnicismo queremos
    que adquieras las capacidades necesarias para mejorar tus competencias en Ciberseguridad,
    aprenderás donde están los riesgos, las amenazas y las vulnerabilidades. Los ciberataques
    están en continuo crecimiento, y no podemos pretender quedarnos ajenos a ello teniendo en
    cuenta lo que esto significa: perdida de datos, reputación y tiempo. En resumen y derivado de
    lo anterior, una cantidad incuantificable de dinero y hay que aprender a defenderse y proteger
    nuestros activos de ciberdelincuentes.

    Durante esta semana aprenderemos los elementos necesarios en una organización con el fin
    de establecer políticas de seguridad desde la gestión de las vulnerabilidades.

    3. Objetivos

    3.1 Objetivo General

    Contar con un registro de las vulnerabilidades de la organización con el fin de


    gestionarlas, mitigarlas, y solicitar a las áreas pertinentes su solución.

    Objetivos Específicos

    Adquirir algunos conocimientos no-tecnicos de la llamada “seguridad ofensiva”, es


    decir, simular ser un atacante con el fin de dar luz sobre posibles vulnerabilidades que
    escapen al criterio de quien está defendiendo la organización para poder remediarlo o
    mitigarlo.

    pág. 0
    MATERIAL COMPILADO – ESCUELA DE GOBIERNO

    LA SEGURIDAD OFENSIVA

    Introducción

    La Seguridad Ofensiva, toma como premisa la frase “La mejor defensa es un buen
    ataque”. Esta rama de la ciberseguridad consiste en implementar medidas de
    seguridad, aplicando técnicas de hacking que permitan la detección de
    vulnerabilidades previas a un ciberataque real.

    En otras palabras, la seguridad ofensiva hace uso de las herramientas, técnicas y


    metodologías que utilizaría un cibercriminal, con el fin de detectar vulnerabilidades
    estando un paso por delante a un intento de intrusión futuro y en caso de sufrir
    una intrusión disponer de un plan de contingencia, saber como responder y
    mantener bajo control la situación.

    Nuestro equipo de Auditores pondrá a prueba la seguridad de las organizaciones


    simulando un ataque real desde diferentes ámbitos.
    En la Seguridad Ofensiva existen 3 modalidades de auditoria según alcance que
    permita el proyecto:

    Análisis de Vulnerabilidades
    Este tipo de auditoria tiene como objetivo evaluar las debilidades que puedan
    existir en un determinado sistema, aplicación o software que pudiera afectar a su
    integridad durante su vida útil. Con este tipo de auditoria se determina el nivel de
    seguridad en el que se encuentra la organización y como puede llegar a afectar
    estas vulnerabilidades a la continuidad de negocio.

    Según su entorno:
    Interno: El análisis de Vulnerabilidades interno, es el que se realiza desde la red
    interna de la organización, su propia intranet, en sus oficinas.
    Externo: El análisis de Vulnerabilidades externo, es el que se realiza desde el exterior
    de la red, desde internet.

    Pentesting (prueba de penetración en la organización)

    El pentesting está enfocado a la realización de pruebas de penetración, atacando a


    los sistemas de información o a la propia organización.

    pág. 1
    MATERIAL COMPILADO – ESCUELA DE GOBIERNO

    Estas pruebas tienen la finalidad de descubrir cualquier tipo de vulnerabilidad que


    pudiera afectar al entorno y tener las bases que permitan prevenir este tipo de
    ataques.

    Según el tipo de información con la que se cuenta a la hora del análisis y la


    auditoria (es decir, si utilizamos por ejemplo un auditor interno, o un auditor
    externo al que le damos poca información para simular ser un atacante exterior) se
    divide en:

    Análisis de “Caja blanca”: El auditor conoce información sobre la infraestructura,


    aplicación o sistemas que debe atacar, se dispone de un usuario con permisos
    limitados y, en algunos casos, se tendría acceso al código fuente. Se realiza en las
    oficinas de la organización o mediante acceso tipo VPN que de acceso a la Intranet,

    Ej: Empleado desleal, empleado que quiere dañar la reputación de la empresa.

    Análisis de “Caja Gris”: El auditor conoce información parcial sobre la


    infraestructura, aplicación o sistema que debe atacar. Esta modalidad de Pentesting
    se trata de una mezcla de las otras dos.

    Análisis de “Caja Negra”: El auditor no conoce información alguna de la


    infraestructura, aplicación o sistemas que debe atacar. Únicamente el nombre de la
    empresa y el alcance definido.

    Ej: Ciberdelincuente o empresa de la competencia que quiere dañarle o hacerse con


    información importante de sus clientes.

    pág. 2

    También podría gustarte