Joven hacker sonriendo

Diferenciadores

Nuestros servicios de Ethical Hacking y Pentesting buscan encontrar y reportar todas las vulnerabilidades de seguridad presentes en su aplicación. Es importante diferenciar entre un Ethical Hacking realizado por Fluid Attacks y un análisis de vulnerabilidades que utiliza herramientas automatizadas. Para tal fin presentamos la siguiente tabla comparativa:

Tabla 1. Comparación entre un Ethical Hacking de Fluid Attacks y un análisis común de vulnerabilidades.

Aspecto

Fluid Attacks

Otros

Foco

si Nos dedicamos únicamente a hackear, todo el día y en todos los proyectos.

no Sólo de vez en cuando, deben ocuparse de otras cosas además de hackear.

Independencia

si Solo hackeamos, no remediamos ni instalamos controles de ningún tipo, por ende siempre reportamos con independencia todas las vulnerabilidades 1 2.

no Dado que otros proveedores desarrollan, mantienen, instalan u operan controles de seguridad como SOC, NAC, Firewalls etc, no son independientes para reportar las vulnerabilidades de las que ellos son responsables.

Atributos

si Verificamos los atributos básicos de seguridad:

  • Confidencialidad.

  • Integridad.

  • Disponibilidad.

Adicionalmente, verificamos atributos extendidos como:

  • Privacidad.

  • No repudio.

  • Trazabilidad (gestión de bitácoras y errores).

no Solo verifican:

  • Confidencialidad.

  • Integridad.

  • Disponibilidad.

Método

si Híbrido (Herramientas + revisión manual experta).

no Estático (Solo herramientas).

Equipo

si Nuestros hackers se encuentran certificados en hacking práctico en escenarios reales 3 4:

Adicionalmente son seleccionados y entrenados mediante el proceso más exigente en la industria, garantizando su capacidad para programar sus propias herramientas y auditar código en múltiples lenguajes, es decir, son hackers-programadores.

no Se encuentran certificados en hacking teórico mediante preguntas y respuestas:

  • CEH.

Modelo

Red Team 5 6.

Análisis de vulnerabilidades con explotación selectiva.

Objetivos

  • Aplicaciones web.

  • Aplicaciones móviles (iPhone, Android).

  • Aplicaciones de escritorio (GUI).

  • Aplicaciones en mainframe (AS400).

  • Aplicaciones embebidas (datáfonos, cajeros electrónicos).

  • APIs (SOAP, REST, GraphQL).

  • Servidores.

  • Redes.

  • Dispositivos IoT.

  • Sistemas de control industrial (ICS).

  • Centros de operaciones en seguridad (SOC).

  • Aplicaciones web.

  • Servidores.

  • Redes.

Técnicas

si 1 servicio todas las técnicas 7 8 9 10:

  • Fuzzing.

  • Pruebas de Seguridad Dinámicas (DAST), Estáticas (SAST) e Interactivas (IAST).

  • SCA (Software Composition Analysis).

  • Revisión manual de código.

  • Reversing (Si no se provee el código fuente).

  • Eliminación de falsos positivos.

  • Explotación con exploits públicos, privados y personalizados.

  • User enumeration.

  • Password guessing y cracking.

  • Infección utilizando troyanos.

no Solo 1 técnica por producto.

si Precisión y granularidad en la superficie de ataque 11 12:

  • Para infraestructura (redes, servidores, etc), según puertos abiertos TCP y UDP.

  • Para aplicaciones, según entradas (campos visibles, campos ocultos, cabeceras y parámetros de funciones)

  • Para código fuente, según líneas de código (LoC) estrictamente efectivas.

  • Para binarios, según tamaño en MiB del software ya instalado.

no Ambigüedad o falta de detalle en la superficie de ataque:

  • Para infraestructura, según direcciones IP.

  • Para aplicaciones, según el número de pantallas o formularios de la aplicación.

Lenguajes heredados

si Hackeamos aplicaciones heredadas construidas en lenguajes antiguos como:

no Sin soporte.

Metodologías de desarrollo

si Integrables a cualquier metodología de desarrollo:

  • Cascada.

  • Ágil.

  • DevOps.

Continuous Hacking, Integrates y Asserts son idóneos para los 2 últimos casos de uso.

no Integrable a una única metodología de desarrollo:

  • Cascada.

Ambientes

  • Pruebas.

  • Producción.

Ventanas

si En el servicio de Continuous Hacking los ambientes:

  • Pueden cambiar constantemente.

  • No estar congelados.

  • No se requiere ventanas para el hackeo.

no Se requieren ambientes congelados y ventanas de prueba.

Cobertura

si Conocida 15 16:

  • En alcances fijos se acuerda la parte exacta de la superficie de ataque que será verificada y su proporción respecto al total.

  • En alcances variables se reporta al final la parte exacta de la superficie de ataque que fue verificada y su proporción respecto al total.

no Desconocida. Pues nunca reportan con exactitud qué fue probado y qué no fue probado.

Perfilamiento

si Usted decide los requisitos de seguridad que revisaremos en el hacking a través de nuestro producto Rules.

no No parametrizable.

Rigurosidad

si Usted sabrá la rigurosidad exacta del hackeo (lo revisado y lo no revisado) 17 18.

no Desconocida.

Tipo de Hallazgos

  • De impacto específicos del negocio.

  • Prácticas inseguras de programación.

  • Alineación a estándares.

  • Regulaciones de seguridad.

  • Basado en firmas.

  • Sintácticos.

Tipo de Evidencia

si Algunas de las evidencias más relevantes son:

  • Imágenes del ataque con anotaciones aclaratorias.

  • GIF animado del ataque (ejemplo).

no En el caso de otros proveedores.

  • Imágenes sin anotaciones.

  • Copy-paste de herramientas sin descartar falsos positivos mediante ataques.

Vulnerabilidades Zero Day

si 19

no

Falsos Positivos

si 0%

no ~20%

Explotación

si Siempre que se tenga 20 21:

  • Un entorno disponible.

  • La autorización apropiada.

no Sin posibilidad de construir y ejecutar exploits.

Exploits personalizados

si Usando nuestro motor de explotación propio Asserts (ejemplo).

no

si Combinando las vulnerabilidades A y B encontrar una C de mayor impacto que permite comprometer más registros.

no Solo detecta vulnerabilidades A y B pero no puede correlacionarlas.

Infección

si En nuestro servicio de Hacking puntual se infectan estaciones y servidores críticos con nuestro troyano personalizado Commands 22.

no No infectan o no disponen de troyano personalizado.

Registros Comprometidos

si Después de descubrir la vulnerabilidad y explotarla, extraemos la información crítica del negocio que evidencie un alto impacto y permita sin importar lo técnico mostrar la gravedad de la vulnerabilidad:

  • Usuarios.

  • Contraseñas

  • Salarios.

  • Cédulas.

  • Tarjetas de crédito.

  • Historial de navegación.

  • Archivos en el disco duro.

  • Repositorios centrales de contraseñas.

no Sin extracción de registros.

Ciclos

si Multiples en nuestro servicio Continuous Hacking 23.

no Solo 1

si 0% sobre el alcance acordado.

no ~65% sobre el alcance acordado.

Remediación

  • Durante el proyecto puede solicitar aclaraciones directamente a los hackers mediante Integrates (ejemplo).

  • Puede utilizar nuestras guias detalladas de remediación mediante Defends (ejemplo) 24 25.

no Sin ningún soporte durante la fase de remediación.

Entregables

si Sistema web de documentación en tiempo real Integrates que desde el día 1 del proyecto le permite al cliente autogenerar y ver por cada sistema 26 27:

  • Informe ejecutivo en PDF (ejemplo).

  • Informe técnico en XLS.

  • Informe técnico en PDF (ejemplo).

  • Gráficas sobre la seguridad del sistema (ejemplo).

  • Métricas sobre la seguridad del sistema (ejemplo).

no Disponibles solo al final del proyecto debido a la manualidad en su elaboración:

  • Documento en word realizado manualmente

  • Informes de herramientas sin descartar falsos positivos.

Fin

si El servicio finaliza cuando se logre el alcance acordado sin aumentar precios 27 28.

no El servicio finaliza cuando el tiempo acordado se agote, por ende el alcance y cobertura del hackeo es indeterminado al finalizar el servicio.

Precios

si Fijo según el alcance acordado.

no Variable (tiempo y materiales).


Estado de los servicios - Términos de Uso