Joven hacker sonriendo

Preguntas frecuentes

A continuación, se encuentran múltiples preguntas que surgen comúnmente cuando hablamos de Hacking Continuo.

  1. ¿Qué es hacking continuo?

    Es el servicio que permite a una organización realizar Ethical Hacking en etapas tempranas en el ciclo de vida de desarrollo de software. Teniendo como objetivo garantizar el 100% de cobertura sobre la aplicación.

  2. ¿Qué beneficio tiene aplicar hacking continuo sobre una aplicación?

    1. Minimizar el costo de reparación ya que se realiza cuando la aplicación aún se encuentra en desarrollo, no en ambiente productivo.

    2. Reducir el tiempo de certificación de seguridad a cero ya que el Ethical Hacking se ejecuta en paralelo al proceso de desarrollo.

    3. Obtener información clara y detallada sobre las vulnerabilidades detectadas en la aplicación para que todos las personas involucradas en el proyecto estén sincronizados acerca de las vulnerabilidades encontradas, atendiendo todas las inquietudes presentadas por los desarrolladores sobre las vulnerabilidades reportadas de forma que puedan trabajar en su remediación sin contratiempos.

  3. ¿Cuáles son los insumos necesarios para la prestación del servicio?

    El servicio se puede desarrollar en fases de forma complementaria:

    1. Fase 1: El insumo fundamental para el servicio es el acceso a la rama de integración del repositorio de código donde se almacena la aplicación. En esta fase aún no se cuenta con una aplicación desplegada por lo que el Ethical Hacking se enfoca en el código fuente.

    2. Fase 2: Sumado a lo anterior y cuando el proyecto cuenta con una aplicación desplegada (Ambiente de Integración), el Ethical Hacking aumentan su cobertura incluyendo Ethical Hacking sobre la aplicación.

    3. Fase 3: Esta fase es transversal a las anteriores. En ésta se incluye la infraestructura dentro del Ethical Hacking. Solo aplica si la infraestructura que soporta la aplicación se encuentra definida como código. Ademas de estar almacenada en el repositorio mencionado en la fase 1.

  4. ¿Qué tipo de Ethical Hacking incluye el servicio de Hacking Continuo?

    El servicio incluye análisis de código fuente, Ethical Hacking de aplicación (Ver pregunta 3) y Ethical Hacking de infraestructura (Ver pregunta 3).

  5. ¿Qué es una vulnerabilidad?

    Es cualquier situación que representa un riesgo de seguridad (Integridad, Disponibilidad, Confidencialidad, No repudio) sobre una aplicación.

  6. ¿Si en un mes supero el límite del servicio puedo optar por ampliarlo?

    Si. Se puede ampliar el alcance para un mes en particular o en general para todo el proyecto.

  7. ¿El servicio es automático mediante herramientas

    o es el resultado de un proceso manual?

    Las herramientas son incapaces de extraer información de negocio como información de clientes o empleados que le den sentido y peso a la vulnerabilidad. Fluid Attacks presta sus servicios con personal experto usando un conjunto de herramientas de asistencia al ataque adquiridas y desarrolladas por Fluid Attacks. Usamos este método pues las herramientas automáticas de detección de vulnerabilidades presentan los siguientes problemas:

    1. No detección de la mayoría de vulnerabilidades (detectan un porcentaje mínimo de las existentes).

    2. De aquellas que reportan, muchas son falsos positivos.

    3. Las herramientas no estan en la capacidad de combinar vulnerabilidades para aumentar el nivel de explotación.

  8. Si el hacking es manual, ¿Cómo se escala cuando se tiene un portafolio

    de aplicaciones grande y en constante crecimiento?

    El hacking se realiza en primera instancia sobre código, por ende esto permite la realización paralela del hacking mientras se continúa el desarrollo (Ver fase 1 pregunta 3), esto mismo minimiza las dependencias de ambientes funcionales y la necesidad de coordinación entre hackers y developers. Una vez se han encontrado vulnerabilidades, estas son priorizadas por el Product Owner de un proyecto ágil de acuerdo a su criticidad. Es importante decir que a menos que se encuentre en una empresa con CI(Continuous Integration)/CD(Continuous Delivery) diario no todos los ciclos de desarrollo generan código liberable a producción, lo que facilita aún más el tiempo de remediación.

  9. Si el hacking es manual, ¿Cómo un proyecto grande puede escalar

    a medida que se tienen más y más desarrolladores?

    Los niveles de servicio estándar permiten cubrir las necesidades del 95% de las aplicaciones empresariales en desarrollo. Para el resto de los casos es posible ampliar los límites del servicio (Ver pregunta 7) para revisar el sistema cuando este crece a velocidades inesperadas.

  10. Si el hacking es manual, ¿Cómo se escala cuando se tiene

    un portafolio de aplicaciones grande y en constante crecimiento?

    De acuerdo a nuestros históricos, capacidad de reclutamiento y formación. Fluid Attacks está en capacidad de incluir entre 5 y 10 aplicaciones nuevas cada mes en el servicio de hacking continuo.

  11. ¿El costo del servicio varía de acuerdo al alcance o fases desarrolladas?

    No. El costo del servicio es fijo durante la vigencia del contrato, teniendo en cuenta que si se presenta un cambio de año durante esta vigencia se aplicará lo pactado en la oferta comercial.

  12. ¿Por qué es necesario el acceso al código almacenado en el repositorio?

    El servicio de Hacking Continuo se basa en ejecutar el las pruebas de Hacking de forma continua. Siempre sobre la última versión del código.

  13. ¿Cuándo inicia la prestación del servicio?

    Desde el momento en que se cuente con acceso al repositorio de código fuente.

  14. ¿Es posible prestar el servicio de hacking continuo OnPremise?

    Dado el modelo operativo que soporta el servicio este solo se puede prestar de forma remota.

  15. ¿Es posible agendar reuniones para realizar seguimiento sobre el servicio?

    Todas las aplicaciones suscritas al servicio de hacking continuo cuentan con un líder de proyecto atento a atender las reuniones requeridas, coordinando previamente la disponibilidad para la realización de ésta.

  16. ¿Cómo se determina el avance del proyecto?

    Se ofrecen métricas que permiten determinar el estado actual del proyecto como lo son:

    1. Índice de cobertura sobre el código fuente.

    2. Porcentaje de vulnerabilidades remediadas.

  17. ¿Cuándo finaliza la prestación del servicio?

    El servicio es contratado por un mínimo de 12 meses. Renovables automáticamente tras ese periodo. La finalización se da en común acuerdo por medio de una solicitud escrita por los canales definidos.

  18. ¿Puedo cancelar la suscripción en cualquier momento?

    El servicio puede ser cancelado en cualquier momento a partir del cuarto mes. Se puede solicitar la cancelación por cualquiera de los medios de comunicación definidos en el proyecto.

  19. ¿Si la cobertura sobre mi aplicación llega a 100% se suspende el servicio

    hasta que se agregue nuevo código al repositorio?

    No. Aunque se alcance una cobertura del 100%, realizamos múltiples verificaciones sobre el código ya revisado con el fin de descartar la presencia de falsos negativos. Incluyendo dentro de nuestras verificaciones las vulnerabilidades a componentes de terceros que van siendo publicadas día a día.

  20. ¿Cómo se califica la criticidad técnica de una vulnerabilidad?

    Usamos el estándar internacional CVSS para obtener una calificación cuantitativa que va de 0 a 10, donde 0 es la más baja y 10 la más alta.

  21. ¿Cómo obtengo información sobre las vulnerabilidades

    encontradas en mi aplicación?

    El servicio de Hacking Continuo cuenta con una plataforma de reporte e interacción llamada Integrates. Así todos los actores de la cadena de valor de un proyecto tienen acceso al detalle de las vulnerabilidades reportadas por Fluid Attacks en la prestación del servicio.

  22. ¿Qué tipo de informes son generados durante la prestación del servicio?

    Desde Integrates es posible generar un informe técnico en formato Excel y otro en PDF disponibles durante toda la ejecución del proyecto. También se puede generar un informe ejecutivo tipo presentación en formato PDF una vez se finaliza el proyecto.

  23. ¿Qué pasa luego de que Fluid Attacks reporta una vulnerabilidad?

    Una vez se reporta la vulnerabilidad el objetivo es que esta sea solucionada. Para esto los desarrolladores cuentan con acceso a Integrates, permitiendo obtener de primera mano la información, aplicando las correcciones necesarias para remover las vulnerabilidades de la aplicación.

  24. ¿Cómo se entera Fluid Attacks que una vulnerabilidad está remediada?

    A través de Integrates cualquier usuario con acceso al proyecto podrá solicitar la revisión de las vulnerabilidades corregidas. Una vez se solicita, recibimos una notificación que incluye un comentario sobre la solución aplicada, realizamos la verificación de cierre confirmando la efectividad de la solución, procediendo a notificar a todo el equipo del proyecto sobre los resultados de la verificación a través de correo electrónico.

  25. ¿Cuántas verificaciones de cierre están incluidas en el servicio?

    El servicio cuenta con verificaciones de cierre ilimitadas.

  26. ¿Por qué debo anunciar el cierre de una vulnerabilidad si Fluid Attacks

    tiene acceso al repositorio de código?

    Uno de los objetivos del servicio de Hacking Continuo en conjunto con Integrates es mantener una comunicación clara y fluida entre todos los actores del proyecto. Al dar aviso sobre la remediación de una vulnerabilidad se está informando no solo a Fluid Attacks sino a todo el equipo del proyecto.

  27. ¿Qué pasa si considero que algo no es una vulnerabilidad?

    Dentro de Integrates contamos con una sección de comentarios donde se podrá dar a conocer las razones por las cuales considera que no es una vulnerabilidad. Allí Fluid Attacks y los demás integrantes del proyecto podremos establecer un diálogo que nos lleve a determinar la validez de una vulnerabilidad.

  28. ¿Todas las vulnerabilidades reportadas deben ser remediadas?

    La remediación de una vulnerabilidad es una decisión que queda a discreción del cliente. En Integrates se cuenta con la opción de tratamiento donde se define si la vulnerabilidad va a ser remediada o asumida por el cliente.

  29. ¿En caso de asumir una vulnerabilidad, se excluye de los informes

    de Integrates?

    Dentro de los informes se encuentra el tratamiento definido para las vulnerabilidades. Teniendo esto en cuenta esto las vulnerabilidades asumidas permanecen en los informes con la aclaración sobre su tratamiento.

  30. ¿Si la aplicación está almacenada en múltiples repositorios

    pueden ser revisados todos?

    Es posible realizar la verificación de múltiples repositorios con la única condición de que se hace sobre la misma rama en cada uno de ellos. Si se define que la rama sobre la que se ejecutará el Ethical Hacking es QA esta misma rama debe estar presente en todos los repositorios incluidos dentro del servicio.

  31. ¿Si ya tengo código desarrollado hace tiempo es posible usar el servicio?

    Si es posible. En este escenario se tienen dos opciones:

    1. Se realiza un Health Check en el que se revisa todo el código existente hasta la fecha. Posteriormente se continúa con la ejecución normal del servicio con los alcances definidos (ver pregunta 11). Esta opción aplica mejor sobre aplicaciones que se encuentran en desarrollo.

    2. Comenzar la suscripción con los límites estándar (Ver pregunta 10) donde mensualmente iremos aumentando la cobertura hasta alcanzar el 100%. Esta opción aplica mejor para aplicaciones donde no se está desarrollando constantemente.

  32. ¿Los repositorios deben estar en un sistema de control

    de versiones específico?

    El servicio de Hacking Continuo se basa en desarrollos que usan GIT como control de versiones. De esta forma se hace necesario el uso de este sistema para la correcta prestación del servicio.

  33. ¿Fluid Attacks guarda la información de las vulnerabilidades encontradas?

    La información se almacena únicamente durante la prestación del servicio. Una vez finalizado el servicio se conserva la información por 7 días hábiles tras los cuales es borrada de todos los sistemas de información de Fluid Attacks.

  34. ¿El servicio de Hacking Continuo requiere algún tipo

    de metodología de desarrollo?

    No. El servicio de Hacking Continuo es independiente a la metodología de desarrollo utilizada por el cliente. Los resultados entregados por el servicio se convierten en un insumo en la planeación de los ciclos de desarrollo. Por lo tanto no es impedimento para continuar con los desarrollos.

  35. Fluid Attacks realiza demostraciones en teleconferencia de forma periódica?

    ¿Cuál es el procedimiento para programarlo?

    Si, hacemos demostraciones frecuentemente. Para tal fin solo debe indicarnos los emails de los asistentes y 3 opciones de horario de 1 hora de duración, con esto enviaremos la invitación en los horarios de nuestra conveniencia.

  36. El desarrollo del Ethical Hacking en el modelo continuo

    depente del tipo de repositorio donde tengo el código?

    ​No, el cliente puede usar el repositorio que estime conveniente. Fluid Attacks solo requiere ingreso a la rama de integración y a su respectivo ambiente.​

  37. Se pierden los derechos patrimoniales

    si Fluid Attacks revisa el código fuente?

    No, el permitir revisar una creación u obra como lo es un código a un tercero​ ​ no le da ningún derecho sobre la misma.​

  38. Fluid Attacks cuenta con alguna herramienta que permita automatizar

    las pruebas de cierre de las vulnerabilidades encontradas?

    Si, Fluid Attacks cuenta con Asserts, un motor que permite automatizar​ verificaciones de seguridad una vez éstas han sido encontradas en una fase exploratoria. Asserts opera directamente en el JOB de integración continua y tiene la capacidad de romper el build enviado por el programador en caso de incumplir requisitos de seguridad. Asserts corre en cualquier plataformas de integración continua que soporten dockers como JOB, por ejemplo: VSTS, GitLab, Jenkins. ​

  39. El Hacking Continuo está enfocado únicamente sobre el código fuente?

    *Es posible incluir la infraestructura asociada a la aplicación? Fluid Attacks ha evolucionado el modelo de Hacking Continuo y ahora se puede incluir dentro del Target of Evaluation (TOE) ​​los puertos y las entradas​ de la aplicación. De hecho, en esta evolución, se puede suscribir una infraestructura tecnológica (puertos) o una aplicación bajo el modelo de Hacking Continuo.

  40. Donde corre Integrates?

    La plataforma Integrates corre en la nube​.

  41. Fluid Attacks gestiona las credenciales de acceso a Integrates?

    No, usamos el concepto de autenticación federada, es decir, que tanto Google como Azure (Microsoft 360)​ ​son quienes en realidad hace la validación de tus credenciales.​

  42. Es posible activar doble token de autenticación?

    Si es posible, de hecho, lo sugerimos para aumentar el nivel de seguridad de tu credenciales y así evitar accesos no autorizados a tu información por parte de un tercero. Esta característica se habilita desde Gmail o Azure según sea tu caso.​

  43. Que procedimiento tiene Fluid Attacks para desatrasar la revisión

    del código ya existente antes de iniciar el Ethical Hacking?

    Fluid Attacks recomienda que tanto el desarrollo de la aplicación como el Ethical Hacking de seguridad comiencen al mismo tiempo. Sin embargo, esto no siempre ocurre así. Para ello, tenemos una actividad llamada HealthCheck que permite poner al día (desatrazar)​ las inspecciones de seguridad cuando el desarrollo ha comenzado con anterioridad.


Estado de los servicios - Términos de Uso