¿Qué es un análisis de vulnerabilidades Web?
Un análisis de vulnerabilidades a aplicaciones Web, nos ayuda a identificar vectores de riesgo comunes en sitios web, este tipo
de pruebas pueden ser automatizadas o semiautomatizadas. Las pruebas automatizadas se llevan a cabo ejecutando un software que automáticamente
buscará las vulnerabilidades y arrojará los resultados en un informe descargable. Los análisis semiautomatizados emplean herramientas
de software y tienen un componente humano ya sea para la generación de los informes, descarte de vulnerabilidades, detección de riesgos, etc.
Este tipo de análisis tiene algunas ventajas y desventajas que exponemos a continuación:
- Ventajas
Arroja resultados muy rápidos
Es mucho más económico que un PenTest
Es una buena forma de hacer un análisis inicial a una página web
- Desventajas
Puesto que los resultados son muy rápidos puede arrojar falsos positivos y falsos negativos * abajo su definición.
Los informes no son tan completos como los informes de un PenTest
Las recomendaciones son genéricas
* Un Falso Positivo en este contexto es: se informa una vulnerabilidad que realmente no existe.
* Un Falso Negativo en este contexto es: una vulnerabilidad que existe y que no se informa.
Un análisis de vulnerabilidades también puede ser con credenciales o sin credenciales.
Esto simplemente significa que si a los diferentes scanners o software que realiza la búsqueda de vulnerabilidades se les proporciona alguna contraseña
administrativa, la prueba podría encontrar el mayor número de vulnerabilidades posible.
¿Cuándo es recomendable hacer un análisis de vulnerabilidades?
Es una buena idea hacer un análisis de vulnerabilidades si nunca se le ha realizado un análisis o prueba de seguridad de ningún tipo a
una página o sitio web, también es recomendable realizar análisis de vulnerabilidades frecuentes para identificar problemas que se pueden
presentar con cambios frecuentes a la aplicación.
Lo que NO es buena idea es solo realizar un análisis de vulnerabilidades para sitios productivos pues como lo explicamos anteriormente
no es una prueba completa y puede ser que nos estén faltando vulnerabilidades o nos esté informando algunas que realmente no existen.
¿Qué tipo de pruebas realiza Klbrs?
En Klbrs realizamos una prueba semiautomatizada lo que quiere decir que a pesar de que empleamos herramientas automatizadas (de
licencia y Open Source) para la detección de vulnerabilidades, también empleamos humanos para, de alguna manera reducir los falsos
positivos y los falsos negativos, así como para editar los informes, de esta forma entregamos pruebas mejores a diferencia de si solo se
emplean herramientas automatizadas, por esta razón nuestras pruebas son un poco más lentas, pero son más completas.
El cliente decidirá si desea emplear credenciales o bien se ejecutan los análisis sin ningún tipo de credencial.
¿Cuál es el coste de un análisis de vulnerabilidades Web?
Contamos con packs para el apoyo de empresas pequeñas y medianas que deseen ejecutar este
tipo de pruebas.
Contáctanos por medio de
WhatsApp
para más información.
¿Por qué nuestros costes son tan reducidos?
Nuestro principal objetivo es el mejorar la postura de seguridad de la región por eso hacemos esfuerzos para proporcionar servicios de calidad a un coste accesible para la mayoría de las empresas pequeñas y medianas.
¿Contamos con algún tipo de certificación?
En el área de Pruebas de Penetración como en casi todas las áreas profesionales, lo más importante es la experiencia, la experiencia es lo que más valoramos en Klbrs, pero sabemos que muchas organizaciones al no conocernos requieren contar con algún soporte que les de tranquilidad sobre la capacidad de quienes van a verificar su infraestructura. Es aquí donde entran las certificaciones y nuestros ingenieros quienes cuentan con una o más de las siguientes certificaciones:
- GPEN - GIAC Penetration Tester
- GWAPT - GIAC Web Application Penetration Tester
- CEH - Certfied Ethical Hacker
- CISSP - Certified Information Systems Security Professional
- OSCP - Offensive Security Certified Professional
- AWS Certified Solutions Architect
¿Qué informes se entregan después de un análisis de vulnerabilidades?
Klbrs entrega un informe técnico al área contratante, que incluye:
Cada vulnerabilidad identificada catalogada de acuerdo con su riesgo y robabilidad.
Descripción de la vulnerabilidad.
En dónde se encontró la vulnerabilidad.
Recomendaciones genéricas de solución.
