Desde un punto de vista externo se realizará una prueba de intrusión simulando las acciones que se requieran para acceder a la red corporativa del cliente o permita acceder a información de carácter confidencial.
Tareas
Spear Phishing (SPAM y AV)
Simulando un ataque real de Phishing dirigido se realiza una investigación teniendo en cuenta ingeniería social para determinar el perfil del ataque, de manera que de forma personalizada permita medir la respuesta del personal de la corporación ante este tipo de situaciones, así como las contramedidas implantadas, filtro antispam y antivirus.
Intrusión en sistemas y aplicaciones
Se tratará de conseguir acceso a través de vulnerabilidades de sistemas y aplicaciones, explotando activamente las mismas y tratando siempre de profundizar en lo posible usando relaciones de confianza y laxitud en las políticas IT.
Evasión de sistemas de protección activos y contramedidas
Comprobación de los sistemas de protección (Firewalls, IPS, WAF, etc.) de manera activa, así como eludir la detección por parte del personal encargado de la seguridad interna.
Caja Blanca de Accesos Corporativos
Análisis de accesos corporativos a través de VPN, Citrix, Portales de empleado, con un usuario de mínimos permisos para comprobar si es factible eludir los controles de acceso a otras redes y elevar privilegios dentro del entorno.
Objetivos -Intrusión en la red interna del cliente -Información Confidencial Expuesta -Exposición a ataques remotos -Posibilidades de fraude en la corporación -Grado de vulnerabilidad del entorno (personal y sistemas)