Tipos de evaluaciones

Externa Networks Pentesting

Evaluar la seguridad de una organización desde fuera hacia dentro.

La metodología se basa en gran medida en la recopilación de información de fuentes abiertas (Open-Source Intelligence Gathering OSINT).

Es el pentesting mas solicitado por dos raciones

  1. Normalmente las empresas tienen que hacer un pentesting de red externa cada año.

  2. Es mas barato que el resto de las evaluaciones.

Duración aproximada:

  • 32-40 horas de evaluación

  • 8-16 horas para redactar el informe

Internal Network Pentest

Evaluación de la seguridad de una organización desde el interior de la red.

La metodología se centra en gran medida en los ataques a Active Directory

En este tipo de evaluaciones se puede incluir:

  • Campañas de pishing.

  • Uso de VPN simulando un atacante dentro de la red

  • Uso de zondas o laptops dentro simulando ser otro oficinista.

Duración aproximada:

  • 32-40 horas de evaluación

  • 8-16 para redactar el informe

Web Application pentesting

Es el segundo tipo de evaluación mas solicitado.

Evaluación de la seguridad de las aplicaciones web de una organización.

La metodología se centra en gran medida en los ataques basados en la web y las guía de prueba de OWASP.

Duración aproximada:

  • 32-40 horas de evaluación

  • 8-16 para redactar el informe

Wireless Network Pentest

Evaluación de la seguridad de las redes inalámbricas de una organización.

La metodología depende del tipo de red inalámbrica que se utilice (Guest vs WPA2-PSK vs WPA2 Enterprise).

Consiste en validad que tan fuerte y segura es la contraseña, que tan bien segmentado están las rede inalámbricas de las alámbricas.

Duración aproximada:

  • 4-8 horas por SSID

  • 2-4 horas para redactar el reporte

Physical Pentest & Social Engineering

Evaluar la seguridad física de una organización y/o la capacitación del usuario final.

La metodología depende de la tarea y los objetivos del proyecto.

Pueden ser: clonar tarjetas, ingeniería social de acceso, lock picking de candados, entrar al edificio y tomar una foto del rack de servidores, spear phishing, vishing (llamadas por teléfonos). Uso obligatorio de camaras para grabar todo el proceso.

Duración aproximada:

  • 16-40 horas de evaluación o más, depende del proyecto.

  • 4-8 horas para redactar el reporte

Otro tipo de trabajos

Requieren a veces un poco mas de tiempo o mas herramientas para realizar.

  • Mobile Pentetration Testing

  • IoT Penetration Testing

  • Red Team Engagements

    • Encontrar lo que puedas, es evitar ser visto, proyectos que duran meses.

    • Alternativa rapida de poco tiempo: Atomic Red Team.

  • Purple Team Engagements

    • Trabajar en conjunto con Blue Team para probar la capacidad de detección del cliente.

AnteriorWhoamiSiguienteEl día a día en pentesting

Última actualización