¿Qué es un análisis de vulnerabilidades Web?
Un análisis de vulnerabilidades a aplicaciones Web, nos ayuda a identificar vectores de riesgo comunes en sitios web, este tipo
de pruebas pueden ser automatizadas o semiautomatizadas. Las pruebas automatizadas se llevan a cabo ejecutando un software que automáticamente
buscará las vulnerabilidades y arrojará los resultados en un reporte descargable. Los análisis semiautomatizados emplean herramientas
de software y tienen un componente humano ya sea para la generación de los reportes, descarte de vulnerabilidades, detección de riesgos, etc.
Este tipo de análisis tiene algunas ventajas y desventajas que exponemos a continuación:
- Ventajas
Arroja resultados muy rápidos
Es mucho más económico que un PenTest
Es una buena forma de hacer un análisis inicial a una página web
- Desventajas
Puesto que los resultados son muy rápidos puede arrojar falsos positivos y falsos negativos * abajo su definición.
Los reportes no son tan completos como los reportes de un PenTest
Las recomendaciones son genéricas
* Un Falso Positivo en este contexto es: se reporta una vulnerabilidad que realmente no existe.
* Un Falso Negativo en este contexto es: una vulnerabilidad que existe y que no se reporta.
Un análisis de vulnerabilidades también puede ser con credenciales o sin credenciales.
Esto simplemente significa que si a los diferentes scanners o software que realiza la búsqueda de vulnerabilidades se les proporciona alguna contraseña
administrativa, la prueba podría encontrar el mayor número de vulnerabilidades posible.
¿Cuándo es recomendable hacer un análisis de vulnerabilidades?
Es una buena idea hacer un análisis de vulnerabilidades si nunca se le ha realizado un análisis o prueba de seguridad de ningún tipo a
una página o sitio web, también es recomendable realizar análisis de vulnerabilidades frecuentes para identificar problemas que se pueden
presentar con cambios frecuentes a la aplicación.
Lo que NO es buena idea es solo realizar un análisis de vulnerabilidades para sitios productivos pues como lo explicamos anteriormente
no es una prueba completa y puede ser que nos estén faltando vulnerabilidades o nos esté reportando algunas que realmente no existen.
¿Qué tipo de pruebas realiza Kolibërs?
En Kolibërs realizamos una prueba semiautomatizada lo que quiere decir que a pesar de que empleamos herramientas automatizadas (de
licencia y Open Source) para la detección de vulnerabilidades, también empleamos humanos para, de alguna manera reducir los falsos
positivos y los falsos negativos, así como para editar los reportes, de esta forma entregamos pruebas mejores a diferencia de si solo se
emplean herramientas automatizadas, por esta razón nuestras pruebas son un poco más lentas, pero son más completas.
El cliente decidirá si desea emplear credenciales o bien se ejecutan los análisis sin ningún tipo de credencial.
¿Cuál es el costo de un análisis de vulnerabilidades Web?
Contamos con paquetes desde $3,000.00 MXN pesos mexicanos para el apoyo de empresas pequeñas y medianas que deseen ejecutar este
tipo de pruebas.
Contáctanos por medio de
WhatsApp
para más información.
¿Por qué sus costos son tan reducidos?
Nuestro principal objetivo es el mejorar la postura de seguridad de la región por eso hacemos esfuerzos para proporcionar servicios de calidad a un costo accesible para la mayoría de las empresas pequeñas y medianas.
¿Cuentan con algún tipo de certificación?
En el área de Pruebas de Penetración como en casi todas las áreas profesionales, lo más importante es la experiencia, la experiencia es lo que más valoramos en Kolibërs, pero sabemos que muchas organizaciones al no conocernos requieren contar con algún soporte que les de tranquilidad sobre la capacidad de quienes van a verificar su infraestructura. Es aquí donde entran las certificaciones y nuestros ingenieros quienes cuentan con una o más de las siguientes certificaciones:
- GPEN - GIAC Penetration Tester
- GWAPT - GIAC Web Application Penetration Tester
- CEH - Certfied Ethical Hacker
- CISSP - Certified Information Systems Security Professional
- OSCP - Offensive Security Certified Professional
- AWS Certified Solutions Architect
¿Cuáles son los entregables del análisis de vulnerabilidades?
Kolibërs entrega un reporte técnico al área contratante, que incluye:
Cada vulnerabilidad identificada catalogada de acuerdo con su riesgo y robabilidad.
Descripción de la vulnerabilidad.
En dónde se encontró la vulnerabilidad.
Recomendaciones genéricas de solución.