Servicios de Evaluación y Diagnóstico de la Seguridad Técnica Empresarial
Estos servicios proveen soluciones integrales haciendo uso de una calificada experiencia en seguridad y en la gestión de los negocios y procesos organizacionales de las empresas. Replicando la actividad de un intruso malicioso, Tilsor recolecta información de las redes, servidores y puestos de trabajo de la organización, se ejecutan herramientas automáticas de escaneo y se hace uso de verificación manual para descubrir las vulnerabilidades que las mismas presentan.
Nuestros servicios combinan enfoques orientados a negocios con experiencia técnica para satisfacer los requerimientos de nuestros clientes.
Análisis de Vulnerabilidades
Un análisis de vulnerabilidades permite escanear rápidamente un rango de direcciones IP buscando vulnerabilidades conocidas y ya reportadas. Se utilizan exclusivamente herramientas automáticas que cuentan con una base de datos actualizada y completa de conocidas vulnerabilidades. Por intermedio de dichas herramientas se busca poder identificar cualquier elemento activo presente en la red, con el fin de detectar las vulnerabilidades presentes a nivel del software base y de esta manera evitar futuros incidentes de seguridad.
Test de penetración
Mientras que el análisis de vulnerabilidades tiene como objetivo identificar debilidades de seguridad, el test de penetración va un paso más allá e intenta demostrar cómo esas vulnerabilidades pueden ser explotadas por un potencial atacante para dañar a la empresa u organización.
En este tipo de evaluaciones el analista emula la actividad propia de un atacante, buscando identificar formas y métodos que permitan vulnerar la seguridad del objetivo en cuestión. Para eso se utilizan herramientas automáticas pero también se realiza trabajo de tipo artesanal donde además de utilizar herramientas de detección, se utilizan herramientas de explotación y en caso de ser necesario se desarrollan plugins y/o herramientas a utilizar en cada caso particular.
Evaluación de seguridad de aplicaciones Web
Este servicio permite identificar vulnerabilidades de aplicaciones web por medio de la inspección y prueba de los controles de seguridad implementados. Se examina el comportamiento en tiempo de ejecución usando una variedad de técnicas que a su vez son adaptadas a cada tipo de aplicación. A modo de ejemplo, los tests que se realizan permiten verificar problemas comunes como los generados por Cross-Site Scripting (XSS) y SQL injection, detectar exposición de datos sensibles en los servidores e identificar controles de validación de entrada de datos inadecuados.
Los tests son realizados tanto desde la perspectiva de un usuario confiable como de un usuario anónimo sin credenciales de validación. Tilsor utiliza estándares y mejores prácticas de fuentes tales como el Open Web Application Security Project (OWASP). El resultado de la evaluación consiste en un detallado reporte que incluye una lista priorizada de problemas y las correspondientes recomendaciones para corregir las vulnerabilidades detectadas.
Diseño e implantación de Arquitecturas de Seguridad
Una correcta seguridad de redes comienza con una arquitectura bien diseñada. Para ayudar a las organizaciones a satisfacer estos requerimientos, Tilsor analiza el diseño y arquitectura de la red corporativa y provee recomendaciones que contribuyen a mejorar su infraestructura, para asegurar que la arquitectura resultante se integra correctamente con las políticas y procedimientos definidos por la organización.
La revisión de la arquitectura de la red potencialmente incluye los siguientes elementos: configuración de la(s) DMZ(s), localización de los servicios disponibles (VPN, proxies, etc.), uso de VLANs, presencia de Firewalls y otros dispositivos de filtrado, infraestructura IDS, segmentación de la red, modificaciones y mejoras planificadas de la red y sistemas de monitoreo de redes
El resultado principal es un reporte que describe en detalle los elementos identificados y las correspondientes recomendaciones. Adicionalmente, los consultores de Tilsor generalmente producen estados ideales (blueprints para la arquitectura) acompañados de una hoja de ruta que presenta los componentes, requerimientos y recursos requeridos para desarrollar e implementar la infraestructura adecuada.
Implantación, configuración y ajuste de Web Application Firewalls (WAFs)
Los atacantes han modificado sus estrategias y actualmente ya no atacan solamente el servidor Web y el sistema operativo subyacente, están atacando las aplicaciones web que se ejecutan sobre en el servidor. Tales aplicaciones son a menudo muy complejas y difíciles de asegurar de manera eficaz, y errores en la implementación pueden hacerlas objetivos de ataques remotos. Para recuperar la ventaja frente a los atacantes, las organizaciones deben evolucionar sus defensas de red y proporcionar un tipo diferente de protección.
Un firewall de aplicaciones Web (WAF por su sigla en inglés) es una herramienta más en el arsenal para proteger los activos críticos Web de una organización y los datos asociados. Un WAF no es un sustituto del código correctamente escrito con mecanismos de validación adecuados, sin embargo proporciona una capa adicional de defensa y puede ser un instrumento muy eficaz para bloquear ataques. Durante el proceso de instalación de este tipo de herramientas existen una serie de consideraciones a tener en cuenta para ser consistentes con la aplicación de las mejores prácticas. Estas consideraciones repercuten directamente en el modelo de seguridad de la organización y en cómo el WAF será incorporado en la infraestructura subyacente. A continuación se detallan algunos de los puntos que el equipo de seguridad de Tilsor considera importantes a tener en cuenta al momento de la instalación.
Modelo de Seguridad
En un WAF generalmente se utiliza un modelo de seguridad a la hora de implementar las respectivas políticas, dicho modelo de seguridad puede ser positivo o negativo. En plataformas en producción típicamente se opta por un WAF utilizando un modelo de seguridad negativo y ajustando la configuración necesaria para su correcto funcionamiento.
Modos de funcionamiento
Los WAF pueden funcionar en modos diferentes. Cada modo tiene sus ventajas y desventajas, y se requiere la evaluación de estos modos en el contexto de la organización donde se está desplegando el WAF, así como los activos a proteger para determinar cuáles de ellos son los más beneficiosos.
Algunos de los modos más utilizados para su despliegue son: Reverse Proxy y Transparent Proxy.
En lo que refiere al modo de ejecución, pueden ser: bloqueante, sólo detección, o por puntaje de anomalías.
Asesoría técnica especializada
Determinar la infraestructura subyacente y seleccionar la mejor ubicación de los componentes correspondientes al WAF es una tarea importante que se debería definir antes de comenzar la respectiva instalación. En este sentido, el equipo de seguridad de Tilsor cuenta con consultores de seguridad altamente especializados y con amplia experiencia en el manejo y asesoramiento de infraestructuras críticas.
Mecanismos de instalación automatizada
Tilsor utiliza una herramienta para la automatización de instalaciones, generando un ISO pre-configurado que permite simplificar el proceso de instalación y configuración de un servidor, asegurando que todas las instancias queden con la misma configuración. Este instalador permite simplificar el proceso de instalación y proveer un sistema pre-configurado y mínimo, que cumpla con todos los requisitos de seguridad.
Configuración y ajuste
Los WAF ciertamente no son una solución plug and play. Requieren de rigurosas pruebas antes de la implementación y una puesta a punto periódica a partir de entonces. Uno de los mayores problemas de la protección de aplicaciones mediante el uso de Firewall de aplicación es discernir los ataques efectivamente realizados a la aplicación, de los que son usos válidos por parte de usuarios legítimos. Este tipo de problemas normalmente se denominan falsos positivos: casos que se detectan como posibles ataques, pero que no lo son. La principal consecuencia de los falsos positivos es que el acceso es bloqueado a los usuarios legítimos de la aplicación, generándoles una denegación de servicio. En consecuencia, para la adecuada configuración de un WAF, es necesario determinar cuáles son los falsos positivos y a partir de esta información identificar la mejor forma de solucionar el problema
De manera similar a los sistemas de prevención de intrusos, un WAF requiere un seguimiento regular de los archivos de registro (logs) para detectar ataques y ajustar los falsos positivos. Una solución basada en un modelo de seguridad positivo tendrá que aprender el tráfico "normal o bueno" de acuerdo a las aplicaciones que está protegiendo. En las soluciones donde se utiliza el modelo de seguridad negativo, típicamente el WAF debe de ser desplegado en un modo no-bloqueo de modo que cualquier falso positivo pueda ajustarse antes de encender las capacidades de bloqueo.
Por lo tanto, en la fase de despliegue se realiza el proceso de eliminar los falsos positivos que afectan a las aplicaciones.
Mecanismo automatizado de ajuste de la configuración
Dado que el equipo de TILSOR cuenta con vasta experiencia en esta tarea ha desarrollado internamente herramientas que lo asisten a la rápida generación de reglas para eliminar los falsos positivos. Estas herramientas requieren de la ejecución previa del ciclo de pruebas funcionales correspondientes, y reciben los logs que son enviados por cada organismo para generar un conjunto de excepciones para poner en producción inmediatamente.
Esto permite acelerar el proceso de despliegue y puesta en producción de cada organismo involucrado, siempre y cuando las contrapartes ejecuten con diligencia los ciclos funcionales y hagan llegar los logs correspondientes.
Servicio de soporte
El equipo de Tilsor cuenta con especialistas, dotados de experiencia en seguridad e infraestructura, que permiten brindar un soporte y mantenimiento correctivo de los WAF, a fin de incluir mejoras post-instalación, correcciones en la configuración y ajuste de reglas..