Servicio de Protección Total Web

Transcripción

1 Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes de control, basados en procesos, tecnología, personas y lugares, auditorias de identificación de prácticas Investigación de Fraude Análisis de Cómputo Forense Respuesta a Incidentes, Prevención de Fuga de Información, Seguridad de VIPs Information Security Coaching Identificamos sus habilidades y particularidades para definir una estrategia de seguridad alcanzable y sostenible info@antifraude.org / info@antifraude.co /

2 Tabla de contenido Confidencialidad... 3 Generalidades del Servicio... 3 Servicios Propuestos... 3 Protección Total Web Paquete Básico... 3 Servicio Complementario WAF + IPS en demanda... 4 Servicio Complementario Backup del Sitio web... 4 Servicio Complementario - Análisis de Vulnerabilidades... 5 Servicio Complementario - Ethical Hacking del sitio web... 5 Tareas a ejecutar durante el desarrollo de esta etapa:... 5 Resultados esperados... 6 Servicio Complementario - Aseguramiento del Sitio Web... 7 Servicio Complementario Análisis de cumplimiento PCI... 8 Servicio Complementario - Revisión de Código del sitio web... 8

3 Confidencialidad El cliente se obliga a mantener la confidencialidad absoluta con respecto a la información contenida en la presente propuesta. Esta "Información", solo podrá ser utilizada exclusivamente para el desarrollo de la(s) actividad(es) descritas por ANTIFRAUDE. Igualmente se compromete a tomar todas las medidas necesarias para que la información no llegue a manos de terceros bajo ninguna circunstancia y se obliga a no utilizarla para ningún objeto diferente al de adelantar las tareas que se deriven directamente del cumplimiento de las mencionadas actividades. Adicionalmente EL CLIENTE se compromete a devolver toda información tan pronto como termine la labor de evaluación de la presente propuesta si ANTIFRAUDE así lo solicita, junto con la confirmación escrita de que la misma no ha sido copiada ni reproducida y que EL CLIENTE no tiene en su poder ó en poder de terceros copia alguna de la misma. Las obligaciones señaladas en el presente acuerdo, continuaran vigentes aún después de su vencimiento o terminación. Generalidades del Servicio Nuestros servicios de suscripción anual le permiten definir un presupuesto único de seguridad como base de contrato, a un término mínimo de 1 año con renovaciones por periodos similares y utilizarlo efectuando las combinaciones de servicios que necesite. Nuestros servicios de seguridad por suscripción anual son perfectos para entidades de cualquier tamaño, que se preocupan por la seguridad de su información, quieren tener un asesor permanente que les indique las mejores prácticas manteniendo la independencia de criterio frente a su propio personal de IT o incluso al resto de la organización pero desean un servicio en demanda para evitar el costo de operación de tener contratado permanentemente un staff de seguridad. Servicios Propuestos Si requiere información adicional de cualquiera de los servicios, solicítela a info@antifraude.co Usted podrá disponer de su presupuesto anual de seguridad de la información utilizando los siguientes servicios: Protección Total Web Paquete Básico Servicio orientado a garantizar la protección de sitios web mediante el monitoreo remoto de amenazas que puedan afectar la continuidad o imagen del mismo. Este paquete básico incluye - Monitoreo 7x24 del malware en el sitio web (entre otros) o Obfuscated JavaScript injections o Cross Site Scripting (XSS) o Website Defacements o Hidden & Malicious iframes

4 o PHP Mailers o Phishing Attempts o Malicious Redirects o Backdoors (e.g., C99, R57, Webshells) o Anomalies o Drive-by-Downloads o IP Cloaking o Social Engineering Attacks o Muchos más - Monitoreo del Bloqueo (Blacklisting) de sitio web y eliminación de listas negras web - Monitoreo de cambios en WHOIS - Monitoreo de cambios en los DNS - Monitoreo de cambios en los certificados SSL (si se usan) - Monitoreo de cambios en el sitio web - Chequeo de los archivos en el servidor (por existencia de malware requiere acceso al servidor que será solicitado en el momento de hacer las revisiones programadas) - Alertas en tiempo real (notificación vía ) - Eliminación y limpieza de malware en el sitio web (requiere acceso al servidor, que será solicitado en el momento de hacer la remoción) Los servicios complementarios requieren la suscripción del paquete básico Servicio Complementario WAF + IPS en demanda Ponemos a disposición la posibilidad de enrutamiento del tráfico a través de web application firewall + Intrusion Prevention System en la nube, garantizando el bloqueo de las peticiones maliciosas que sean efectuadas al sitio web y que al mismo sólo lleguen las peticiones reales válidas. Este servicio proporciona una efectiva protección perimetral de seguridad en las consultas realizadas hacia el sitio web. Servicio Complementario Backup del Sitio web Efectuamos backups permanentes del sitio web de manera que sea posible una rápida recuperación en caso de presentarse un incidente y adicionalmente para garantizar versiones limpias, frescas y recientes delos mismos. Este servicio requiere el acceso al servidor. De una forma automatizada, utilizando las credenciales proporcionadas para FTP/SFTP el sistema efectúa copias regulares del sitio web y las almacena en la nube permitiendo un fácil acceso a las mismas.

5 Servicio Complementario - Análisis de Vulnerabilidades Análisis básico automatizado de las vulnerabilidades del sitio web. Estos análisis son 100% automáticos, basados en las herramientas QUALYS, APPSCAN, OPENVAS, NESSUS y/o cualquier otra disponible. No incluyen verificación de falsos negativos / positivos. El análisis de vulnerabilidades es un servicio apropiado para cumplimiento de normatividad y verificación de seguridad continua en un periodo de tiempo (por ejemplo verificación de tendencias anuales). Cada prueba de verificación sería una prueba adicional nueva. Nuestro servicio de análisis de vulnerabilidades incluye: - Ejecución de las pruebas - Análisis y elaboración de Informes - Presentación de Resultados - Reportes históricos de tendencias (si se han efectuado pruebas anteriores a los mismos elementos) - Servicio de Reminders buscamos ir más allá enviando recordatorios periódicos de las vulnerabilidades abiertas, para ayudar en la gestión de su cierre. Algunas ventajas de nuestro programa de análisis de vulnerabilidades: - No incurre en sobrecostos por desplazamiento de consultores a otras ciudades / países - No requiere la adquisición de software o hardware a instalar en sitio para la gestión de vulnerabilidades - Tenemos los precios más bajos del mercado, lo que permite efectuar un mayor cubrimiento de elementos - El costo fomenta la posibilidad de efectuar más análisis en cada periodo (por ejemplo, las instituciones financieras deben hacer al menos dos análisis al año). - Contamos con bases de datos de vulnerabilidades actualizadas al día, con los estándares internacionales de clasificación, garantizando que los hallazgos respondan a las últimas técnicas de ataques en el momento de la prueba Servicio Complementario - Ethical Hacking del sitio web El servicio de pruebas desde Internet, busca determinar los problemas de seguridad informática existentes y que sean visibles desde cualquier ubicación en Internet y que en caso de ser explotados o aprovechados podrían poner en riesgo la normal operación del negocio del cliente y sus aplicaciones web. La orientación de las pruebas siempre está alineada con la lógica del negocio, de manera que al identificar los riesgos, el peso de los mismos sea mayor para aquellos que impactan más gravemente la operación del negocio, facilitando la generación de un plan de inversión priorizado de acuerdo a las necesidades reales de continuidad. Tareas a ejecutar durante el desarrollo de esta etapa: Durante el desarrollo de esta etapa, se definirán aspectos como: - Escenarios: El escenario aplicable para estas pruebas, contando con información básica de la red (por lo menos el dominio de Internet o las direcciones IP autorizadas).

6 - Objetivos a evaluar (aquellos que son visibles desde Internet y que pueden afectar el negocio). - Restricciones (técnicas, administrativas o logísticas). De la misma manera, los tipos de pruebas que se realizarán durante esta etapa, están enmarcadas (pero no limitadas) en: - Pruebas de detección, validación y explotación de problemas de seguridad en servidores (Unix, Windows), mecanismos de seguridad (Firewalls, IDS, IPS, VPN), elementos de comunicación (enrutadores), servicios comunes (web, correo, DNS, POP3, etc). - Ataques comunes enfocados a protocolos (TCP Hijacking, IP Spoofing, ARP Spoofing, Sniffing, DoS de común acuerdo, SNMP Testing, etc), acceso remoto (Wardialing, PBX Testing, RAS Server Testing) - Ataques enfocados a servicios comunes, tales como WEB (Cross Site Scripting, CGI/ASP/PHP scanning, command execution), Correo. - Igualmente, se desarrolla un set de pruebas enfocadas especialmente a las aplicaciones transaccionales de Internet, buscando determinar los problemas de seguridad informática existentes que puedan ser aprovechados por cualquiera mediante el acceso no autorizado o el escalamiento de privilegios en aplicaciones propietarias, poniendo en riesgo la integridad de la información y la normal operación del negocio. Estas pruebas se centran en: La posibilidad de acceder de manera no autorizada al aplicativo La revisión de los mecanismos de autenticación El manejo de sesiones La posibilidad de inyección de código La manipulación de parámetros La ejecución de pruebas de stress La identificación de puntos de aborto de la aplicación El escalamiento de privilegios. La suplantación de credenciales. La confidencialidad en el manejo de datos. La manipulación de salidas o resultados. Los mecanismos de Autenticación. La información no advertida. Resultados esperados Como resultado de estas pruebas, se podrá determinar el nivel de seguridad de los elementos involucrados. Se tendrá entre otros los siguientes aspectos: - La información no advertida. - Resultados de la ejecución de herramientas especializadas en pruebas de seguridad. - Resultados de las pruebas manuales realizadas (p.e: usuarios, contraseñas, información crítica, etc.).

7 - En caso de tener acceso a un servidor, aplicación o en general cualquier elemento probado, se presentara el detalle de la manera que se logro vulnerar el elemento. - Se evaluaran los falsos positivos, para determinar los problemas reales existentes en cada uno de los elementos. - Toda la documentación relacionada, donde se incluye, los problemas encontrados, el riesgo asociado y la recomendación para la solución del mismo. Servicio Complementario - Aseguramiento del Sitio Web El aseguramiento está orientado a acciones correctivas que se deben realizar sobre la configuración de elemento que vaya a ser asegurado - En una primera instancia se generan las guias / checklists de configuraciones seguras que deberán ser implantadas por cada elemento. - Posteriormente se diseña el procedimiento de aseguramiento con todas las recomendaciones que se deben implementar, para la evaluación por parte del Administrador del servidor - Una vez se haya verificado que la compatibilidad de los pasos del aseguramiento no interfiere con las aplicaciones instaladas en el servidor se diseña el Script de aseguramiento, junto con un documento que contiene el procedimiento manual de los pasos que ejecuta el Script. - Posteriormente se genera el informe Final, con problemas encontrados, problemas mitigados, problemas no mitigados, y recomendaciones adicionales. - Con la información recolectada se complementa el checklist de aseguramiento, para proceder con su ejecución llevando un detallado registro de las acciones realizadas para poder replicar / retroceder el proceso en cualquier punto del mismo. Este checklist es realizado teniendo en cuenta las buenas prácticas de seguridad informática mundialmente aceptadas. - Una vez se ha ejecutado todo el proceso, se llevan a cabo las pruebas de aceptación de servicio, que permiten establecer al administrador que posterior al aseguramiento, el elemento sigue presentando su funcionalidad sin problema alguno. Las actividades de aseguramiento estarán dirigidas a: - Corregir problemas de seguridad existentes en la plataforma - Configurar de manera adecuada los diferentes parámetros de seguridad de los servidores - Recomendar los últimos parches de seguridad liberados por el fabricante - Configurar de manera segura, permisos, servicios y usuarios de los diferentes servidores con el fin de minimizar riesgos asociados a los mismos. Finalmente como resultado de las actividades anteriores, se presenta un documento donde se presentaran los cambios realizados y no realizados.

8 Servicio Complementario Análisis de cumplimiento PCI Este servicio complementario contempla la ejecución de análisis especializados para el cumplimiento del estándar internacional PCI-DSS y está orientado a sitios web transaccionales, identificando oportunidades en las cuales la información sensible de métodos de pago pueda ser vulnerada. Servicio Complementario - Revisión de Código del sitio web Nuestro servicio de revisión de código incluye la revisión de arquitectura para identificar las posibles vulnerabilidades, fallas y/o oportunidades de mejoramiento asociados con la arquitectura del sitio web. Adicionalmente incluye la revisión de diseño y código fuente ejecutando pruebas automáticas y desarrollo de pruebas de unidad; donde se pretende analizar de forma automática la totalidad del código fuente en busca de patrones de vulnerabilidad conocidos y diseñar scripts que sirvan para probar los escenarios identificados y casos de uso de forma automática y un Análisis manual; donde se realizará una revisión manual línea por línea del código fuente donde se identificarán fallas o posibles vulnerabilidades sobre la aplicación. Actualmente prestamos este servicio sobre lenguajes C/C++, Java, PL/SQL, C#, VB, PHP. Este servicio requiere el envío del código fuente del sitio web para análisis fuera de línea.