Hackers contra hackers
Category
Solutions
Industry
Tiempo de lectura
Para garantizar la seguridad de su propia red, Österreich Werbung realiza periódicamente pruebas de penetración A1 Digital con el fin de detectar y corregir vulnerabilidades antes de que lo hagan otros.
Cómo abordó A1 Digital el proyecto con Österreich Werbung
Preparación
Los expertos digitales de A1, los denominados White Hat Hackers, analizaron el entorno operativo de ÖW y debatieron el objetivo y el camino a seguir. En la reunión inicial posterior, se debatió el procedimiento de la evaluación de seguridad junto con el cliente. Se definió el objeto de la prueba que debía comprobarse y se aclaró cómo abordar la identificación de peligros potenciales.
Análisis de clientes
En el marco del análisis de clientes, ÖW puso a disposición de los usuarios un cliente estándar basado en software compatible. El análisis incluía programas de software instalados y compatibles con el usuario, protección frente a virus y servicios de activación continua. Además, se ha diseñado la configuración segura de los equipos, como las líneas de grupo, la configuración de la red, la configuración del administrador y la integración de la red.
Pentest
En el marco de las pruebas de intrusión, los expertos digitales de A1 pusieron a disposición de la ÖW una lista de direcciones IP internas anónimas y solicitaron explícitamente permiso para realizar ataques intrusivos ("Permission to Attack"), aunque éstos fueran ilegales. En caso de ataques intrusivos, se intentará mejorar las medidas técnicas de protección y, en su caso, garantizar la seguridad.
Caja del tiempo y caja gris
En sus pruebas, los expertos realizaron una prueba de caja de tiempo y caja gris. Ello significa que se ha mejorado la evaluación de los riesgos de seguridad en términos de tiempo (Timebox) y recursos, así como el conocimiento del sistema interno (Greybox). De este modo, se superó la fase de prueba acordada conjuntamente con la ÖW. El proceso duró cuatro semanas. Los resultados de las evaluaciones de seguridad y las recomendaciones de gestión formuladas se recogen en un informe.
"Para su prueba de penetración, A1 Digital ha utilizado métodos y técnicas empleados por auténticos piratas informáticos para asegurarse de encontrar el mayor número posible de vulnerabilidades. La planificación y realización de una prueba de penetración adaptada a nuestros sistemas informáticos es muy completa. En este sentido, los resultados nos han ayudado a identificar vulnerabilidades hasta ahora desconocidas y a solucionarlas rápidamente. A1 Digital ha demostrado ser un socio fiable y profesional a la hora de hacer frente a posibles ataques de piratas informáticos."
El cliente:
Österreich Werbung (ÖW), con sede en Viena, es la organización nacional de turismo de Austria. La preocupación central de la ÖW, junto con todos los socios turísticos austriacos, es garantizar que se mantenga o aumente la competitividad de Austria como país turístico. En www.austria.info, la ÖW ofrece una gran cantidad de artículos en ocho áreas temáticas y ofertas de vacaciones durante todo el año a todos aquellos que busquen inspiración e información sobre las vacaciones en Austria. El sitio web consta actualmente de 22 idiomas para 27 países de todo el mundo y está optimizado para todos los dispositivos. Alrededor de 200 empleados en Viena y las 21 agencias en el extranjero trabajan en estas tareas en todo el mundo.
El reto:
La creciente interconexión en el curso de la digitalización aumenta la superficie potencial de ataque y sirve de posible "puerta de entrada" para ladrones de datos y piratas informáticos. Por este motivo, öW realiza periódicamente pruebas de penetración, en las que hackers profesionales detectan vulnerabilidades para poder solucionarlas de forma específica.
La solución:
En esta ocasión, ÖW encargó a A1 Digital una prueba de penetración de su infraestructura accesible a través de la intranet, sus aplicaciones internas y sus clientes Windows. Una parte esencial de la prueba de penetración de los expertos de A1 Digital consiste en recrear los patrones de ataque que también utilizan los ciberdelincuentes.