Nuestros servicios son ofrecidos por medio de dos modalidades
1. Servicios Administrados
- Póliza AppTierSec
- Póliza de servicios integrales
- Niveles de maduración de seguridad.
2. Servicios bajo demanda
- Análisis de Vulnerabilidades Web & App Server
- Análisis de Vulnerabilidades Red
- WebPentesting
- Network Pentest
- Wifi Pentest
- Mobile Pentest
- Intrusión física
- Tácticas de Red Team
- Ingeniería Social
- Atención de incidentes de seguridad
- Análisis Forense
- Revisión de código seguro
- Fortificación de infraestructura (Hardening)
- Consultoría
Servicios Administrados
Póliza AppTierSec
Esta póliza está pensada para que una vez contratado el servicio, el equipo de Rogue Security se incorpore en el ciclo de vida de desarrollo de las aplicaciones del cliente, esto quiere decir que se debe hacer un plan detallado, de cómo es el proceso de desarrollo de las aplicaciones con el objetivo de poder incrementar tiempo para hacer todas las pruebas pertinentes como pueden ser (No queda clara la idea) :
- Arquitectura Seguridad en el Desarrollo de aplicaciones: En esta actividad el equipo de Rogue Security se involucra de manera directa en la planeación de la Arquitectura del desarrollo de las aplicaciones del cliente, donde el objetivo es dar las mejores recomendaciones y tips de acuerdo a la experiencia que tienen nuestros expertos en los temas referentes a seguridad de la información.
- Life cycle dev: En esta actividad el equipo de Rogue Security se involucra en el ciclo de vida del desarrollo de las aplicaciones que el cliente desarrolla para su operación del día a día, con el objetivo de hacer mejoras y crear una cultura de seguridad en el personal del cliente.
- Análisis de vulnerabilidades Web: En esta actividad se hace un escaneo con herramientas automatizadas las aplicaciones en el caso de ser WEB, obteniendo un reporte, con ello uno de nuestros expertos pueda evaluar aquellas vulnerabilidades que puedan llegar a ser falsos positivos.
- Análisis de vulnerabilidades Host: En esta actividad se hace un escaneo con herramientas automatizadas en los host, entiéndase por host sistema operativo y aplicaciones instaladas como apache, tomcat, mysql, iis etc., en este tipo de escaneo solo se abarca aquellos donde se montará la aplicación, obteniendo un reporte, con ello uno de nuestros expertos pueda evaluar aquellas vulnerabilidades que puedan llegar a ser falsos positivos.
- Web Pentest: En esta actividad se hacen pruebas de penetración en un ambiente pre-productivo o productivo buscando en forma aquellas vulnerabilidades en la aplicación WEB, con esto poder pulir más la seguridad de las aplicaciones. Con una entrega que consta de dos reportes uno, técnico en donde harán las mejores recomendaciones para así poder mitigar las vulnerabilidades encontradas, y uno ejecutivo el cual entrega una foto del estado de la aplicación a los altos directivos.
- Network Pentest: En esta actividad se harán pruebas de penetración en la infraestructura que tenga que ver con las aplicaciones con la que se ha estado trabajando en los puntos anteriores, y con esto poder solventar aquellas vulnerabilidades que llegan a encontrar en la infraestructura, el entregable de esta actividad son dos reportes uno técnico el cual tendrá las mejores recomendaciones para poder mitigar las vulnerabilidades encontradas, y uno ejecutivo el cual entrega una foto a los altos directivos.
- Análisis de vulnerabilidades CodeReview: En esta actividad se hace un escaneo con herramientas automatizadas el código fuente de la aplicación, con el objetivo de encontrar vulnerabilidades en el código fuente y con ayuda de uno de nuestros expertos poder hacer las mejores recomendaciones y mitigaciones respecto a las vulnerabilidades encontradas.
- CodeReview Manual: Esta actividad va de la mano junto con el análisis de vulnerabilidades automatizado, a diferencia del uso de herramientas, aquí uno de nuestros expertos examina profundamente el código fuente que gracias a su expertice puede llegar a encontrar vulnerabilidades que una herramienta automatizada no lo hará, con él se entregará un reporte a nivel técnico con las mejores recomendaciones.
- Hardening Web: En esta actividad el equipo de Rogue Security hará un hardening, el cual cubrirá aquellos hallazgos que se hayan encontrado en las configuraciones de los servidores web. Cabe resaltar que el hardening será apegado a los CIS Controls (CIS 20) y esto solo se hará en el ambiente de desarrollo para que el personal del cliente haga estos mismo procedimientos en los ambientes de QA, Pre producción, DRP y Producción, esto se hará de la mano con el cliente, o de manera de acompañamientos para que el personal tenga la retroalimentación de los puntos del hardening y juntos empecemos a generar una cultura de seguridad en el personal del cliente.
- Hardening Host: En esta actividad el equipo de Rogue Security hará un hardening el cual cubrirá aquellos hallazgos que se hayan encontrado en las configuraciones de los servidores a nivel sistema operativo. Cabe resaltar que el hardening será apegado a los CIS Controls (CIS20), y esto solo se hará en el ambiente de desarrollo para que el personal del cliente haga estos mismo procedimientos en los ambientes de QA, Pre producción, DRP y Producción, esto se hará de la mano con el cliente, o de manera de acompañamientos para que el personal tenga la retroalimentación de los puntos del hardening y juntos empecemos a generar una cultura de seguridad en el personal del cliente.
Este servicio tiene como objetivo hacer hasta tres aplicaciones al mes.
Metodologías
Nuestras pruebas están apegadas a:
- OWASP
- OSSTMM
- EC-Council Penetration framework
- OWISAM