Prueba de seguridad, apuntes

Enviado por TAKESHY JESUS VELASQUEZ DIAZ • 2 de Octubre de 2024 • Apuntes • 1.267 Palabras (6 Páginas) • 38 Visitas

Página 1 de 6

3.3 PRUEBAS DE SEGURIDAD

El mundo actual está compuesto por las aplicaciones web, estas se ven expuestas a diferentes tipos de amenazas que afectan los datos sensibles de clientes y organizaciones, comprometiendo la seguridad de la información y los procesos comerciales de las empresas. Por lo tanto, es importante tomar las acciones necesarias para proteger los datos. Para ello existen las pruebas de seguridad, ellas buscan vulnerabilidades en la seguridad del software, vulnerabilidades que podrían causar la pérdida de datos confidenciales o datos que expongan a la empresa, o al usuario.

Se revisa si el sistema de software está seguro en caso de sufrir ciberataques súbitos y deliberados, tanto de origen externo o interno. Esta prueba de seguridad garantiza que el software está libre de amenazas, vulnerabilidades, y riesgos que puedan causar un gran daño por pérdida de datos a una empresa. También verifica que los datos y recursos están protegidos en caso de ciberespionaje (Delta Protect, 2024).

Las pruebas más usadas son las pruebas de penetración, análisis de vulnerabilidades, pruebas de validación.

3.3.1 Pruebas de penetración

Hajdarevic y Dzaltur (2015), definen a las pruebas de penetración como un método de evaluación para un sistema o red que simula el ataque desde un origen hostil. Con el fin de descubrir las debilidades de seguridad antes de que puedan ser explotadas por atacantes malintencionados. Las pruebas externas son ejecutadas desde fuera del perímetro de seguridad, como, por ejemplo, internet. Las pruebas internas son ejecutadas desde dentro del perímetro de seguridad, como, por ejemplo, proveniente de un empleado, cliente, proveedor, etc.

3.3.1.1Tipos de ejecución:

Lopez de Jimenez (2016, como se cita en Hualpa, 2022, p. 8), señala que las pruebas de penetración pueden ser de diferentes tipos de ejecución:

Prueba de caja negra: El evaluador no tiene conocimiento del sistema que va a evaluar. Se encuentra más interesado en obtener la información de seguridad del objetivo que se le dio. Este evaluador solo conoce las salidas que debería obtener de la evaluación, pero no conoce a detalle el funcionamiento del sistema ni los detalles de entrada. El probador está autorizado a realizar pruebas en todo lo relacionado con la topología y la tecnología de la red. Esta proporciona una visión de cómo podrían explotar las vulnerabilidades. No requiere permisos más allá de los de un usuario externo. Lo malo de esta metodología es que puede ser en algunos casos muy superficial, pasando por alto problemas dentro del sistema.
Prueba de caja blanca: Al evaluador se le ha proveído de mucha información acerca del sistema o de la red que rodea al sistema. A comparación de la prueba anterior, a este evaluador se le ha proveído de información de código, red, detalles de sistema operativo, etc. Normalmente esta prueba es considerada para las simulaciones de ataque de fuente interna y lo solicitado a ser analizado son el código fuente, flujo de datos, prueba de rutas, etc.
Prueba de caja gris: Al evaluador se le da información parcial acerca de los detalles internos del sistema a evaluar, esto debido a que se encuentra más enfocado a encontrar las vulnerabilidades externas, es como una combinación de las anteriores cajas, es más completa y profunda pero sin llegar a ser intensiva, se podría decir que esta es de las más eficientes..

3.3.2 Análisis de vulnerabilidades

El análisis de vulnerabilidades es un proceso en el que se identifican y clasifican las debilidades de un sistema informático con el objetivo de dar una visión de las amenazas en las que puede incurrir una empresa para evitarlas a tiempo. El dinamismo de los sistemas de seguridad de la información, las actualizaciones, el constante cambio y la aparición de nuevos fallos de seguridad, hacen que las vulnerabilidades puedan aparecer en todos los elementos informáticos que componen la infraestructura interna y externa de una organización: hardware, software, redes, entre otros.

La vulnerabilidad de un sistema puede permitir ataques de personas externas como de bots, lo que puede conducir a la explotación de la información de la empresa, comprometiendo sus operaciones comerciales, información confidencial, su reputación, y provocando daños económicos importantes en esta..

3.3.2.1 Tipos de escaneo de vulnerabilidades

Lopez (2022) considera 2 tipos de escaneo: caja blanca y caja negra.

Caja blanca: Este método de escaneo de vulnerabilidades utilizará ciertos usuarios con ciertos privilegios dentro de la red y accederán a los servicios, productos y softwares que quieren auditar. De esta forma, podrán verificar si se puede realizar alguna acción adicional según los privilegios concedidos.
Caja negra: En este método se proporciona a los analistas sólo información de acceso a red o al sistema. A partir de aquí empieza a buscar toda la información posible.

Según Lopez (2022), “la diferencia entre un escaneo de vulnerabilidades y un pentesting es que en el primero se encuentran las vulnerabilidades y se las documenta, en cambio en el pentesting se busca explotar dichas vulnerabilidades”.

...

Descargar como (para miembros actualizados) txt (9 Kb) pdf (138 Kb) docx (11 Kb)

Leer 5 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

Pruebas de seguridad de la red
Hackeando redes wifi con Wifiway y Wifislax http://www.bujarra.com/ProcedimientoWifiway0.8Wifislax3.1.html 1 de 10 09/06/2008 23:40 Seguridad Wireless: Wifiway 0.8 y Wifislax 3.1 Wifiway 0.8 y Wifislax 3.1,

4 Páginas • 788 Visualizaciones
Apuntes Prueba Etnografia 1er año
1 PATRIMONIO ETNOGRÁFICO MÓDULO 1: INTRODUCCIÓN El término etnografía (del idioma griego ethnos (εθνος) = "tribu, pueblo" y grapho (γραφω) = "escribo")), puede definirse literalmente

37 Páginas • 1127 Visualizaciones
Apunte Seguridad Social
VEJEZ, INVALIDEZ Y SOBREVIVENCIA Introducción: El DL 3500 publicado en el DO el 13.11.80, y con vigencia desde el 01.05.81, creó la denominadas Administradoras de

52 Páginas • 417 Visualizaciones
Automotores-cinturones de seguridad-especificaciones de seguridad y metodos de prueba
SECRETARIA DE COMERCIO Y FOMENTO INDUSTRIAL NORMA Oficial Mexicana NOM-119-SCFI-2000, Industria Automotriz-Vehículos automotores-Cinturones de seguridad-Especificaciones de seguridad y métodos de prueba. Al margen un sello

33 Páginas • 380 Visualizaciones
BIOCATALIZADORES. APUNTES BIOLOGIA PRUEBA DE ACCESO A CFGS
Dentro del grupo de los biocatalizadores –enzimas, vitaminas, hormonas y oli-goelementos- sobresalen las enzimas. A lo largo de millones de años de evolución la naturaleza

3 Páginas • 723 Visualizaciones
Prueba de trabajo en materia de higiene y seguridad en el trabajo
Los accidentes de trabajo: a) Se producen de forma súbita y se identifican por las pérdidas materiales que conllevan. b) Se caracterizan por su desarrollo

3 Páginas • 365 Visualizaciones
APUNTES DE HIGIENE Y SEGURIDAD INDUSTRIAL
INSTITUTO POLITECNICO NACIONAL CENTRO DE ESTUDIOS CIENTIFICOS Y TECNOLOGICOS #3 MATERIAS OPTATIVAS TERCER SEMESTRE APUNTES DE HIGIENE Y SEGURIDAD INDUSTRIAL INDICE. UNIDAD 1 1.1 Antecedentes

49 Páginas • 326 Visualizaciones
APUNTES DE SEGURIDAD INDUSTRIAL
APUNTES DE SEGURIDAD INDUSTRIAL POR: ANDRÉS LARA TORRICO CONTENIDO: - OBJETIVOS - INTRODUCCION - GENERALIDADES DE SEGURIDAD INDUSTRIAL - HIGIENE DEL TRABAJO - SEGURIDAD DEL

4 Páginas • 283 Visualizaciones
SEGURIDAD EN RIESGO ELECTRICO: FILOSOFIA DE LA PREVENCION(759214) Prueba EVALUACIÓN 2
Usuario Curso SEGURIDAD EN RIESGO ELECTRICO: FILOSOFIA DE LA PREVENCION(9214) Prueba EVALUACIÓN 2 Iniciado 12/06/14 12:41 PM Enviado 12/06/14 01:05 PM Estado Completado Puntuación 14

3 Páginas • 2517 Visualizaciones
Plan de prueba de sistema de seguridad
TERROR EN WINNIPEGPrologo: Todo empieza en casa de Dianne, cuando su amigo Tomla visita, y los dos intentando demostrar que el sistema de seguridadde la

3 Páginas • 164 Visualizaciones