Utilizando las tácticas, técnicas y procedimientos (TTP) de atacantes reales, simulamos un atacante que ya ha comprometido un sistema. A partir de ese punto de partida, probamos su seguridad interna y la gestión de registros. La prueba identifica las rutas de ataque que los hackers probablemente utilicen en la red interna y ayuda a verificar si su detección y respuesta son adecuadas.

La prueba Assume Breach no incluye elementos externos que normalmente forman parte de un Red Team, pero sí incluye la explotación táctica de la red. Este enfoque reduce considerablemente la complejidad y el tiempo necesarios para realizar la prueba y, por lo tanto, tiene un precio significativamente menor en comparación con un Red Team, a la vez que ofrece gran parte del valor de un Red Team.

Una variante de la prueba de Asunción de Infracción normal es la prueba de Asunción de Infracción Sigilosa. En esta última, solo unos pocos empleados conocen la prueba, por lo que se centra en evaluar su capacidad para detectar un ciberataque activo y su capacidad de respuesta.

Servicio

Valor

Entregables

• Pon a prueba tu seguridad y resiliencia frente a amenazas cibernéticas actuales y reales.

• Identificar vulnerabilidades en activos críticos.

• Pon a prueba tus capacidades de detección y respuesta.

• Taller informativo de varias horas con su equipo interno de operaciones de TI. Durante el taller, revisaremos los hallazgos, debatiremos las sugerencias de remediación del informe y mostraremos algunos ejemplos de rutas de ataque.

Informe escrito con dos secciones principales:

• Sección de gestión para directivos y tomadores de decisiones con panorama de riesgos de alto nivel y resumen ejecutivo.

• Sección técnica con observaciones detalladas para cada ruta de ataque e insuficiencia de seguridad identificada.

Metodología

Junto con usted, definimos el alcance y los objetivos de la prueba. Nos concede acceso a una estación de trabajo normal, unida a un dominio, con las credenciales de un empleado normal. Esto simula un atacante que ya se ha establecido en su organización.

La forma en que atacamos el entorno variará mucho según los objetivos y la organización, pero las fases son las mismas:

• Reconocimiento interno : Enumeramos usuarios, grupos, permisos, equipos y otros tipos de objetos y sistemas en su entorno. También revisamos recursos compartidos de red para detectar información confidencial, realizamos análisis de vulnerabilidades de sistemas y más.

• Postexplotación : Utilizando la información recopilada sobre su infraestructura y entorno, atacamos a usuarios y sistemas para obtener acceso a más sistemas y cuentas de usuario. Al obtener nuevo acceso, realizamos más reconocimiento y postexplotación. Estos dos pasos se repiten hasta alcanzar los objetivos predefinidos.

• Exfiltración de datos (o prueba de ello): cuando obtenemos acceso a uno de los objetivos, realizamos una exfiltración de datos para demostrar que obtuvimos acceso a él o, si lo desea, solo documentamos la posibilidad de exfiltrarlo, garantizando que los datos confidenciales no salgan de su red.

Nuestra metodología está inspirada en las pruebas de penetración y asume un enfoque de violación y utiliza el marco MITRE ATT&CK, junto con perfiles de comando y control desarrollados a medida.

Desarrollo

Estas pruebas requieren una participación limitada de su equipo durante su desarrollo. Después de las pruebas, se prevén varias horas de participación en un taller de información donde revisaremos los hallazgos.