Tipos de auditorías

El principal objetivo de una auditoría de seguridad es conocer el estado y nivel de seguridad de un sistema de información. Se pueden distinguir tres tipos de auditorías según el rol que se adquiera y la información de la que se disponga en el momento de hacer el análisis: auditoría de caja negra, de caja blanca y de caja gris.

En la auditoría de caja negra el auditor no conoce ninguna característica de la infraestructura interna de la empresa o la organización, es decir, no sabe cómo están organizados interiormente los sistemas y redes. Por tanto, la primera tarea del auditor (o hacker ético) será la de recopilar cualquier tipo de información que se encuentre de forma pública y accesible sobre el objetivo, y después tratará de encontrar y explotar vulnerabilidades de los sistemas y servicios de la empresa objeto.

Podemos dividir la esta fase inicial de descubrimiento en dos subapartados: la etapa de footprinting, como aquella en la que se recopila información pública propiamente dicha sobre el objetivo, y la de fingerprinting, como la etapa de enumeración e interacción con los sistemas y servicios públicos descubiertos, y que permitirá al auditor estudiar vías de ataque y tener una idea del sistema al que se enfrenta.

Por su parte, en la auditoría de caja blanca el auditor deberá adquirir el rol de un usuario de la empresa, el cual dispone de acceso a los sistemas internos o a la totalidad de los datos críticos de ésta.

La auditoría de caja blanca incluye a la auditoría de caja negra, puesto que también lleva a cabo el proceso de descubrimiento de activos públicos y la explotación de dicha información. Sin embargo, en la auditoría de caja blanca además se revisan configuraciones de sistemas, políticas, servicios y redes, código de aplicaciones, con el fin de encontrar puntos críticos que permitan a los usuarios con cierto grado de privilegios obtener acceso. Con este tipo de auditorías se puede comprobar lo que un usuario con ciertos privilegios puede llegar a lograr.

Por último, la auditoría de caja gris permite al auditor tomar el rol de un cliente, un empleado con pocos o ningún privilegio, o un empleado de una ubicación concreta, por ejemplo de un empleado del área de soporte técnico. El auditor dispone de una visión y acceso parcial a los sistemas: se encuentra dentro de la empresa y por ello tiene acceso a cierta información, pero sus acciones están limitadas. Un caso habitual para suponer una auditoría de caja gris sería aquella en que un empleado descontento intenta acceder a información restringida a la que no tiene acceso, dando lugar a un ataque interno a la empresa.

En CrossWaller nos encargamos de realizar la auditoría de seguridad de su negocio o página personal de WordPress, tanto de caja negra como de caja blanca. Para el caso de caja gris, se deberá solicitar mayor información, ya que en la mayoría de ocasiones depende del rol concreto que el cliente desee analizar.

Para consultar nuestros servicios de auditoría de ciberseguridad, puede dirigirse a esta página.

LA SEGURIDAD
ESTÁ EN NUESTRO ADN.

EMPEZAR