Servicios de Seguridad
Testeo de Aplicaciones y Sitios Web
También llamado Blackbox testing (o testeo de caja negra) donde la idea es testear el sitio web o la aplicación expuesta exactamente como lo haría un usuario malintencionado. Usando una combinación de herramientas automáticas y manuales podemos asegurar la máxima cobertura y brindamos precisas indicaciones sobre qué cosas se necesitan solucionar para tener una máxima seguridad. Esta es una opción interesante cuando no se puede proveer acceso al código fuente por distintos motivos (derechos de propiedad, políticas de la empresa, etc). Obviamente que si en combinación con lo anterior se puede revisar el código fuente, se obtieen los mejores resultados.
Revisión de Seguridad de Código Fuente
También llamado Withebox testing (o testeo de caja blanca). Revisamos el código fuente de la aplicación para identificar posibles agujeros de seguridad antes que la aplicación sea puesta en producción. Normalmente en aplicaciones que tienen cientos de opciones y posibilidades un testeo de caja negra que cubra el 100% de las mismas resulta más oneroso. Si se dispone del código fuente para revisión de los ítems de seguridad, muchas de las vulnerabilidades pueden ser corregidas en el mismo código. No obstante los mejores resultados siempre se obtienen de una combinación de revisión de código fuente y testeo de caja negra.
Desarrollo y Capacitación
Normalmente los desarrolladores no se preocupan por la seguridad. En muchos casos no piensan como un usuario malicioso, sino que testean para todo tipo de casos de uso pero olvidan aquellos de malas intenciones. Usualmente tienen otras preocupaciones mayores en las cuales pensar, como entregar proyectos a tiempos, resolver funcionalidades complejas del negocio, etc. Por lo tanto, intentamos cubrir esta brecha entre buenas aplicaciones y buenas aplicaciones que sean seguras. Entrenamos a equipos de desarrollo para que puedan pensar como un atacante permitiéndoles ir más allá de las funcionalidades de negocio de sus aplicaciones. El entrenamiento de desarrolladores y testers sobre varios tipos de ataques y modos seguros de programar brinda grandes beneficios en la eliminación de vulnerabilidades en las aplicaciones web.
Aseguramiento de Servidores
Las aplicaciones web son solamente una parte del sistema completo que les dará servicio. Pueden existir brechas de seguridad en servidores web, bases de datos, sistemas operativos y otros sistemas corriendo en los servidores. El aseguramiento de servidores (conocido también como "Server Hardening") se ocupa de revisar todos estos componentes que forman parte de una solución aplicativa y testear si están correctamente configurados en los aspectos de seguridad y que no existan grietas de esa índole. Como las aplicaciones web confían en el servidor web y el sistema operativo subyacente, si hay problemas en ellos, entonces toda la seguridad a nivel de la aplicación sirve de muy poco.