Contexto y objetivos de referencia
El objetivo de esta iniciativa es realizar una evaluación de seguridad de Kaymera Mobile Security Solution para verificar la línea de base de seguridad de la infraestructura de soporte e identificar mitigaciones de seguridad específicas tanto en dispositivos móviles como en infraestructura.
El objetivo de este documento es describir las actividades realizadas durante múltiples pruebas de penetración por diferentes organizaciones y diseñar posibles mitigaciones a implementar para mejorar el nivel de seguridad de la Solución Kaymera.
Resumen Ejecutivo
La actividad de evaluación utilizó los siguientes modos:
- Prueba de penetración de Internet en la infraestructura de Kaymera
- Prueba de penetración en dispositivo móvil
- Prueba de penetración de la red de Tester en la infraestructura de Kaymera
- Análisis de ejecución e instalación de aplicaciones
Se realizaron esfuerzos para identificar y explotar las debilidades de seguridad que podrían permitir a un atacante remoto obtener acceso no autorizado a los datos de la organización.
No se encontraron fallas con los dispositivos de red o la configuración, y se encontró que los sistemas operativos y servicios del host estaban bien parcheados y configurados. No se encontraron vulnerabilidades que pudieran calificarse como críticas.
La actividad se dividió en diferentes fases:
- Cyber Threat Landscape: análisis de la solución, especificaciones de hardware y software, características, comunicaciones de entrada / salida. Esta actividad condujo a la identificación de puntos de ataque para la solución objetivo.
- Penetration Test from Client’s network on Kaymera infrastructure: evaluación de la exposición a la seguridad en infraestructura desde Intranet.
- Penetration Test on mobile device: Evaluación de exposición de seguridad en dispositivo Kaymera.
- Penetration Test from Internet on Kaymera infrastructure: evaluación de la exposición de la seguridad en infraestructura de Internet.
- App Installation & Execution Analysis: identificación de la metodología para eludir la lista blanca / negra medidas para instalar aplicaciones maliciosas.
- Remediation Plan: Definición de un plan de remediación para abordar las posibles mitigaciones identificadas durante el analisis
Consulta la información completa a continuación: