A lo largo de los últimos años hemos ido desarrollando nuestra visión del Pentesting Persistente a través de dos herramientas, como son Faast y Vamps. Con estas soluciones hacemos un pentesting 365 días al año, 24 x 7, de la superficie expuesta a Internet de una organización, y nos permite hacer una revisión voraz de todo la infraestructura.
 |
| Figura 1: Faast for WP: Pentesting as a Self Service para tu WordPress |
Durante el último Security Innovation Day 2017 presentamos la evolución de nuestras soluciones empresariales B2B para llevarlas a verticales de empresas mono-plataforma, y comenzamos por WordPress lanzando Faast for WordPress.
 |
| Figura 2: Evolución de nuestra visión del Pentesting |
La aproximación que utilizamos para la construcción de esta solución verticalizada es la existencia de muchas pequeñas empresas que utilizan WordPress como único framewok en su única exposición a Internet. Es decir, que toda la infraestructura que tienen en la red es un servidor de WordPress en el que basan su negocio.
 |
| Figura 3: QRCode para garantizar la propiedad del sitio |
Nosotros hemos estudiado a fondo los problemas de seguridad de WordPress, incluso sus limitaciones en arquitectura. Dichos trabajos se han plasmado en plugins para Faast, en el libro de Máxima Seguridad en WordPress y lo que se explica en la charla de Hardening WordPress like a Hacker que hicimos a finales del año pasado.
 |
| Figura 4: Resultados de las auditorías periódicas de un sitio WordPress |
Ahora, hemos querido juntar todo ese en una herramienta "Self Service" en la que el administrador de un sitio pueda lanzar cuando lo desee un escaneo de seguridad a su WordPress desde nuestro servicio Faast for WordPress. Para ello debe demostrar que el servidor le pertenece añadiendo un QRCode (figura 3) que genera nuestra plataforma a su servicio.
 |
| Figura 4: Resultados de cada evaluación del sitio |
Después, desde una consola muy sencilla cada usuario puede dar de alta su WordPress y lanzar los procesos de pentesting periódica o diariamente. Nosotros mantenemos toda la información de la knowledge base actualizada, y dando consejos de cómo solucionar cada una de las vulnerabilidades y/o debilidades que se detecten.
Figura 5: Funcionamiento de Faast for WordPress
El funcionamiento es muy sencillo, y para que lo veáis os hemos hecho este pequeño vídeo que muestra cómo sería la experiencia del usuario. Simplemente dar de alta del dominio, lanzar el escaner y recibir las indicaciones. Por detrás, toda la arquitectura de Faast funciona con un proceso de algoritmo voraz revisando todos los puntos del sitio.
Saludos Malignos!
No comments:
Post a Comment