Ethical Hacking in Perú
$250-750 USD
Thanh toán khi bàn giao
El alcance del servicio contempla las direcciones IP públicas de la entidad, pruebas de penetración a las aplicaciones web e infraestructura.
Recursos informáticos considerados para el análisis de vulnerabilidades:
Descripción Cantidad
Aplicaciones web 13
IPs públicas 16
Servidores de aplicación (servidor de archivos, controlador de dominio, intranet) 3
Servidores físicos 6
Servidores virtuales 24
Se deberán desarrollar las siguientes actividades:
a) Planificación:
Identificar los factores externos que deben tenerse en cuenta para la realización del servicio de Ethical Hacking. Estos factores incluyen las políticas de seguridad existentes, fechas y horarios autorizados para las pruebas, así como el desarrollo del plan de trabajo.
b) Reconocimiento:
Realizar el reconocimiento tipo de caja negra, recopilar información sobre los sistemas informáticos de la entidad, reunir las fuentes para adquirir conocimientos acerca de la red, servidores, aplicaciones y usuarios. Posterior a ello, toda la evaluación de seguridad se hará únicamente contra las direcciones IP y aplicaciones declaradas en el alcance.
c) Escaneo de servicios:
Realizar un análisis exhaustivo de la superficie de ataque expuesta a todos los hosts considerados, previamente identificados en la fase de reconocimiento. Debiendo considerar como mínimo:
‐ Detección de conexiones externas.
‐ Obtención rangos de Direcciones IP
‐ Análisis de Dispositivos de Comunicaciones
‐ Escaneo y detección de protocolos TCP y UDP
‐ Escaneo y detección de servicios
d) Análisis de vulnerabilidades:
Realizar pruebas manuales y automatizadas para identificar vulnerabilidades potenciales dentro de la red. Las pruebas manuales deben evaluar las superficies de ataque expuestas y la identificación de los hallazgos que no pueden ser descubiertos utilizando herramientas automatizadas.
Las vulnerabilidades identificadas de forma automatizada deberán ser validadas manualmente a fin de conocer si se tratan o no de falsos positivos.
Las pruebas de seguridad de las aplicaciones web contemplan la ejecución de intentos de vulnerar la seguridad de las aplicaciones y servicios web. Estas pruebas se realizarán con y sin credenciales, con un máximo de hasta 2 perfiles por aplicación, 5 formularios por aplicación web.
e) Definición de escenarios de ataque y explotación de vulnerabilidades
Revisar las vulnerabilidades y errores de configuración identificados para determinar su impacto. Asimismo, se debe realizar pruebas de penetración específica y/o pruebas de vulnerabilidades, ejecución código exploits y verificación de resultados.
La explotación de vulnerabilidades no deberá afectar ni degradar el servicio de las aplicaciones y/o direcciones IP a auditar.
f) Generación de recomendaciones y documentación final:
Presentación de Resultados y Recomendaciones de mejoras, tales como políticas, normas, estándares, procesos, procedimientos de seguridad de la información, acuerdos organizacionales, propuestas de actualización tecnológica para superar las vulnerabilidades encontradas, buenas prácticas de seguridad de la información y recomendaciones de mejoras para respuesta a incidentes.
PERFIL DEL PERSONAL:
a) Estudios: Profesional Titulado en ingeniería de sistemas y/o computación y/o Informática y/o Telecomunicaciones y/o Sistemas y/o Industrial y/o Electrónica
Acreditado, mediante la presentación de la copia simple del diploma o grado académico.
b) Experiencia general no menor a (03) años en entidades públicas y/o privadas.
Acreditado mediante contratos o constancias de trabajo, y/o constancias, certificados, resoluciones de designación, ordenes de servicio.
c) Conocimientos y otros: El especialista debe tener algunos de estos conocimientos:
Análisis informático Forense
Éthical Hacking
Especialización en ciberseguridad y ciberdefensa
Formación de peritos en análisis informático forense de la evidencia digital
Gestión de seguridad de la información ISO 27001.
Auditor interno ISO 27001
Análisis de vulnerabilidades digitales
Fundamentos de Ciberseguridad basado en la ISO 27032
Inteligencia de Fuentes abiertas (OSINT)
FORENSIC LAB
Certificado Gestion de riesgos digitales
Certificado implementacion NIST Cybersecurit Framework
Certificado Taller de implementacion del SOC
Certificado Taller de implementacion MISP
Certificado Fundamentos de Ciberseguridad basado en la ISO 27032
Certificado Analisis Forense Digital
Certificado Analisis de vulnerabilidades digitales
CERTIFICADO Plataforma Nacional de Gestión de Incidentes
Acreditado mediante certificados
Se acreditará el perfil solicitado con copia simple de certificados, títulos, constancias, contratos, órdenes y conformidades o cualquier otra documentación que de manera fehaciente demuestre la experiencia del proveedor.
Nota: De contar con documentos, certificados, títulos, constancias, contratos, órdenes y conformidades en idioma extranjero estas deberán contar con una traducción simple en idioma español.
El plazo de ejecución del servicio de Ethical Hacking se realizará hasta en 15 días calendario
Entregable final:
1.- Informe ejecutivo.
2.-Informe técnico, que detalle las vulnerabilidades encontradas, técnicas y herramientas utilizadas,
evidencias que corroboren la existencia de la vulnerabilidad, recomendaciones que detallen la solución
alcanzable para cada una de las vulnerabilidades. Las vulnerabilidades serán presentadas priorizadas
según el nivel de riesgo que representen para la ENTIDAD. Asimismo, se adjuntar la documentación de
soporte del trabajo realizado (resultados de las pruebas, logs, entre otros
3.-Detalle de las actividades desarrolladas.
4.-Fotos de los trabajos realizados.
ID dự án: #37944755
Về dự án
5 freelancer chào giá trung bình$940 cho công việc này
Hello Sir, We are an Indian development company here. we have checked your posted details here and want more clarification in it, so message us to discuss on it more then we will able to move on it. Thanks....
+de 8 años de experiencia trabajando en Seguridad Informática. Me gustan los desafíos, pueden contar con un partner estratégico para proteger sus sistemas.