Pruebas de intrusión

Las pruebas de equipo rojo, azul, violeta son una simulación de seguridad adversaria diseñada para probar la conciencia sobre la seguridad y los tiempos de respuesta de una organización.

Los clientes que deseen realizar una simulación de seguridad adversaria encubierta o alojar Command and Control (C2), deberán enviar una solicitud de simulación de eventos para que la evaluemos. 

La prueba de estrés es una prueba de rendimiento que envía un gran volumen de tráfico legítimo o de prueba a un objetivo específico para garantizar una capacidad operativa eficiente. Se espera que la aplicación de punto de conexión realice su función prevista como parte de la prueba. Cualquier intento de abrumar al objetivo es considerado una denegación de servicio (DoS).

Los clientes que deseen realizar una prueba de estrés de red deben revisar nuestra política de pruebas de estrés. 

iPerf es una herramienta para medir y ajustar el rendimiento de la red. Es una herramienta multiplataforma que puede producir mediciones de rendimiento estandarizadas para cualquier red.

Los clientes que deseen realizar una prueba de iPerf deben enviar una solicitud de simulación de eventos para que la revisemos. 

Los ataques de denegación de servicio distribuida (DDoS) se producen cuando los atacantes utilizan una saturación de tráfico proveniente de múltiples fuentes para tratar de afectar la disponibilidad de una aplicación objetivo. La prueba de simulación de DDoS utiliza un ataque de DDoS controlado que permite al propietario de una aplicación evaluar la resiliencia de la aplicación y practicar la respuesta ante eventos.

Los clientes que deseen realizar una prueba de simulación de DDoS deben revisar nuestra política de pruebas de simulación de DDoS. 

El phishing simulado es una simulación de un intento de ataque de ingeniería social mediante el cual se intenta obtener información confidencial de los usuarios. El objetivo es identificar a los usuarios e instruirlos sobre las diferencias entre correos electrónicos válidos y correos electrónicos de phishing para aumentar la seguridad de la organización.

Los clientes que deseen realizar campañas de phishing simulado deben enviar una solicitud de simulación de eventos para que la revisemos. 

La prueba de malware es la práctica de someter archivos o programas maliciosos a aplicaciones o antivirus para mejorar la seguridad de las herramientas.

Los clientes que deseen realizar una prueba de malware deben enviar una solicitud de simulación de eventos para que la revisemos. 

AWS se compromete a responderle y a mantenerlo informado de nuestro progreso. Envíe una solicitud de simulación de eventos para contactarnos directamente. (Para los clientes que operan en las regiones de AWS en China (Ningxia y Pekín), utilice esta solicitud de simulación de eventos).

Asegúrese de incluir fechas, los ID de las cuentas involucradas, los activos involucrados e información de contacto, incluido el número telefónico y la descripción detallada de los eventos planificados. Recibirá una respuesta no automatizada a su notificación inicial en un plazo de 2 días hábiles para confirmarle que hemos recibido su solicitud.

Todas las solicitudes de eventos simulados deben enviarse a AWS con al menos dos (2) semanas de anticipación previas a la fecha de inicio.

Cuando reciba nuestra autorización final, no necesitará hacer nada más. Podrá realizar las pruebas solicitadas hasta que finalice el periodo indicado.

La política de AWS con respecto al uso de herramientas y servicios de evaluación de la seguridad permite tener una flexibilidad significativa para realizar evaluaciones de seguridad de sus recursos de AWS al tiempo que protege a otros clientes de AWS y garantiza la calidad del servicio en AWS.

AWS entiende que hay una variedad de herramientas y servicios públicos, privados, comerciales o de código abierto entre los que puede elegir a los efectos de realizar una evaluación de seguridad de sus recursos de AWS. El término "evaluación de seguridad" se refiere a toda la actividad realizada con el fin de determinar la eficacia o existencia de controles de seguridad entre sus recursos de AWS, por ejemplo, análisis de puertos, análisis o verificación de vulnerabilidades, pruebas de intrusión, sistema de gestión, análisis de aplicaciones web, así como cualquier actividad de inyección, falsificación o fuzzing, ya sea realizada de forma remota contra sus re de AWS, entre sus recursos de AWS, o localmente dentro de los propios recursos virtualizados.

NO está limitado en la selección que haga de herramientas o servicios para realizar una evaluación de seguridad de sus recursos de AWS. Sin embargo, ESTÁ PROHIBIDO utilizar cualquier herramienta o servicio para hacer ataques de denegación de servicio (DoS) o simulaciones de este tipo contra CUALQUIER recurso de AWS, ya sea de su propiedad o no. Los clientes que deseen realizar una prueba de simulación de DDoS deben revisar nuestra política de pruebas de simulación de DDoS.

Una herramienta de seguridad que solo realiza una consulta remota de su recurso de AWS para determinar el nombre y la versión de un software, como la “captura de nombres de aplicaciones”, con el fin de compararlos con una lista de versiones que se sabe que son vulnerables a DoS, NO infringe esta política.

Además, una herramienta o servicio de seguridad que solo bloquea un proceso en ejecución en su recurso de AWS, temporal o no, según sea necesario para la explotación local o remota como parte de la evaluación de seguridad, NO infringe esta política. Sin embargo, esta herramienta NO puede participar en saturaciones de protocolos o de solicitudes de recursos, como se mencionó anteriormente.
 Está expresamente prohibido el uso de una herramienta o servicio de seguridad que cree, determine la existencia o demuestre una condición de DoS de CUALQUIER otra manera, real o simulada.

Algunas herramientas o servicios incluyen capacidades de DoS reales según lo descrito, ya sean silenciosas o inherentes si se usan de forma inadecuada, o como una prueba o verificación explícita o característica de la herramienta o servicio. Cualquier herramienta o servicio de seguridad que tenga dicha capacidad de DoS, debe tener la habilidad explícita para DESACTIVAR, DESARMAR o, de lo contrario, dejar SIN EFECTO esa capacidad de DoS. De lo contrario, esa herramienta o servicio NO se puede emplear para NINGUNA faceta de la evaluación de seguridad.

Es responsabilidad exclusiva del cliente de AWS: (1) asegurarse de que las herramientas y los servicios empleados para realizar una evaluación de seguridad estén correctamente configurados y funcionen bien y de una manera que no realice ataques de DoS o simulaciones de estos, y (2) validar de forma independiente que la herramienta o el servicio empleado no realice ataques DoS, o simulaciones de estos, ANTES de la evaluación de seguridad de los recursos de AWS. Esta responsabilidad del cliente de AWS incluye garantizar que los terceros contratados realicen evaluaciones de seguridad de una manera que no infrinja esta política.

Además, usted es responsable de los daños que provoquen sus actividades de prueba o evaluación de seguridad a AWS o a otros clientes de AWS.