Pentest – Testes de Intrusão
– Como está a maturidade da infraestrutura da sua empresa com relação a segurança?
– Será que o seu E-commerce e os dados de clientes registrados estão seguros de vazamentos e violações?
Para responder essas perguntas, a Stronit conta com um time de especialistas certificados em segurança ofensiva.
Através de testes de intrusão, avaliamos os riscos e possíveis vetores de ataque contra a sua infraestrutura, sistemas, aplicações e E-Commerce, simulando um ataque real a partir da internet.
O desenvolvimento do trabalho considera uso de uma metodologia própria, baseada em padrões reconhecidos de mercado, como o Penetration Testing Execution Standard e o OWASP TOP 10 tendo como foco levantar os vetores de violação de sistemas e recursos críticos para o seu negócio. As seguintes etapas compõe um teste de intrusão:
- Coleta de Informações: Na etapa de Information Gathering, nossos profissionais fazem um levantamento total do footprinting de sua empresa na internet. São realizados trabalhos de OSINT em colaboradores, buscas por vazamentos de credenciais, análise dos registros da Zona DNS, descoberta de hosts e subdomínios, levantamento de sistemas e tecnologias. É nesta etapa também que a Stronit estuda e entende o funcionamento do seu negócio;
- Varredura: Através de técnicas de evasão de Firewalls testamos os seus mecanismos de defesa atuais, realizando o levantamento de todos os serviços expostos diretamente à internet em sua organização. A Stronit utiliza metodologias do mais alto padrão do mercado para descoberta de hosts e serviços;
- Enumeração: Com uma relação dos servidores, serviços e tecnologias expostos à internet, nossos profissionais consultam bases de dados de vulnerabilidades em busca de sistemas e softwares rodando em situação vulnerável. Nesta fase, também são contemplados falhas de design inseguro na implementação de sistemas e aplicações;
- Exploração: Uma vez com todas as informações coletadas e sistemas mapeados, a Stronit tenta explorar seus sistemas e aplicações utilizando exploits públicos e criando exploits próprios para seu ambiente;
- Pós Exploração: Após explorar algum sistema e encontrar um vetor de entrada para dados confidenciais de sua empresa, é nesta etapa onde os profissionais da Stronit tentam elevar os privilégios conseguidos para acessos de maior impacto para sua organização.
- Documentação: A documentação ocorre durante toda a etapa do Penetration Testing, começando na reunião de Kick-off dos testes e se estendendo até a data de apresentação de resultados. Ao final, são confeccionados documentos com detalhes das vulnerabilidades encontradas e propostas para medidas de mitigação, assim como possíveis impactos, gerando um alto custo-benefício para sua organização em neutralizar vetores de ataques antes que se tornem um risco.
Os modelos de testes utilizados são o Black, White ou Grey, sendo:
- Pentest Black Box: Nesta modalidade, simulamos um ataque real a partir da internet sem informações sobre os alvos, partindo apenas de domínios ou endereços IP alinhados na fase de definição de escopo.
- Pentest Grey Box: Testes com informações parciais sobre os alvos, onde é estabelecido um canal de comunicação entre as equipes com o intuito de recolher informações sobre os sistemas e realizar testes de segurança com informação privilegiada.
- Pentest White Box: Testes de intrusão onde o cliente revela toda a estrutura composta no escopo. São disponibilizadas para nossa equipe os diagramas e topologias de rede, políticas e diretrizes de segurança, código fonte de aplicações e são criadas concessões e liberações nos sistemas de mecanismos de defesa para que nossos profissionais possam testar a resiliência, segurança e a implementação das tecnologias em seu ambiente.
Clique aqui e saiba mais.