Testes de invasão, também conhecidos como “Pentest”, são testes com o objetivo de enumerar e detectar as vulnerabilidades da empresa, em seguida explorar possíveis falhas nas redes e sistemas. Através da definição do escopo inicial, realiza-se o reconhecimento dos locais a serem testados. Além disso, coletamos e analisamos as informações da empresa, como topologia de rede, endereços de domínio, tamanho da estrutura e local de armazenamento (local ou em nuvem).
O processo de explorar as falhas da empresa visa simular e utilizar os mesmos métodos que um invasor realizaria caso tentasse invadir a rede da empresa. A grande diferença neste caso é que trabalhamos para encontrar as possíveis falhas e verificar se são realmente exploráveis.
Como resultado de nossa análise, produzimos 2 relatórios:
Análise de Vulnerabilidade
No processo de Análise de Vulnerabilidade são utilizadas técnicas para identificação dos serviços/aplicações do cliente, sendo possível realizar testes via Internet ou rede interna. A segunda parte do nosso processo é a realização de detecção de vulnerabilidades nas aplicações identificadas, para isso utilizamos ferramentas de ponta para avaliar mais de 65.000 tipos de vulnerabilidades (CVEs – Common Vulnerabilities and Exposures) e o seu impacto caso a fragilidade seja explorada (CVSS – Common Vulnerability Scoring System).
Com os serviços e seus riscos identificados, nossa equipe verifica na Internet a existência de ferramentas prontas (conhecidas como exploit) para fazer o cálculo de forma efetiva da probabilidade de ocorrer o incidente. Com isso criamos uma Matriz de Riscos de Vulnerabilidades usando critérios da ISO 31.001 (Gestão de Riscos) para que a empresa possa focar nas fragilidades encontradas que possuem maior risco.
Teste de Invasão de Sistemas
Os testes de invasão são fundamentais em organizações que se preocupam com a segurança de seus dados e sistemas. Estes testes utilizam as mesmas técnicas e procedimentos que um invasor (hacker black hat) utilizaria. No entanto, de forma planejada e controlada.
Testes de invasões também são conhecidos como Pentest (Penetration Test) e buscam explorar as vulnerabilidades da rede ou sistema da empresa, para em seguida, realizar um relatório com os resultados e possíveis medidas de melhoria na segurança.
O Pentest é e dividido nas seguintes etapas:
Os relatórios técnicos têm por finalidade o uso interno da equipe de segurança e TI da empresa, visando deixar claro as vulnerabilidades encontradas e como podem ser evitadas. Já o relatório executivo serve como evidência da realização de tais testes e pode ser utilizado em auditorias internas ou externas. Os testes podem ser externos ou internos, podendo ter como objetivo a invasão de redes, servidores, serviços cloud e aplicações.
Teste de Invasão através de Phishing
Com e-mails de Phishing enviado para os colaboradores conseguimos medir a vulnerabilidade humana para este tipo de golpe. Criamos relatórios mostrando os resultados obtidos para que a empresa possa direcionar ações preventivas para os locais com maior probabilidade de cair em golpes deste tipo. Além disso, pode ser usado como indicadores, verificando se as ações de conscientização de Segurança da Informação estão sendo efetivas.
Para mais informações sobre o teste, acesse nosso produto Segurança da Informação com foco em Pessoas.
(41) 3324-5336
Rua Desembargador Motta, 1499 | conj. 501
Batel – 80420-164 – Curitiba – PR – Brasil
Nossas Tecnologias
© BS 2021 todos os direitos reservados