(11) 4198-8949
(11) 9 3344-3365
Siga-nos

Teste de Intrusão

Por que realizar um PenTest?

Não há dúvida de que os testes de intrusão são muito importantes onde a segurança da informação é fundamental, o teste de intrusão fornecerá uma excelente visão da segurança atual de seu ambiente, possibilitando tratar possíveis vulnerabilidades antes que sejam exploradas.

Solicite-nos uma Proposta

Para cada necessidade uma modalidade

Fornecemos serviços de teste de intrusão, desde aplicação web, aplicação móveis, rede interna ou externa, rede sem fio, dispositivos físico e engenharia social

Pentest White Box

White Box

Em um Pentest na modalidade White Box envolve o acesso de toda a rede e informações do sistema com o Pentester, incluindo diagrama de rede e credenciais. Isso ajuda a economizar tempo e reduzir o custo geral de um contrato. o Pentest White Box é útil para simular um ataque direcionado a um sistema específico, utilizando o maior número possível de vetores de ataque.

Pentest Gray Box

Gray Box

Em um Pentest na modalidade Gray Box, apenas informações limitadas são compartilhadas com o Pentester. Normalmente, isso assume a forma de credenciais de login. O Pentest Gray Box é útil para ajudar a entender o nível de acesso que um usuário privilegiado pode obter e os danos potenciais que podem causar. O Pentest Gray Box alcança um equilíbrio entre profundidade e eficiência e podem ser usados para simular uma ameaça interna ou um ataque que violou o perímetro da rede.

Pentest Black Box

Black Box

Em um Pentest na modalidade Black Box, nenhuma informação é fornecida ao Pentester. O Pentester, nesta instância, segue a abordagem de um invasor sem privilégios, desde o acesso inicial e execução até a exploração. Este cenário pode ser visto como o mais autêntico, demonstrando como um hacker sem conhecimento interno atingiria e comprometeria uma organização. No entanto, isso tipicamente o torna a opção mais cara também.

Metodologia do Pentester em tópicos

O Objetivo do Pentest

O objetivo do Pentest não é apenas testar as vulnerabilidades de seu ambiente, mas também testar seu pessoal e processos contra prováveis ameaças à sua organização, através de simulação de um ataque cibernético do mundo real testamos os recursos de segurança cibernética de uma organização e apresentamos as vulnerabilidades para ser tratadas antes de ocorrer um ataque.

  • Tópicos de 1 - 4
  • Tópicos de 5 - 8
  • Tópicos de 9 - 12

  • A tática de acesso inicial se refere aos vetores de ataques que os hackers exploram para acessar um ambiente.

  • Execução refere-se às técnicas usadas para executar o código do atacante após obter acesso ao ambiente.

  • As táticas de persistência são ações que permitem que os invasores mantenham a presença em uma rede.

  • Escalonamento de privilégios se refere às ações tomadas por um atacante para obter maior acesso a um sistema.

  • As táticas de evasão de defesa são técnicas usadas por Pentester que permitem que eles passem despercebidos pelas defesas de um sistema.

  • Acesso de credencial refere-se a técnicas usadas para obter credenciais de usuários ou administradores.

  • Descoberta se refere ao processo de aprendizagem por meio do qual os atacantes entendem melhor o sistema e o acesso que possuem atualmente.

  • Caminhos Alternativos é usado por atacantes para obter acesso e controle remoto do sistema, como: SQLi, Command Injection, XSS…

  • As táticas de coleta são aquelas usadas por atacantes para coletar dados direcionados.

  • Comando e controle são táticas usadas para estabelecer a comunicação entre a rede comprometida e o sistema controlado.

  • Extração/Vazamento são as ações que os atacantes realizam para remover dados confidenciais do sistema.

  • Táticas de impacto são aquelas destinadas a afetar as operações de uma empresa.

Uma ferramenta popular para esse tipo de teste é chamada Kali Linux, é uma solução completa e de código aberto capaz de encontrar e explorar vulnerabilidades na segurança de um sistema, entre outras ferramentas.

O Pentest pode envolver a tentativa de violação de qualquer número de sistemas de aplicativos (por exemplo, interfaces de protocolo de aplicativos (APIs), servidores front-end / back-end) para descobrir vulnerabilidades, como entradas não sanitizadas que são suscetíveis a ataques de injeção de código.

As percepções fornecidas pelo teste de intrusão podem ser usadas para ajustar suas políticas de segurança WAF e corrigir as vulnerabilidades detectadas.

Etapas do Pentest

O Teste de Intrusão deve ser realizado sempre que houverem alterações no ambiente e/ou pelo menos 1 (uma) vez ao ano.
Etapas do Pentest - Planejamento
Planejamento e reconhecimento
Definir o escopo e os objetivos de um teste, incluindo os sistemas a serem endereçados e os métodos de teste a serem usados.

Reunir inteligência (por exemplo, nomes de rede e de domínio, servidor de e-mail) para entender melhor como um alvo funciona e suas vulnerabilidades potenciais.

Varredura
Entender como o aplicativo de destino responderá a várias tentativas de intrusão. Isso normalmente é feito usando:

Análise dinâmica – inspecionar o código de um aplicativo em estado de execução. Esta é uma forma mais prática de testar, pois fornece uma visão em tempo real do desempenho de um aplicativo.

Etapas do Pentest - Varredura
Etapas do Pentest - Obtenção de Acesso
Obtenção de Acesso
Este estágio usa ataques de aplicativos da web, como Cross-Site Scripting , injeção de SQL, Injeção de Comandos e backdoors , para descobrir as vulnerabilidades de um alvo. O pentester tenta explorar essas vulnerabilidades, normalmente utilizando escalonamento privilégios, roubando dados, interceptando tráfego, etc., para entender os danos que podem causar.
Manter o Acesso
O objetivo deste estágio é ver se a vulnerabilidade pode ser usada para alcançar uma presença persistente no sistema explorado – o tempo suficiente para que um atacante obtenha acesso em profundidade. A ideia é imitar ameaças persistentes avançadas , que muitas vezes permanecem em um sistema por meses para roubar os dados confidenciais de uma organização.
Etapas do Pentest - Manter Acesso
Etapas do Pentest - Análise e Report
Análise e Report
Os resultados do teste de intrusão são compilados em um relatório detalhado:
Vulnerabilidades específicas que foram exploradas
Dados confidenciais que foram acessados
A quantidade de tempo que o pentester conseguiu permanecer no sistema sem ser detectado
TOP
Hit enter to search or ESC to close