Teste de Intrusão

Por que realizar um PenTest?

Não há dúvida de que os testes de intrusão são muito importantes onde a segurança da informação é fundamental, o teste de intrusão fornecerá uma excelente visão da segurança atual de seu ambiente, possibilitando tratar possíveis vulnerabilidades antes que sejam exploradas.

Para cada necessidade uma modalidade

Fornecemos serviços de teste de intrusão, desde aplicação web, aplicação móveis, rede interna ou externa, rede sem fio, dispositivos físico e engenharia social

Pentest White Box

White Box

Em um Pentest na modalidade White Box envolve o acesso de toda a rede e informações do sistema com o Pentester, incluindo diagrama de rede e credenciais. Isso ajuda a economizar tempo e reduzir o custo geral de um contrato. o Pentest White Box é útil para simular um ataque direcionado a um sistema específico, utilizando o maior número possível de vetores de ataque.

Pentest Gray Box

Gray Box

Em um Pentest na modalidade Gray Box, apenas informações limitadas são compartilhadas com o Pentester. Normalmente, isso assume a forma de credenciais de login. O Pentest Gray Box é útil para ajudar a entender o nível de acesso que um usuário privilegiado pode obter e os danos potenciais que podem causar. O Pentest Gray Box alcança um equilíbrio entre profundidade e eficiência e podem ser usados para simular uma ameaça interna ou um ataque que violou o perímetro da rede.

Pentest Black Box

Black Box

Em um Pentest na modalidade Black Box, nenhuma informação é fornecida ao Pentester. O Pentester, nesta instância, segue a abordagem de um invasor sem privilégios, desde o acesso inicial e execução até a exploração. Este cenário pode ser visto como o mais autêntico, demonstrando como um hacker sem conhecimento interno atingiria e comprometeria uma organização. No entanto, isso tipicamente o torna a opção mais cara também.

Metodologia do Pentester em tópicos

O Objetivo do Pentest

O objetivo do Pentest não é apenas testar as vulnerabilidades de seu ambiente, mas também testar seu pessoal e processos contra prováveis ameaças à sua organização, através de simulação de um ataque cibernético do mundo real testamos os recursos de segurança cibernética de uma organização e apresentamos as vulnerabilidades para ser tratadas antes de ocorrer um ataque.

  • Tópicos de 1 - 4
  • Tópicos de 5 - 8
  • Tópicos de 9 - 12
  • A tática de acesso inicial se refere aos vetores de ataques que os hackers exploram para acessar um ambiente.

  • Execução refere-se às técnicas usadas para executar o código do atacante após obter acesso ao ambiente.

  • As táticas de persistência são ações que permitem que os invasores mantenham a presença em uma rede.

  • Escalonamento de privilégios se refere às ações tomadas por um atacante para obter maior acesso a um sistema.

  • As táticas de evasão de defesa são técnicas usadas por Pentester que permitem que eles passem despercebidos pelas defesas de um sistema.

  • Acesso de credencial refere-se a técnicas usadas para obter credenciais de usuários ou administradores.

  • Descoberta se refere ao processo de aprendizagem por meio do qual os atacantes entendem melhor o sistema e o acesso que possuem atualmente.

  • Caminhos Alternativos é usado por atacantes para obter acesso e controle remoto do sistema, como: SQLi, Command Injection, XSS…

  • As táticas de coleta são aquelas usadas por atacantes para coletar dados direcionados.

  • Comando e controle são táticas usadas para estabelecer a comunicação entre a rede comprometida e o sistema controlado.

  • Extração/Vazamento são as ações que os atacantes realizam para remover dados confidenciais do sistema.

  • Táticas de impacto são aquelas destinadas a afetar as operações de uma empresa.

Uma ferramenta popular para esse tipo de teste é chamada Kali Linux, é uma solução completa e de código aberto capaz de encontrar e explorar vulnerabilidades na segurança de um sistema, entre outras ferramentas.

O Pentest pode envolver a tentativa de violação de qualquer número de sistemas de aplicativos (por exemplo, interfaces de protocolo de aplicativos (APIs), servidores front-end / back-end) para descobrir vulnerabilidades, como entradas não sanitizadas que são suscetíveis a ataques de injeção de código.

As percepções fornecidas pelo teste de intrusão podem ser usadas para ajustar suas políticas de segurança WAF e corrigir as vulnerabilidades detectadas.

Etapas do Pentest

O Teste de Intrusão deve ser realizado sempre que houverem alterações no ambiente e/ou pelo menos 1 (uma) vez ao ano.
Etapas do Pentest - Planejamento
Planejamento e reconhecimento
Definir o escopo e os objetivos de um teste, incluindo os sistemas a serem endereçados e os métodos de teste a serem usados.

Reunir inteligência (por exemplo, nomes de rede e de domínio, servidor de e-mail) para entender melhor como um alvo funciona e suas vulnerabilidades potenciais.

Varredura
Entender como o aplicativo de destino responderá a várias tentativas de intrusão. Isso normalmente é feito usando:

Análise dinâmica – inspecionar o código de um aplicativo em estado de execução. Esta é uma forma mais prática de testar, pois fornece uma visão em tempo real do desempenho de um aplicativo.

Etapas do Pentest - Varredura
Etapas do Pentest - Obtenção de Acesso
Obtenção de Acesso
Este estágio usa ataques de aplicativos da web, como Cross-Site Scripting , injeção de SQL, Injeção de Comandos e backdoors , para descobrir as vulnerabilidades de um alvo. O pentester tenta explorar essas vulnerabilidades, normalmente utilizando escalonamento privilégios, roubando dados, interceptando tráfego, etc., para entender os danos que podem causar.
Manter o Acesso
O objetivo deste estágio é ver se a vulnerabilidade pode ser usada para alcançar uma presença persistente no sistema explorado – o tempo suficiente para que um atacante obtenha acesso em profundidade. A ideia é imitar ameaças persistentes avançadas , que muitas vezes permanecem em um sistema por meses para roubar os dados confidenciais de uma organização.
Etapas do Pentest - Manter Acesso
Etapas do Pentest - Análise e Report
Análise e Report
Os resultados do teste de intrusão são compilados em um relatório detalhado:
Vulnerabilidades específicas que foram exploradas
Dados confidenciais que foram acessados
A quantidade de tempo que o pentester conseguiu permanecer no sistema sem ser detectado
TOP