Auditoria Teste de Invasão

Teste de Invasão

abercrombie pas cher beats headphones links of london sale ugg billig tiffany sale moncler giubbotti

Testes de invasão (penetration tests, ou simplesmente pentests) são simulações controladas de um ataque real a uma rede, sistema ou ferramenta, visando avaliar a segurança do mesmo. Durante o processo, é feita uma análise ativa de vulnerabilidades, fraquezas e deficiências técnicas da atual infra-estrutura física e lógica compondo os objetos em questão (como sistemas e localidades acessíveis ao público externo e interno de uma empresa), com destaque para avaliações de disponibilidade, integridade e confidencialidade das Informações do Cliente. O serviço realizado pela Clavis Segurança da Informação segue os padrões internacionais de Testes de Invasão, como NIST 800-42, OWASP, OSSTMM e ISSAF/PTF, além de utilizar ferramentas exclusivas, sempre com o objetivo de garantir a maior qualidade e confiabilidade possíveis para o serviço, realizado sempre com total transparência junto ao Cliente.


Objetivo

O serviço de Auditoria Teste de Invasão visa identificar ameaças e vulnerabilidades através da realização de ações que simulem ataques aos ativos em questão.


Detalhamento do Serviço

Antes de qualquer atividade a ser realizada, deverá ser assinado um acordo formal de realização do serviço entre as partes envolvidas, a fim de eximir a contratada de responsabilidades legais associadas à quaisquer problemas ou complicações oriundos da execução do serviço solicitado. Será também assinado um Acordo de Confidencialidade (NDA) entre as partes, para proteger o Cliente contra a divulgação não autorizada de quaisquer resultados ou dados identificados pela contratada durante a realização do serviço.


Detalhamento das Atividades

O serviço consiste na realização de uma auditoria Teste de Invasão na infra-estrutura do cliente, seja remoto ou presencial, objetivando prover informações sobre vulnerabilidades e brechas que possam ser exploradas por usuários maliciosos. Os testes podem ser originados internamente ou externamente e os auditores podem ou não ter acesso a informações sobre a estrutura(definição se o teste será do tipo "caixa preta" ou "caixa branca"). Testes de Negação de Serviço podem também ser realizados, deste que estejam dentro do escopo do serviço contratado pelo cliente.

Os diferentes testes realizados serão modelados em árvores de ataque, de acordo com dados identificados antes da etapa de invasão e em conformidade com perfil e limitações acordados. A ordem de ataques seguirá o caminho de menor resistência a partir de pesos de dificuldade definidos na árvore associada.

Ao longo da execução do serviço, toda e qualquer questão crítica identificada será imediatamente repassada ao Cliente para garantir que o mesmo esteja ciente do problema. Neste caso, a gravidade da questão apresentada será discutida com o Cliente e mecanismos de contorno ou correções serão apresentados.

Com o término do serviço, toda informação criada ou armazenada nos objetos-alvo dos testes é removida, de modo a deixar o sistema o mais próximo do estado em que foi apresentado antes do serviço.

Toda atividade realizada será registrada com data/hora e IP de origem e devidamente detalhada no relatório, assim como a listagem de todas as ferramentas e metodologias utilizadas.

Segue abaixo uma lista não exaustiva das técnicas que serão utilizadas:

Sondagem e Mapeamento
Consiste na varredura por hosts ativos, mapeamento de topologia e regras de firewall e detecção de serviços em execução.

Força Bruta
Visa detectar serviços de autenticação ou controle de acesso vulneráveis a ataques de tentativa e erro de senhas. Analisa a qualidade da política de senha e de sua implementação.

Análise de Tráfego de rede
Verifica se é possível identificar e obter informações sensíveis através da manipulação de tráfego de rede.

Avaliação de Servidores Web
Busca as principais vulnerabilidades em serviços deste tipo. Manipula requisições de modo a tentar comprometer a segurança de serviços web.

Identificação e Exploração de Vulnerabilidades
Lança códigos malicosos visando explorar as vulnerabilidades identificadas.

Através da avaliação do comportamento dos ativos mediante esses testes é possível obter um diagnóstico preciso sobre a segurança dos mesmos.


Produtos Gerados

Como produto final o cliente receberá um relatório técnico detalhado sobre os testes executados e seus resultados, assim como recomendações de medidas de correção e uma sugestão de um detalhado Plano de Ação.

Além dos produtos listados acima, também farão parte do escopo dos serviços a serem executados pela CLAVIS os seguintes itens:

Duração do Projeto

O tempo do projeto varia de acordo com o escopo e carga horária contratada para realização de todas as etapas supracitadas, assim como elaboração de relatório e apresentação de resultados.

Que tal analisar o artigo Auditoria Teste de Invasão(Pentest) - Planejamento, Preparação e Execução de autoria do Rafael Soares Ferreira, Diretor de Resposta a Incidentes e Auditoria da Clavis Segurança da Informação?

 


Telefone: Tel. +55 21 3553-5863


Solicite a visita de um Consultor da INOV9.