E-mail 
Chat 
Suporte ao cliente 
Pentest
Os especialistas da Gateway IT ajudam a encontrar e corrigir os pontos fracos da sua infraestrutura de tecnologia por meio da realização de ataques simulados
Porque sua empresa precisa de um Teste de Intrusão?
Cada vez mais violações de segurança vem ocorrendo, e as organizações precisam se proteger e manter a integridade dos seus dados, é fundamental que as empresas invistam na qualidade da sua segurança, realizando testes contínuos e demonstrando aos seus parceiros de negócios que você leva a sério a segurança cibernética.
Métodos de teste de Intrusão
Realize o teste de acordo com sua necessidade
White Box
Em um Pentest na modalidade White Box envolve o acesso de toda a rede e informações do sistema com o Pentester, incluindo diagrama de rede e credenciais. Isso ajuda a economizar tempo e reduzir o custo geral de um contrato. o pentest White Box é útil para simular um ataque direcionado a um sistema específico, utilizando o maior número possível de vetores de ataque.
Gray Box
Em um Pentest na modalidade Gray Box, apenas informações limitadas são compartilhadas com o Pentester. Normalmente, isso assume a forma de credenciais de login. O Pentest Gray Box é útil para ajudar a entender o nível de acesso que um usuário privilegiado pode obter e os danos potenciais que podem causar. O Pentest Gray Box alcança um equilíbrio entre profundidade e eficiência e podem ser usados para simular uma ameaça interna ou um ataque que violou o perímetro da rede.
Black Box
Em um Pentest na modalidade Black Box, nenhuma informação é fornecida ao Pentester. O Pentester, nesta instância, segue a abordagem de um invasor sem privilégios, desde o acesso inicial e execução até a exploração. Este cenário pode ser visto como o mais autêntico, demonstrando como um adversário sem conhecimento interno atingiria e comprometeria uma organização. No entanto, isso tipicamente o torna a opção mais cara também.
White Box x Black Box x Gray Box
O Objetivo do Pentest
O objetivo do Pentest não é apenas testar as vulnerabilidades de seu ambiente, mas também testar seu pessoal e processos contra prováveis ameaças à sua organização, através de simulação de um ataque cibernético do mundo real testamos os recursos de segurança cibernética de uma organização e apresentamos as vulnerabilidades para ser tratadas antes de ocorrer um ataque.
Vamos abordar a metodologia do Pentester em 12 tópicos:
1. A tática de acesso inicial se refere aos vetores de ataques que os hackers exploram para acessar um ambiente.
2. Execução refere-se às técnicas usadas para executar o código do atacante após obter acesso ao ambiente.
3. As táticas de persistência são ações que permitem que os invasores mantenham a presença em uma rede.
4. Escalonamento de privilégios se refere às ações tomadas por um atacante para obter maior acesso a um sistema.
5. As táticas de evasão de defesa são técnicas usadas por Pentester que permitem que eles passem despercebidos pelas defesas de um sistema.
6. Acesso de credencial refere-se a técnicas usadas para obter credenciais de usuários ou administradores.
7. Descoberta se refere ao processo de aprendizagem por meio do qual os atacantes entendem melhor o sistema e o acesso que possuem atualmente.
8. Caminhos Alternativos é usado por atacantes para obter acesso e controle remoto do sistema, como: SQLi, Command Injection, XSS…
9. As táticas de coleta são aquelas usadas por atacantes para coletar dados direcionados.
10. Comando e controle são táticas usadas para estabelecer a comunicação entre a rede comprometida e o sistema controlado.
11. Extração/Vazamento são as ações que os atacantes realizam para remover dados confidenciais do sistema.
12. Táticas de impacto são aquelas destinadas a afetar as operações de uma empresa.
Uma ferramenta popular para esse tipo de teste é chamada Kali Linux, é uma solução completa e de código aberto capaz de encontrar e explorar vulnerabilidades na segurança de um sistema, entre outras ferramentas.
O Pentest pode envolver a tentativa de violação de qualquer número de sistemas de aplicativos (por exemplo, interfaces de protocolo de aplicativos (APIs), servidores front-end / back-end) para descobrir vulnerabilidades, como entradas não sanitizadas que são suscetíveis a ataques de injeção de código.
As percepções fornecidas pelo teste de intrusão podem ser usadas para ajustar suas políticas de segurança WAF e corrigir as vulnerabilidades detectadas.
Relatórios Gerenciais e Técnicos
Esse relatório é divido em duas seções: gerencial e técnica. Na seção gerencial são apresentados um histórico com toda a descrição do propósito do teste de invasão, um postura geral da eficiência do teste e dos problemas encontrados, um perfil do risco classificando a postura da empresa quanto à segurança caso seja necessário, as descobertas gerais dos problemas encontrados e a eficiência de qualquer medida de prevenção encontrada, um resumo das recomendações com uma visão geral das tarefas necessárias de correção e prevenção, e um mapa estratégico com objetivos de curto e longo prazo para melhorias da postura do cliente quanto à segurança. E na seção técnica serão apresentados uma introdução com detalhes técnicos do escopo do teste, todos os detalhes das fases de coleta de informações, avaliação de vulnerabilidades, exploração de falhas e pós-exploração de falhas, uma descrição do risco identificado com uma estimativa das perdas caso as vulnerabilidades identificadas sejam exploradas por um invasor e a conclusão com uma visão geral do teste realizado.
