Pentest

Simulação de ataques direcionados para identificar vulnerabilidades na infraestrutura de TI

Sobre

Um teste de penetração, ou um pentest para abreviar, identifica pontos fracos na segurança da rede corporativa e nos elementos da infraestrutura de rede. Ele analisa ameaças e vulnerabilidades externas e internas com ferramentas automatizadas para verificar se a penetração, incluindo métodos manuais de hacking, é possível.

Os resultados finais do teste estão listados no relatório detalhado. O relatório inclui a descrição das vulnerabilidades, sua criticidade e recomendações sobre como eliminá-las.

Solicitar um pentest

Os seguintes objetivos são alcançados durante um pentest:


Verifique se um funcionário comum pode acessar informações confidenciais

Encontre vulnerabilidades de segurança da informação e maneiras pelas quais elas podem ser exploradas

Verifique se um membro da equipe pode escalar seus próprios privilégios

Desenvolva recomendações para lidar com as vulnerabilidades detectadas

Verifique se a rede local pode ser acessada de fora

Detalhes

A metodologia de testes é desenvolvida individualmente para cada cliente e deve ser aprovada. No entanto, as melhores práticas da indústria, como NIST SP800-115 e OSSTMM, são sempre consideradas como base.

Principais objetivos do pentest

  • Teste geral da segurança da informação da organização.
  • Conformidade com diferentes normas e regulamentos. Por exemplo, as organizações que processam dados de cartão de pagamento devem realizar uma verificação anual em relação ao Requisito 11.3 do PCI DSS. O escopo do teste deve abranger todo o perímetro do ambiente de dados do titular do cartão.

Ferramentas



Scanners de vulnerabilidade multifuncionais, como Nessus e Burp Suite, que detectam “buracos” em aplicativos, sistemas operacionais e redes corporativas


Teste manual, quando um pentester tenta comprometer a proteção por meio da barra de endereço do navegador e explorar vulnerabilidades em sistemas operacionais, software, hardware e assim por diante


Software profissional, por exemplo, utilitários da distribuição Kali Linux: Metasploit, Nmap e outros

Etapas de teste

  1. Análise de segurança externa – modelo de caixa preta

    Os especialistas da ITGLOBAL.COM usam a Internet para organizar uma série de ataques por meio dos recursos públicos do cliente.

  2. Análise de segurança interna – modelo de caixa cinza ou caixa branca

    O cliente disponibiliza acesso remoto à sua rede interna, por meio de uma conexão VPN, por exemplo. Os ataques são feitos usando direitos de pessoal comuns.

  3. Preparando um relatório de pentest

    O relatório abrange a metodologia de teste, objetos de teste, vulnerabilidades detectadas, sua criticidade e inclui recomendações sobre como resolvê-los.

Vantagens

Uma oportunidade para prevenir incidentes que podem violar a reputação da empresa e comprometer a segurança do cliente

Conformidade com PCI DSS e outros padrões

Utilizando ferramentas atualizadas que simulam todos os tipos de ataques conhecidos

Não é um teste de segurança teórico, mas prático

Reduzindo os riscos de vazamento de informações e acesso não autorizado

Detectando todas as ameaças críticas à segurança da informação

Entre em Contato

Tem alguma dúvida ou está interessado em saber mais como a TI pode ajudar o seu negócio? Por favor, conecte-se conosco.

Cookies de nuestro sitio web para mejorar su experiencia