Segurança de TI

Nossa análise de risco é multidisciplinar e inclui análise de risco de várias áreas e atividades da empresa, tais como:

• Risco proveniente de falhas em controle de acesso;
• Risco proveniente de falhas de segurança nas redes de TI;
• Risco em escolha de pessoas não confiáveis;
• Risco em administração de documentos e mídias digitais;
• Risco em comunicação segura de assuntos sensíveis, inclusive em reuniões;
• Risco de segurança em contatos fora do ambiente físico da empresa;
• Implementação de Disque Denuncia;
• Outros aspectos de acordo com características especificas do caso.

 

Estes são apenas alguns dos aspectos que verificamos com o objetivo de criar um ambiente o mais blindado possível contra fraudes e vazamentos de informações, mitigar a possibilidade de fraude e aumentar a possibilidade de detecção em caso de tentativas ilícitas de quebra de sigilo.

Benefícios do teste de vulnerabilidade

• Risco reduzido pela eliminação de vulnerabilidades;
• Relatórios de progresso e/ou conformidade com padrões de segurança;
• Redução da complexidade, otimização de recursos e aumento da eficiência no gerenciamento de riscos;
• Economia de tempo e minimização de resultados de eventos falso positivos.

 

Estágios de execução de teste de vulnerabilidade

• Varredura – o teste é executado de uma forma manual ou automática, via aplicação de Web, que escaneia as plataformas designadas para tal propósito.
• Identificação – O teste identifica as vulnerabilidades que as plataformas apresentam.
• Classificação – As vulnerabilidades encontradas são classificadas pelo nível de risco que apresentam e, em seguida, são sugeridas medidas de mitigação específicas, baseadas na classificação da vulnerabilidade.
• Relatório – O relatório é baseado em padrões tipo OWASP ou PCI-DSS e relata as medidas necessárias para mitigar as vulnerabilidades encontradas.

Benefícios do PenTest

A realização de um PenTest oferece diversos benefícios para as organizações, indo além da simples identificação de vulnerabilidades. Ao simular ataques controlados, o PenTest proporciona uma visão abrangente da postura de segurança, permitindo a implementação de controles mais eficazes.

Entre os principais benefícios, destacam-se:

• Identificação de ameaças potenciais: Revela as possíveis brechas de segurança e a probabilidade de ataques, permitindo uma análise proativa dos riscos.
• Avaliação do nível de tolerância a riscos que sua organização possui: Ajuda a determinar se a organização está confortável com o nível de risco que possui.
• Determinação dos vetores de ataques mais perigosos e seus impactos: identifica os caminhos que os atacantes podem explorar e o impacto potencial para o negócio.
• Verificação da eficácia dos controles de segurança: Valida se as medidas de segurança implementadas estão funcionando conforme o esperado.
• Garantia de conformidade com regulamentações e padrões do mercado: Auxilia na adequação às normas de segurança do setor.
• Validação da segurança de ativos críticos de um ambiente: Avalia a proteção de sistemas essenciais, como redes SCADA com novas máquinas industriais.
• Detecção de vulnerabilidades críticas do ambiente: Identifica as falhas de segurança mais graves que precisam de atenção imediata.
• Avaliação do treinamento dos usuários: Verifica se os funcionários estão preparados para lidar com ameaças de segurança.

 

Em suma, o PenTest não apenas aumenta a sensação de segurança, mas também garante que os investimentos em segurança sejam direcionados de forma eficiente, permitindo ajustes e aprimoramentos contínuos.

 

Tipos de PenTest

Existem pelo menos três tipos de PenTest, sendo eles: White Box, Gray Box e Black Box. Para entender melhor o que cada um representa, vou resumir:

White Box : o atacante possui conhecimento total do ambiente, seja dos IPs que serão testados, dos serviços que cada um possui, informações dos controles de segurança, etc. Um PenTest mais interno é geralmente contratado para ter uma visão de como os controles de segurança estão implementados.

Gray Box : é um teste com limitações, pois o atacante possui poucas informações sobre o alvo, muitas vezes apenas os IPs e os sites que serão testados ou um acesso de rede.

Black Box : Simula um ataque de um cibercriminoso, onde o atacante possui pouquíssimas informações, geralmente apenas o nome da empresa, e a partir daí utiliza técnicas para coletar mais dados. Complementando, existem subcategorias dentro do Black Box, como o Blind Black Box e o Double Blind Black Box. No Blind Black Box, o atacante simula um ataque real sem nenhuma informação prévia. Já no Double Blind Black Box, algumas pessoas autorizadas têm conhecimento do teste, que geralmente é contratado para validar os mecanismos de monitoramento e identificação, bem como a capacidade de resposta das equipes envolvidas, incluindo a equipe de segurança e a equipe de Resposta a Incidentes.

 

Estágios de teste de intrusão

Reconhecimento

A primeira etapa é definir e planejar o escopo e as metas do teste. Isso inclui os sistemas que precisam ser testados e os métodos de PenTest que serão utilizados. Os PenTesters coletam informações sobre a rede da organização para entender melhor como ela funciona e suas vulnerabilidades potenciais.

A elaboração de um escopo dependerá de diversos fatores, principalmente da definição do tipo de PenTest que será utilizado (Black Box, Gray Box ou White Box), e para isso há necessidade de avaliar os seguintes pontos:

• Quais as áreas da infraestrutura do cliente serão testadas? (Redes, Cloud, Aplicação);
• Limitações do PenTest: O que posso ou não fazer? Que horas posso testar? Quais liberações são necessárias?;
• Elaborar um escopo em cima do objetivo do negócio do cliente;
• As vulnerabilidades que podem ou não ser testada no caso de uma aplicação ou um ambiente mais crítico;
• Nível de profundidade do seu PenTest: se é necessário escalar privilégios, exfiltrar algum dado como comprovação ou algo do tipo;
• Quantos IPs serão testados? São IPs internos ou externos?;
• Além de questões que você pode fazer para o administrador de sistema, referentes à existência de backup, monitoramento do ambiente, quais as aplicações mais críticas e tamanho da rede, sempre dependendo do tipo de teste a ser feito;
• O formato do relatório;
• Tempo dos testes de vulnerabilidades;
• PCI DSS, GDPR, HIPAA, NIST: com quais regulamentações você precisa estar em conformidade? Sendo um dos tipos de testes de vulnerabilidade;
• Elementos permitidos e não permitidos em um PenTest.

 

Scanning – Descobrir as vulnerabilidades

Com a etapa de planejamento concluída, o PenTester precisa analisar o aplicativo que está testando para entender como ele responderá às tentativas de intrusão. Eles fazem isso por meio de análise estática, que inspeciona o código do aplicativo para estimar como ele se comportará durante a execução, e análise dinâmica, que inspeciona o código em tempo real ou em estado de execução.

Ganhando acesso

O PenTester usará, então, ataques variados para descobrir e explorar vulnerabilidades. Isso envolve escalar privilégios, interceptar tráfego e roubar dados para entender o nível de dano que um invasor pode causar.

Manter o acesso

Esta etapa avalia se as vulnerabilidades descobertas podem ser usadas para ganhar presença contínua no sistema da organização e o nível de acesso que podem alcançar. Isso visa imitar ameaças persistentes avançadas (APTs), que permitem que um invasor permaneça em uma rede por meses e roube dados altamente confidenciais.

Análise e Preparação de relatório

O relatório inclui: resumo executivo das vulnerabilidades identificadas e classificação de riscos, detalhamento sobre os ataques e explorações realizadas com sucesso e resumos dos ativos/dados comprometidos durante a execução.

Remediação e teste

Realização de um novo PenTest com base nas vulnerabilidades reportadas.

Padrões e metodologias

• Open Web Application Security Project (OWASP);
• Open-Source Security Testing Methodology (OSSTMM);
• Penetration Testing Execution Standard (PTES).