- Objetivo
Simular ataques reais à rede, softwares, aplicações, colaboradores da empresa, com o intuito de mensurar o impacto da varredura no sistema, expondo suas vulnerabilidades.
Os testes de varreduras de vulnerabilidades são elaboradas em : Aplicações, dispositivos, redes, softwares, configurações e usuários. - Porque Contratar?
• Evidenciar os pontos vulneráveis da organização e melhorar especificamente cada ponto frágil.
• Primeira fase de auto-conhecimento da organização – o primeiro passo para o cumprimento das normas estabelecidas pela Lei 13.709/18- LGPD.
• Obrigatório da Instituições Financeiras (Resolução CMN nº 4.658/17) - Etapas de um Pentest
• Reconhecimento: Coletar informações sobre o alvo.
• Varredura: Descobrir Serviços Ativos, Hosts e portas.
• Enumeração: Identificar os serviços rodando por trás das portas, sistema operacional ou aplicação alvo.
• Exploração do Alvo: Após realizado todo o processo de coleta de informações, tipos de serviço, versões e SO. - Tipos de teste de invasão:
Black Box: Teste feito sem qualquer conhecimento prévio da infraestrutura a ser testada.
Custo especial para associados da ABRACAM : 25.000,00$R.
Gray Box: O testador possui conhecimento parcial da rede testastada, como por exemplo: Ips utilizados em uma determinada sub-rede, servidor DNS entre outros. Objetivo é mostrar se existe relação entre departamentos distintos.
White Box: O testador possui total conhecimento da infraestrutura a ser testada, incluindo o diagrama da rede, endereçamento IP, sistemas operacionais e qualquer informação complementar. - Benefícios
• O Pentest auxilia no mapeamento dos riscos da infra estrutura de TI, possibilitando dimensionar o impacto financeiro envolvido em cada risco.
• Baixo custo. - Desvantagem
• É uma radiografia das vulnerabilidades em uma determinada data.
• Cada mudança na infraestrutura ou nos tipos de ataques, podem representar novos riscos.