PENTEST
Teste as principais fragilidades
da sua superfície de ataque
Testes de Intrusão
(Pentest)
Serviço consultivo preventivo em que um especialista em segurança identifica vulnerabilidades externas e internas em sistemas, redes ou aplicativos web da sua empresa e tenta explora-las simulando um ataque real ao seu ambiente com o objetivo de identificar falhas e oportunidades de melhorias na sua política e controles de segurança.
Apoio consultivo para definir o escopo mais adequado de Pentest para a sua empresa
Diferentes tipos de testes de acordo com a necessidade e maturidade em segurança cibernética
Identificação precisa de vulnerabilidades escondidas em sua arquitetura de TI
Teste se todo o investimento anterior deixou algum furo de segurança que não está sendo considerado
Reuniões e relatórios de apresentação de resultados com foco em riscos e recomendações de correções
Melhora da elegibilidade e da pontuação para contratação de seguros de proteção digital
Quando a segurança da sua superfície de ataque foi testada pela última vez?
Portas de entrada que podem ser exploradas para ataques cibernéticos
Falhas de integridade que expõe a sua empresa à penetração maliciosa, modificações sistêmicas não autorizadas e comprometimentos de ativos e dados.
Falhas de conduta humana (gestão incorreta de senhas e dispositivos conectados em rede) podem gerar comprometimento e vazamentos de dados.
Programa de Testes de Penetração
Identifique os pontos fracos da sua superfície de ataque.
Black Box
- Teste sua segurança de fora para dentro e avalie o grau de penetrabilidade da sua superfície de ataque.
- Teste externo de invasão que identifica maneiras de explorar ativos de TI sem a necessidade do cliente compartilhar informações internas sobre o alvo com nossos especialistas.
Grey Box
- Teste o grau de exposição à movimentações laterais e ações maliciosas do seus sistemas e aplicações de TI.
- Teste interno de invasão a partir de informações de diagramas de rede ou credenciais informadas pelo cliente que avalia minuciosamente a segurança interna do seu ambiente.
White Box
- Teste a estabilidade, integridade e resiliência de suas aplicações diante de desvios forçados.
- Revisão de códigos fonte, validação de processos de autenticação de usuários, consumo de recursos e serviços (Análise Estática).
- Validação de fluxos sistêmicos de autorização para a realização de operações e transações, parâmetros de entrada e saída e possibilidade de manipulação de valores (Análise Dinâmica).
- Validação de domínios de valores aceitos, susceptibilidade à modificações não autorizadas, tentativas de desvios no funcionamento das aplicações via manipulação (Fuzzing).
Engenharia Social
e Spear Phishing
- Execução de ataque personalizado baseado em engenharia social, focado em apenas usuários VIP.
Como vai funcionar
Nosso plano de trabalho é customizado para atender às necessidades específicas da sua empresa.
Planejamento:
- Definição de GP na Strati, mapeamento de rede e análise dos principais riscos da operação do cliente
- Definição de testes, escopo (quais ativos serão testados), recorrência e cronograma
- Definição das estratégias e táticas dos testes
Testes e Avaliações:
- Início das simulações de invasão de acordo com o escopo e modalidades definidas
- Identificação de vulnerabilidades do ambiente
- Exploração das vulnerabilidades, documentação dos processos utilizados e coleta de evidências
- Análise de risco e categorização de prioridades de correção baseada em criticidade
Resultados:
- Elaboração de recomendações específicas para as falhas encontradas no ambiente
- Elaboração de relatório técnico e executivo
- Apresentação de resultados e sugestão de plano de ação
Retest (recomendável):
- Reunião de revisão das correções implementadas
- Início do reteste de invasão (mesmo escopo e modalidade)
- Apresentação de relatórios de resultados finais
Diferenciais Pentest Strati:
- Teste de invasão e relatórios realizados por “hackers éticos” experientes e certificados. Essa experiência nos permite um aprimoramento constante de nossas habilidades, processos, metodologias e relatórios
- Testes para aplicações WEB baseados no OWASP Testing Guide que priorizam as vulnerabilidades mais exploradas
- Realizaremos os testes de maneira controlada e coordenada com os profissionais indicados pelo cliente, minimizando assim potenciais riscos inerentes deste tipo de trabalho.
- Relatório técnico com a exposição dos passos e fragilidades de forma detalhada e categorizadas por criticidade de acordo com o The Common Vulnerability Scoring System (CVSS) e com plano de ações para mitigação das fragilidades apontadas
- Relatório executivo contendo análise de riscos para o negócio e recomendação de plano de mitigação para as vulnerabilidades encontradas
- Reunião técnica virtual para a entrega do relatório com avaliação dos resultados, análise de criticidade conjuntamente com o time técnico do cliente e recomendação de ações de mitigação.
- Reunião executiva virtual com foco em prioridades de ações de mitigação
- Possibilidade de reteste sob contratação adicional, após implementação de ação de correção por parte do cliente
Proteja sua empresa contra ataques cibernéticos, vazamentos de dados, prejuízos reputacionais e financeiros.
Conte conosco para fortalecer a segurança do seu ambiente de TI.
Você está procurando outros serviços de Cibersegurança?
Temos um portfólio robusto de serviços complementares para melhorar continuamente sua Postura de Cibersegurança.