Wiseplan

Jki-facebook-light Linkedin Instagram
  • Rua Paracatu, 309 - Pq.Imperial - São Paulo/SP
  • contato@wiseplan.net.br

Portfólio de soluções de Segurança da Informação

PENTEST ou Teste de Intrusão

PENTEST ou também conhecido como teste de intrusão, é uma simulação de invasão à infraestrutura de TI da empresa. O objetivo é testar as defesas do ambiente simulando caminhos que invasores poderiam utilizar para roubar dados e informações.

A WISEPLAN realiza um conjunto de ações simulando uma tentativa real de ataque hackers. Esse modelo de avaliação permite a validação da eficácia dos mecanismos de proteção de um determinado sistema.

Principais Benefícios:

O objetivo principal é a avaliação das consequências que as falhas de segurança podem ter sobre determinados recursos ou operações. Isso acontece porque o PENTEST consegue detectar, de forma rápida, o local exato em que o sistema está́ vulnerável, favorecendo a correção certeira.

  • Valida se a postura de segurança da empresa;
  • Fornece feedback sobre os maiores da organização;
  • Diminui os erros de segurança e riscos de incidentes;
  • Orientação no planejamento estratégico de segurança da informação.

Fases de Assessment do PENTEST

Fase 1
Information Gathering

Etapa na qual é realizada a coleta/levantamento de informações.

Fase 2
Scans

Realização dos scans e varreduras para identificações.

Fase 3
Enumeration and Analvsis

Análise e avaliação dos resultados dos scans e varredudas.

Fase 4
Explorations

Etapa de exploração das falhas e vulnerabilidades identificadas.

Fase 5
Reports

Elaboração dos relatórios e apresentação dos resultados.

Tipos de PENTEST

Black Box

Black Box

Mais alto nível, sendo efetuado totalmente as cegas. Sem informações do ambiente tecnológico (infraestrutura) ou de processos. Método utilizado chega mais próximo de um ataque real.

Grey Box

Grey Box

Considerando um equilíbrio entre ambos os outros tipos, o Ethical Hacker recebe informações parciais da infraestrutura e alvos. Normalmente realizado para avaliar uma aplicação em sua fase de desenvolvimento.

White Box

White Box

Neste caso, todas as informações são recebidas. O Ethical Hacker possuí total acesso ao ambiente, processos e demais informações da infraestrutura ou tecnologias.

Algumas das ações e tipos de ataques realizados

1

Análise de Arquivos Robots

Após serem identificados realizamos uma listagem de criticidade para priorizar a análise e exploração de cada identificado.

2

Coleta e Análise de Dados

Realizamos coleta de dados de rede caso permitido pelo cliente, técnicas como “man-in-the-middle”.

3

Identificação de Serviços e Banners

São Identificação de serviços e banners realizadas na etapa de Discovery.

4

Descoberta de Versões de Sistemas e Aplicações

São realizadas Descoberta de Versões de Sistemas e Aplicações na etapa de discovery.

5

Port Scanning (Stealth Scan)

Realizamos diversas técnicas de consulta para maiores coletas e respostas.

6

Vulnerabilidades de Infraestrutura e Web

Seguimos a metodologia OWASP para análises e explorações de vulnerabilidade de infraestrutura e web.

7

Rating das Vulnerabilidades

Após os scans, levantamentos e enumerações realizamos as análises de vulnerabilidade visando a criticidade de cada uma no ambiente auditado.

8

Execução de Exploits/Infosec Tools

Utilizamos ferramentas e para casos específicos desenvolvemos códigos para exploração.

9

Acesso e Extração de Dados Confidenciais

Realizamos testes de Sensitive Data Exposure (metodológicas OWASP e PTES), ou identificação e enumeração dos dados sensíveis identificados durante o projeto.

10

Tentativa de Burlar/Bypass de Ferramentas de Proteção

São utilizadas técnicas específicas e desenvolvidas para cada ativo identificado.

11

Tentativa de Aumento de Privilégios e Movimentação Lateral

As explorações de permissionamentos, escalação de privilégios, e movimentações laterais são efetuadas em sistemas críticos listados pelo cliente. Visando alcançar máquinas de alto permissionamentos e credenciais internas.

12

Teste e ataques de negação de serviço (DoS e DDoS)

Realizamos técnicas de estresse de rede (Dos e DDoS), sistemas, serviços etc.

13

Ataques de Força Bruta e Adivinhação (dicionário)

Os testes realizados são realizados com bibliotecas criadas para o ambiente.

Que tal ter uma equipe de consultoria totalmente dedicada ao seu negócio, na hora e quando desejar? Conheça o Wiseplan 360, uma solução inovadora para o seu negócio!

Saiba mais
Bem-vindo à empresa líder na prestação de serviços que combinam qualidade, confiabilidade e conformidade!
Jki-facebook-light Linkedin Instagram

Contato

contato@wiseplan.net.br

Rua Paracatu, 309 - Sala 62

Pq.Imperial - São Paulo/SP

Segunda-Sexta: 09:00 ás 18:00

(+55) 11 93261-1113

Links Rápidos

Newsletter​

Inscreva-se em nossa newsletter para obter informações atualizadas sobre os nossos serviços e novidades do mercado.

Tradutor
Whatsapp