Teste de Invasão
WAR – Benefícios.
1-Pentestes black, gray e White box, possibilitam uma visão do nível de proteção atual.
2-Maior visibilidade e controle da infraestrutura e melhoria de processos.
3-Dificultar ao máximo incidente de segurança, adotando controles efetivos.
4-Pró-atividade na identificação de ameaças, antes de uma propagação no ambiente.
5-Cumprimento de normas inerentes ao negócio: PCI DSS, ISO27001, SOX.
6-Gestão de vulnerabilidades com o mínimo de janela de exposição.
7-Elevação da maturidade, com a padronização de políticas, normas e processos.
8-Diminuição de GAP’S de segurança e evolução em governança corporativa.
WAR – Embasamento Teórico
O teste de intrusão tem como objetivo, analisar o ambiente tecnológico corporativo, para encontrar e mapear possíveis riscos de segurança da informação que possam acarretar em eventuais problemas de confidencialidade, integridade, disponibilidade e autenticação, tais como: - falhas, evasão e sequestro de informações.
O teste de intrusão irá apresentar a visão de um atacante real, apresentando informações que podem vir a ser utilizadas por pessoas com más intenções, para obter vantagens ou acessos indevidos a sistemas.
Existem três modalidades de testes de intrusão:
1-Black Box-Nossos consultores não obtêm qualquer conhecimento prévio da infraestrutura a ser testada. Simula por exemplo o ataque de um agente malicioso de fora ou dentro da empresa que testa invadir o sistema.
2-Gray Box-Nossos consultores adquirem algum conhecimento prévio da infraestrutura, como um conjunto de credenciais de rede e aplicações. Simula o acesso de um colaborador, ou prestador de serviços, mal-intencionado.
3-White Box-São fornecidos aos nossos consultores o conhecimento completo da infraestrutura a ser testada, incluindo diagramas de rede, códigos fonte, informações de endereçamento IP e credenciais de acesso. Simula um ataque interno realizado por um usuário que tem conhecimento do ambiente de rede, como um colaborador com conhecimentos mais avançados ou da área de TI.
WAR – Testes de Intrusão.
São oferecidos:
1-teste interno-Identifica e examina vulnerabilidades, do ponto de vista de um atacante externo, capaz de usar a internet para invadir o ambiente tecnológico corporativo e ter acesso às informações privilegiadas que podem provocar em risco o negócio.
2-teste interno-Identifica e examina falhas do ponto de vista de um atacante interno (funcionário ou prestador de serviços), capaz de usar a rede interna para ter acesso às informações privilegiadas que podem comprometer o negócio.
3-teste em APP MOBILE-Identifica e examina possíveis falhas de segurança. O teste verifica os dados sensíveis que foram expostos, ou se durante o processo de desenvolvimento do aplicativo móvel, foi inserido alguma rotina de obtenção de dados.
Obs: É ideal que sejam realizados testes trimestrais, e após qualquer mudança significativa na rede de dados ou ambiente web.
“Esses procedimentos são exigidos ou recomendados por diversas normas da segurança da informação.”
WAR - Normas seguidas nos testes de intrusão.
Para realizar consistentes testes de segurança em ambientes tecnológicos, nas modalidades interno e externo, a WAR utiliza metodologia de trabalho, homologada pelas academias de segurança mais renomadas no mercado, tais como:
-GIAC Global Information Assurance Centification (Entidade estabelecida pelo Instituto SANS).
-EC-COUNCIL International Council of Eletronic Commerce Consultants.
Wa2 - Fases do Teste de Invasão.
A metodologia para teste de invasão da WAR está estabelecida em camadas, contendo as seguintes fases:
1-Documentação-Nesta fase preparatória do processo, são coletadas as autorizações e preparados todos os documentos legais e técnicos necessários para o início dos testes. As ações documentais são imprescindíveis nesta etapa, para a preservação de direitos, para estabelecer responsabilidades, e ainda, para salvaguardar a WAR e o cliente sobre quaisquer fatos, eventos ou desdobramentos que possam ter como origem a realização dos testes de segurança.
2-Enumeração-Etapa que inicia o processo de busca por vulnerabilidades que possam ser exploradas baseadas nas informações coletadas no passo anterior (FOOTPRINT). As técnicas mais usadas pela WAR, são:
DNS ZONE TRANSFER
PORTSCANNIG
SERVICE ENUMERATION
OWASP BRUTE FORCE
WEB APPENUMERATION
WEB DOMAIN SERVICES ENUMERATION
VULNERABILITYSCAN
3-Manutenção de acesso-Com o acesso concedido, é realizada a manutenção do acesso a longo prazo. As técnicas mais usadas são:
BLACKDOOR
ROOTKIT
USUÁRIO ADMIN
4-Footprint-É a fase inicial dos testes de segurança, onde serão coletadas informações sobre o alvo utilizando-se meios passivos e ativos. Dependendo da finalidade do trabalho a ser realizado, as técnicas poder variar:
ENGENHARIA SOCIAL-TRASHING/DUMPTSTER DIVING
DOMAIN NAME SYSTEM INTERROGATION
WHO.IS
GOOGLE HACKING
ARIN
HARVESTER
MALTEGO
5-Exploração-Nesta fase as vulnerabilidades encontradas no processo de enumeração são exploradas. As técnicas utilizadas são:
EXPLORAÇÃO WEB
EXPLORAÇÃO APLICAÇÃO WEB
SQL INJECTION
SMTP RELAY
BUFFER OVERFLOW
EXPLORAÇÃO DE SERVIÇOS
BRUTE FORCE
6-Cobertura de rastros-É realizada uma simulação em que o atacante destrói as evidências da intrusão. As técnicas mais utilizadas são:
TUNELAMENTO
REMOÇÃO SISTEMA IDS
REMOÇÃO ANTIVÍRUS
REMOÇÃO DE LOGS
7-Relatório-A finalização do teste e a apresentação dos resultados por meio de relatório técnico e executivo.
WAR – Porque realizar um teste de intrusão.
Mais de 10.000 vulnerabilidades são descobertas todos os anos.
92% das vulnerabilidades podem ser exploradas remotamente.
55% dos ataques afetam aplicações web.
Malwares crescem anualmente 144%.
Cibercrime movimenta 1 trilhão anualmente.
O Brasil está entre os 5 países que mais sofrem ataques cibernéticos.
Os colaboradores são o ela mais fraco da segurança da informação.
A falta de política e processos devidamente aplicados comprometem a continuidade do negócio.
Existe crime organizado com motivação monetária.
WAR – Benefícios do teste de invasão.
Conhecer os riscos (em tecnologia), para tomar providências e tornar a empresa mais segura.
Testes realizados de forma automática e manual, com resultados mais precisos.
Ter melhores condições para aferir seus riscos frente a evasão e sequestro de dados.
Saber resolver os riscos em tecnologia.
Desenvolver caminhos organizados para obter a solução dos problemas encontrados.
Adequação dos sistemas de informação da empresa, garantindo assim, a continuidade dos negócios.
