Pentest

Realize o NetSol Pentest e descubra as vulnerabiliaddes da sua empresa.

pentest_redes_sociais

O teste de penetração oferecerá um relatório detalhado, salientando os pontos fracos em relação à segurança de sua organização. Estes elementos servirão como base para que você possa traçar um plano de ação, otimizando recursos e tempo.
A NetSol possui parceria com os principais fabricantes de segurança e, além disso, conta com técnicos altamente capacitado. Todos estes recursos estarão disponíveis para que possamos, juntos, implementar soluções eficientes de acordo com o perfil de sua empresa.

pt2

Conformidade

Fique em acordo com as normas e regulamentos de segurança. (LGPD)
pt3

Riscos

Tenha um Raio-X de sua rede e faça uma análise dos riscos.
pt4

Confiabilidade

Aumente a confiança dos cliente e fornecedores.
pt1

Evasão

Identifique e bloqueie a evasão de dados de sua empresa.

Vídeo promocional Pentest - NetSol.

Pentest Metodologia utilizada.

  • OWASP Methodology para a análise de aplicações web. Referência e detalhes estão disponíveis aqui;
  • OSSTMM para testes de infra. Referência e detalhes estão disponíveis aqui;
  • NIST SP 800-115 (DOI). Referência e detalhes estão disponíveis aqui;
  • NVD (National Vulnerability Database. Referência e detalhes estão disponíveis aqui;
  • Ferramentas que poderão ser utilizadas.

  • Distribuição Kali Linux e todo o seu pacote de ferramentas;
  • Distribuição Windows Microsoft;
  • Scripts compilados pela equipe em linguagem Perl;
  • Scripts compilados pela equipe em linguagem Phyton;
  • Software Acunetix, Fortify, Metasploit, Nessus, Nipper Studio, NMap, Wireshark, etc;
  • Procedimentos

    Assinatura de acordo de confidencialidade que descreve as condições em que as informações confidenciais permanecerão privilegiadas e privadas.

    Definição das janelas de trabalho, do escopo e do tipo de teste a ser realizado. Se “blackbox” (tipo de análise mais próximo de uma ataque externo, pois nenhuma informação vinda do cliente é fornecida aos analistas de teste), “whitebox” (tipo de análise onde todas as informações do cliente sobre a rede, servidores, banco de dados e sistemas que estão inclusos no escopo do teste de invasão, e demais informações de acesso aos mesmos, são fornecidas para que possam ser realizados testes extensivos e com mais abrangência) ou “greybox” (tipo de análise que faz um mix dos anteriores, pois os analistas de teste recebem alguma informação do cliente, como: credencial de acesso ao active directory, sistemas, etc).

    Devemos levar em consideração que a maioria dos ataques parte de funcionários insatisfeitos e/ou mal-intencionados e acontecem muitas vezes devido a vulnerabilidades que não foram observadas/removidas pela equipe de segurança.

    Ratificação, formal, por parte do cliente dos “objetos”, “alvos” e ciência quanto à execução dos testes secundários.

    Definição dos itens a serem personalizados, isto é, definição quanto às especificidades a serem incluídas nos artefatos de cada fase e no final.

    FASE 1 - RECONHECIMENTO

    Identificação de elementos que possibilitem a identificação do objeto, alvo (fingerprint).

    FASE 2 - A PROCURA (SCANNING)

    É a fase da execução do processo de “varredura”, isto é, da busca, da detecção do que é oferecido, por quem, como e com quais falhas conhecidas (vulnerabilidades).

    FASE 3 - EXPLORAÇÃO DA VULNERABILIDADE

    É nesta fase onde se concretiza o objetivo do teste, isto é, a invasão; a penetração na rede de computadores e sistemas/aplicações envolvidas.
    FASE 4 - PÓS EXPLORAÇÃO E PRESERVAÇÃO DO ACESSO

    Há que se preservar o acesso obtido aos sistemas mesmo após a exploração, para que, por exemplo, se possa simular o comportamento de um hacker “black hat”. Porém, a proteção quanto a utilização de rootkids deve ser efetiva e permanente. Deve-se “discutir” com o cliente a utilização de backdoors.

    Relatórios Finais


    Ao final deverá serão fornecidos ao cliente dois relatórios:

    Relatório composto, minimamente, dos seguintes elementos:

  • Sumário Executivo: quantidade de vulnerabilidades encontradas, gravidade das vulnerabilidades, maturidade de segurança cibernética da empresa, atual nível de risco cibernético e possíveis sugestões diante do cenário encontrado;
  • Relatório Técnico: vulnerabilidades encontradas, descrição da vulnerabilidade, solução para correção, classificação de risco, informações adicionais e referências;
  • Importante: trechos mais técnicos do relatório final podem estar no idioma inglês.

    Janelas de Trabalho

    Para a realização do Vulnerability Assessment serão definidas algumas janelas de trabalho. Estas janelas serão definidas em conjunto com o cliente.