NetSol Pentest

NetSol_Pentest

Realize o NetSol Pentest e descubra as vulnerabilidades da sua empresa.

O teste de penetração oferecerá um relatório detalhado, salientando os pontos fracos em relação à segurança de sua organização. Estes elementos servirão como base para que você possa traçar um plano de ação, otimizando recursos e tempo.

A NetSol possui parceria com os principais fabricantes de segurança e, além disso, conta com técnicos altamente capacitado. Todos estes recursos estarão disponíveis para que possamos, juntos, implementar soluções eficientes de acordo com o perfil de sua empresa.

Conformidade

Fique em acordo com as normas e regulamentos de segurança. (LGPD)

Riscos

Tenha um Raio-X de sua rede e faça uma análise dos riscos.

Confiabilidade

Aumente a confiança dos cliente e fornecedores

Evasão

Identifique e bloqueie a evasão de dados de sua empresa.

Vídeo promocional Pentest - NetSol.

Pentest Metodologia utilizada.

  • OWASP Methodology para a análise de aplicações web. Referência e detalhes estão disponíveis aqui;
  • OSSTMM para testes de infra. Referência e detalhes estão disponíveis aqui;
  • NIST SP 800-115 (DOI). Referência e detalhes estão disponíveis aqui;
  • NVD (National Vulnerability Database. Referência e detalhes estão disponíveis aqui;
  • Ferramentas que poderão ser utilizadas.

  • Distribuição Kali Linux e todo o seu pacote de ferramentas;
  • Distribuição Windows Microsoft;
  • Scripts compilados pela equipe em linguagem Perl;
  • Scripts compilados pela equipe em linguagem Phyton;
  • Software Acunetix, Fortify, Metasploit, Nessus, Nipper Studio, NMap, Wireshark, etc;
  • Procedimentos

    Assinatura de acordo de confidencialidade - NDA (Non Disclosure Agreement) - que descreve as condições em que as informações confidenciais permanecerão privilegiadas e privadas.

    Definição das janelas de trabalho, do escopo e do tipo de teste a ser realizado. Se “blackbox” (tipo de análise mais próximo de uma ataque externo, pois nenhuma informação vinda do cliente é fornecida aos analistas de teste), “whitebox” (tipo de análise onde todas as informações do cliente sobre a rede, servidores, banco de dados e sistemas que estão inclusos no escopo do teste de invasão, e demais informações de acesso aos mesmos, são fornecidas para que possam ser realizados testes extensivos e com mais abrangência) ou “greybox” (tipo de análise que faz um mix dos anteriores, pois os analistas de teste recebem alguma informação do cliente, como: credencial de acesso ao active directory, sistemas, etc).

    Devemos levar em consideração que a maioria dos ataques parte de funcionários insatisfeitos e/ou mal-intencionados e acontecem muitas vezes devido a vulnerabilidades que não foram observadas/removidas pela equipe de segurança.

    Ratificação, formal, por parte do cliente dos “objetos”, “alvos” e ciência quanto à execução dos testes secundários.

    Definição dos itens a serem personalizados, isto é, definição quanto às especificidades a serem incluídas nos artefatos de cada fase e no final.

    FASE 1 - RECONHECIMENTO

    Identificação de elementos que possibilitem a identificação do objeto, alvo (fingerprint).

    FASE 2 - A PROCURA (SCANNING)

    É a fase da execução do processo de “varredura”, isto é, da busca, da detecção do que é oferecido, por quem, como e com quais falhas conhecidas (vulnerabilidades).

    FASE 3 - EXPLORAÇÃO DA VULNERABILIDADE

    É nesta fase onde se concretiza o objetivo do teste, isto é, a invasão; a penetração na rede de computadores e sistemas/aplicações envolvidas.

    FASE 4 - PÓS EXPLORAÇÃO E PRESERVAÇÃO DO ACESSO

    Há que se preservar o acesso obtido aos sistemas mesmo após a exploração, para que, por exemplo, se possa simular o comportamento de um hacker “black hat”. Porém, a proteção quanto a utilização de rootkids deve ser efetiva e permanente. Deve-se “discutir” com o cliente a utilização de backdoors.

    Relatórios Finais

    Ao final deverá serão fornecidos ao cliente dois relatórios:

    Relatório composto, minimamente, dos seguintes elementos:

  • Sumário Executivo: quantidade de vulnerabilidades encontradas, gravidade das vulnerabilidades, maturidade de segurança cibernética da empresa, atual nível de risco cibernético e possíveis sugestões diante do cenário encontrado;
  • Relatório Técnico: vulnerabilidades encontradas, descrição da vulnerabilidade, solução para correção, classificação de risco, informações adicionais e referências;
  • Importante: trechos mais técnicos do relatório final podem estar no idioma inglês.

    Janelas de Trabalho

    Para a realização do Vulnerability Assessment serão definidas algumas janelas de trabalho. Estas janelas serão definidas em conjunto com o cliente.

    Certificações

    Offensive Security Certified Professional (OSCP) dos Técnicos NetSol


    A certificação Offensive Security Certified Professional (OSCP) é uma certificação que desafia o candidato a provar que têm uma compreensão clara e prática do processo de teste de penetração e do ciclo de vida de uma vulnerabilidade através de um árduo exame de certificação de 24 horas. Um profissional com a certificação OSCP demonstrou sua capacidade de entrar em uma rede corporativa completamente desconhecida, enumerar os alvos dentro do escopo, encontrar e explorar as vulnerabilidades existentes e documentar seus resultados em um relatório Pentest.


    eCPPT


    A sigla "eCPPT" significa eLearnSecurity Certified Professional Penetration Tester. ECPPT é um uma certificação 100% prática (hands on) e altamente respeitada entre profissionais Ethical Hacking e Penetration Testing. Sendo altamente reconhecida e respeitada em todos os cinco continentes devido ao seu alto padrão técnico. Maiores detalhes sobre a certificação estão disponíveis em: https://www.elearnsecurity.com/certification/ecppt/


    Perguntas Frequentes

    Quais são os principais tipos de Pentest?

    Existem, basicamente, três tipos de Pentest: black, white e grey box.
    Black Box: quando a empresa contratada não possui nenhuma informação primária sobre o sistema da empresa contratante.
    White Box: a equipe que fará os testes tem conhecimento de toda infra-estrutura do cliente. Desta forma consegue traçar uma estratégia para execução das tarefas.
    Gray Box: é uma mistura dos dois testes citados acima. O pentester possui parte das informações sobre o ambiente do cliente.

    O que está incluído no serviço NetSol Service Desk?

    O NetSol Service Desk é o serviço de atendimento certificado ISO 20000 e ISO 27001 da NetSol. Ao contratar este serviço o cliente tem direito a treinamento gerencial da solução contratada (incluindo novos treinamentos quando for necessário capacitar um novo colaborador), monitoramento dos appliances/servidores pelo NOC NetSol, backup diário das configurações dos appliances/servidores, suporte ilimitado por telefone ou web, plantão de emergência de 7:00 às 0:00 horas todos os dias (incluindo sábados, domingos e feriados), relatórios mensais por e-mail ou acessando a interface web.

    Qual a importância da NetSol ser certificada ISO 20000?

    Quando uma empresa procura uma prestadora de serviços de TI, surgem dezenas de questionamentos, dúvidas e incertezas sobre a escolha. Seja o receio de que ela não esteja alinhada com as necessidades do negócio, da falta de suporte técnico, da insuficiência da infraestrutura disponível ou mesmo do valor do serviço. Para ajudar empresários nesse desafio, foi criada a certificação ISO 20000, uma norma internacional para gerenciamento de serviços de TI que garante que a solução atende a requisitos essenciais. A NetSol é certificada ISO 20000 desde 2010 e a cada ano é auditada para garantir que continua em conformidade com todos os requisitos da norma.

    Qual a importância da NetSol ser certificada ISO 27001?

    A NetSol recebeu a certificação da ISO 27001, provando que está em conformidade com as normas internacionalmente reconhecidas para Sistema de Gestão de Segurança da Informação.

    Esta certificação é uma garantia ao nossos parceiros, clientes e auditores de que a NetSol é uma empresa com credibilidade e está rigorosamente no caminho certo de melhorias contínuas.

    MAIS INFORMAÇÕES?

    Para mais informações sobre o NetSol Pentest, preencha o formulário ao lado e entraremos em contato.

      NOME

      EMPRESA

      EMAIL

      TELEFONE

      NÚMERO DE SITES E/OU APLICAÇÕES WEB

      NÚMERO DE REDES LAN/WANS

      MENSAGEM