Você sabe como investir

na Segurança de seus Dados?

A Infosec Security oferece uma abordagem integrada para avaliar suas defesas de segurança

da informação, ao combinar múltiplas estratégias de teste em um engajamento ofensivo

abrangente, com o único objetivo de obter acesso a ativos críticos.

Penetration Testing

O serviço de penetration testing fornece simulações de ataque cibernético usando táticas, técnicas e procedimentos do mundo real.

Modelos de Penetration Testing

Penetration Testing Black Box

Caixa preta, ou os testes não autenticados, representam de perto um hacker tentando obter acesso não autorizado a um sistema ou infra-estrutura de TI para obter e exfiltrar dados. O teste de invasão caixa preta avalia tanto a tecnologia subjacente quanto as pessoas e os processos no local para identificar e bloquear ataques do mundo real. A equipe técnica da Infosec Security não terá conhecimento prévio de sua organização e arquitetura.

Penetration Testing Gray Box

O teste de caixa cinza está entre os testes de caixa preta e caixa branca. A equipe técnica da Infosec Security terá conhecimento de algumas áreas, mas não de outras. Essas áreas são definidas no escopo.

Penetration Testing White Box

Caixa branca, ou testes autenticados, visam a segurança de sua tecnologia subjacente com pleno conhecimento de seu departamento de TI. As informações geralmente compartilhadas com o testador incluem: diagramas de rede, endereços IP, configurações do sistema e credenciais de acesso. Esse tipo de teste permite diferentes testes “baseados em funções”, permitindo que a equipe técnica da Infosec Security atue como vários indivíduos dentro ou conectados a uma organização.

A Infosec Security utiliza o guia de testes da OWASP como metodologia de avaliação, juntamente com táticas, técnicas e procedimentos do mundo real para garantir a qualidade dos testes realizados em Aplicações Web, Aplicativos Mobile e servidores.

Os Testes realizados pela Infosec Security garantem uma cobertura completa do OWASP Top 10

  • A1:2017-Injection
  • A2:2017-Broken Authentication
  • A3:2017-Sensitive Data Exposure
  • A4:2017-XML External Entities (XXE)
  • A5:2017-Broken Access Control
  • A6:2017-Security Misconfiguration
  • A7:2017-Cross-Site Scripting (XSS)
  • A8:2017-Insecure Deserialization
  • A9:2017-Using Components with Known Vulnerabilities
  • A10:2017-Insufficient Logging&Monitoring

Etapas abordadas

  • Definição de Escopo

  • Reconhecimento e Enumeração

  • Mapeamento e identificação do serviço

  • Análise de Vulnerabilidade

  • Teste de lógica de negócios

  • Exploração de serviços

  • Escalação Privilégio

  • Pivoting

  • Planejamento de remediação

  • Relatório detalhado e acionável

Solicite um Orçamento

2 + 1 = ?