Teste de Invasão

Teste de Invasão e seus objetivos

O teste de invasão, coloquialmente conhecido como pen test, pentest ou hacking ético, é um ataque cibernético simulado autorizado em um sistema de computador, realizado para avaliar a segurança do sistema.

Esse tipo de teste não deve ser confundido com análise de vulnerabilidade. O teste é realizado para identificar pontos fracos (também chamados de vulnerabilidades), incluindo o potencial de partes não autorizadas obterem acesso aos recursos e dados do sistema, bem como pontos fortes, permitindo uma avaliação de risco completa para ser concluído.

O processo normalmente identifica os sistemas de destino e uma meta específica, então analisa as informações disponíveis e empreende vários meios para atingir essa meta. Um alvo de teste de penetração pode ser uma caixa branca (sobre a qual as informações de back-end e do sistema são fornecidas com antecedência para o testador) ou uma caixa preta (sobre a qual apenas informações básicas – se houver – além do nome da empresa são fornecidas).

Um teste de invasão de caixa cinza é uma combinação dos dois (onde o conhecimento limitado do alvo é compartilhado com o auditor). Um teste de invasão pode ajudar a identificar as vulnerabilidades de um sistema a ataques (e estimar o quão vulnerável ele é).

Os testes realizados pela Infosec Security garantem uma cobertura completa do OWASP Top 10

  • A1:2017-Injection
  • A2:2017-Broken Authentication
  • A3:2017-Sensitive Data Exposure
  • A4:2017-XML External Entities (XXE)
  • A5:2017-Broken Access Control
  • A6:2017-Security Misconfiguration
  • A7:2017-Cross-Site Scripting (XSS)
  • A8:2017-Insecure Deserialization
  • A9:2017-Using Components with Known Vulnerabilities
  • A10:2017-Insufficient Logging&Monitoring

Modelos de Teste de Invasão

Teste de Invasão Black Box

Caixa preta, ou os testes não autenticados, representam de perto um hacker tentando obter acesso não autorizado a um sistema ou infra-estrutura de TI para obter e exfiltrar dados. O teste de invasão caixa preta avalia tanto a tecnologia subjacente quanto as pessoas e os processos no local para identificar e bloquear ataques do mundo real. A equipe técnica da Infosec Security não terá conhecimento prévio de sua organização e arquitetura.

Teste de invasão Gray Box

O teste de caixa cinza está entre os testes de caixa preta e caixa branca. A equipe técnica da Infosec Security terá conhecimento de algumas áreas, mas não de outras. Essas áreas são definidas no escopo.

Teste de invsão White Box

Caixa branca, ou testes autenticados, visam a segurança de sua tecnologia subjacente com pleno conhecimento de seu departamento de TI. As informações geralmente compartilhadas com o testador incluem: diagramas de rede, endereços IP, configurações do sistema e credenciais de acesso. Esse tipo de teste permite diferentes testes “baseados em funções”, permitindo que a equipe técnica da Infosec Security atue como vários indivíduos dentro ou conectados a uma organização.

A Infosec Security utiliza o guia de testes da OWASP como metodologia de avaliação, juntamente com táticas, técnicas e procedimentos do mundo real para garantir a qualidade dos testes realizados em Aplicações Web, Aplicativos Mobile e servidores.

Etapas abordadas

  • Definição de Escopo

  • Reconhecimento e Enumeração

  • Mapeamento e identificação do serviço

  • Análise de Vulnerabilidade

  • Teste de lógica de negócios

  • Exploração de serviços

  • Escalação Privilégio

  • Pivoting

  • Planejamento de remediação

  • Relatório detalhado e acionável

Nossa gama de pentest

Solicite orçamento para o teste de invasão da Desec Security