home > notícias

ASSOCIADOS

26/03/2019

Pentest: análise contínua de Segurança em Aplicações [Claranet]

O pentest é primordial para garantir a segurança de aplicações web, mobile e da infraestrutura de TI. O teste de segurança, uma das expertises da Claranet Solution, é também conhecido como teste de penetração.

Nele, são simulados diferentes tipos ataques cibernéticos contra o sistema do computador do cliente. Com isso, o objetivo é verificar se há vulnerabilidades exploráveis e que necessitam de melhorias.

No contexto da segurança de aplicações da Web, o teste de penetração é muito usado para aumentar um firewall de aplicação da Web (WAF) .

Os insights fornecidos pelo pentest podem ser usados ​​para ajustar as políticas de segurança do WAF e corrigir as vulnerabilidades detectadas.

Saiba mais sobre essa tecnologia neste artigo da Claranet, especialista em Testes de penetração em conformidade com o CREST.

Etapas do Pentest

O Pentest pode ser dividido em cinco etapas: planejamento e reconhecimento, digitalização, acesso, manutenção do acesso e análise.

Vamos conhecer um pouco mais sobre cada uma dessas etapas:

  • Planejamento e reconhecimento: nesta etapa, cabe definir o escopo e os objetivos do teste. Incluindo os sistemas a serem abordados e os métodos de teste a serem usados;
  • Digitalização: o próximo passo é entender como a aplicação alvo responderá a várias tentativas de invasão. Isso geralmente é feito com base em análises estáticas e análises dinâmicas;
  • Acesso: este estágio usa ataques a aplicações da Web, como scripts entre sites, injeção de SQL e backdoors, para descobrir as vulnerabilidades de um alvo;
  • Manutenção do acesso: nesta fase, é necessário verificar se a vulnerabilidade pode ser usada para alcançar uma presença persistente no sistema explorado.
  • Análise: os resultados do teste de penetração são compilados em um relatório. São detalhados dados confidenciais acessados, vulnerabilidades específicas, dentre outros aspectos.

Métodos de realização do Pentest

Teste externo

Os testes de segurança externo dão foco nos ativos de uma empresa que são visíveis na internet.

Por exemplo, a própria aplicação da web, o site da empresa e os servidores de e-mail e de nome de domínio (DNS). O objetivo é obter acesso e extrair dados valiosos.

Teste interno

Em um teste de segurança interno, um testador com acesso a uma aplicação por trás de seu firewall simula um ataque de um usuário mal-intencionado.

Esse tipo de teste simula um cenário no qual um funcionário teve seu acesso hackeado devido a um ataque de phishing.

Teste cego

Em um teste de segurança cego, um testador recebe apenas o nome da empresa que está sendo segmentada.

Isso dá à equipe de segurança uma visão - em tempo real - de como um ataque real em uma aplicação ocorreria.

Teste cego duplo

Em um teste de segurança duplo cego, não há conhecimento prévio do ataque simulado. Como no mundo real, os testadores não têm tempo hábil para reforçar suas defesas antes de uma tentativa de violação.

Teste direcionado

Nesse cenário, tanto o testador quanto o pessoal de segurança trabalham juntos e se avaliam.

Este é um exercício de treinamento valioso, que fornece feedback em tempo real - do ponto de vista de um hacker - às equipes de TI.

Pentest realizado pela Claranet

Definir os alvos e os modelos de simulação de ataque garantem e eficiência dos testes de segurançarealizados pela Claranet.

Nossos consultores atuam em ampla colaboração com as equipes de Ti internas dos clientes. Desse modo, as ações permanecem alinhadas no que diz respeito às ameaças externas.

Nós, da Claranet, realizamos testes de segurança contínuos em aplicações Web, aplicativos Mobile, além de testes de infraestrutura, impedindo a ação dos hackers.

Fonte: Assessoria



NOTÍCIAS RELACIONADAS
24/04/2019
Métodos Híbridos para a gestão de projetos: Uma abordagem prática [Síntese Consultoria]
24/04/2019
EDP lança programa de aceleração global para startups do setor de energia [EDP]
23/04/2019
Investir e viver em Portugal [Global Trust]
23/04/2019
Livro sobre os portugueses e o tropeirismo nos séculos XVI e XVII no Brasil [Essential Idea]
23/04/2019
EDP orienta sobre riscos com a rede de energia ao construir ou reformar [EDP]
23/04/2019
Perdão de dívida:Não incidência do PIS e da COFINS [Gaia, Silva, Gaede Advogados]