testes de invasão
DESCRIPTION
testeTRANSCRIPT
Testes de Invasão
Estamos iniciando mais um projeto para o site. Como vemos diariamente em nossos posts, a carência em segurança da informação que boa parte das aplicações e sistemas tem tanto no Brasil e no mundo chega a índices absurdos. Como nos preocupamos muito com segurança, resolvemos nos dispor a ajudar. Seu sistema/site é seguro? O que acha de testar?
Veja algumas informações sobre nossos testes:
Tipos de testeBlack Box: Teste mais demorado, intrusivo e que demanda mais recursos, onde osauditores não tem nenhuma informação interna da empresa, adicionando uma camada amais de levantamento de informações. O mais semelhante a ataque real.
Gray Box: Teste intermediário, com algumas informações internas como sistemas, infraestrutura, horários, serviços, etc.
White Box: Teste mais simples e rápido, testando apenas performance do sistema eserviços, com acesso a todas as informações necessárias da empresa.
Tipos de ataqueTeste a equipe de Resposta a Incidentes: Testar a equipe de resposta a incidente,como agiriam em uma situação de ataque, como inibir estes ataques e corrigir as falhas.
Teste de Disponibilidade: Consiste em milhares de tentativas de conexão ao servidor,rede ou site da empresa para tentar esgotar os recursos do sistema.
Análise de Vulnerabilidades em Sistemas: Testar possíveis falhas nos sistemas daempresa que podem comprometer todo o ambiente.
Análise de Vulnerabilidades em Site: Testar possíveis falhas no site da empresa que
pode comprometer o próprio site e expor algum dado sensível.
Auditoria de Rede: Teste para verificar as falhas e performance da rede tanto cabeadacomo wifi.
Levantamento de Informação: Provavelmente o mais simples dos ataques, sempossíveis contatos com sistemas computacionais, apenas levantamento de informaçãocom fim de detectar o "elo mais fraco da corrente", o usuário, vazamento de informação efalhas simples como senhas fracas e facilidade de acesso a determinada informação.
Alguns outros pontos importantesPermissão por escrito: Segundo a leis 12.735/2012 e 12.737/2012 brasileiras, testesdesse porte podem ser classificados como crime virtual, por isso é extremamentenecessário um contrato onde contenha todos os termos de como funciona os testes, umadescrição bem completa destes testes, o escopo dos testes, a janela de ação casodefinida, e um termo onde apresenta a autorização de um responsável pela empresa paraexecutar os testes sem problemas.
Termo de Confidencialidade: O contra ponto do contrato, este onde os auditoresassinam se comprometendo a não divulgar os dados e resultados encontrados no testetanto de dados sensíveis como falhas encontradas e técnicas utilizadas para tal.
Escopo: Basicamente é quais testes serão feitos, em que ordem e quais sistemas eambientes podem ser ou não testados.
Janela de Ação: Nem sempre definida, mas basicamente é em qual faixa de horário ostestes podem ser executados, por exemplo, caso o cliente tenha um sistema que não podeperder performance em certo horário de pico, os testes podem ser administrados para
rodarem em outros horários de fluxo mais baixo.
E ai se interessou? Como estamos começando a prestar esses serviços profissionalmente agora, não vamos e nem é nossa intenção concorrer com empresas de segurança consagradas e famosas do Brasil. Não exigimos o que eles exigem mas também não temos ainda condições de alcançar certos pontos como essas empresas. Mas temos o básico, temos uma equipe focada e com conhecimento suficiente para testar o que for necessário, temos CNPJ e emitimos nota fiscal também caso necessário.