Red Team
Services   (RTS)

CIPHER SERVICES > 

> Testes de invasão

A Cipher coloca sua equipe , processos e tecnologia à prova e dá a você a tranquilidade sabendo que a sua empresa está segura.

Teste de invasão é a prática de examinar um sistema de computador, rede ou aplicativo para encontrar vulnerabilidades que um invasor poderia explorar. Os ativos dentro da rede de uma empresa devem ser testados regularmente, utilizando cenários do mundo real que emulam as ações de um invasor externo e interno.
O número de pontos de entrada nas redes corporativas está aumentando, muitas vezes resultado do crescimento da empresa e à incorporação de novas tecnologias. Muitas empresas são obrigadas a realizar testes de invasão pelo menos uma vez por ano para ficar em conformidade com os requisitos do setor.
Desde 2000, a Cipher ajuda empresas públicas e privadas em todo o mundo a se manterem seguras. Nossa equipe de hackers éticos é experiente e treinada nas ferramentas mais recentes e técnicas avançadas utilizadas pelos invasores. Utilizamos os melhores e mais conhecidos frameworks e metodologias do mercado, como NIST SP 800-115, um guia técnico para testes e avaliações em segurança da informação e OWASP, o Projeto Aberto de Segurança em Aplicações Web.
A Cipher emula com bastante realismo cenários de ataque sofisticados que atingem as empresas. Os resultados de cada teste de invasão realizado pela Cipher são registrados em um relatório detalhado e prático sobre os sistemas e redes identificadas, que também inclui o que foi detectado nas invasões e recomendações táticas e estratégicas.

Os testes de invasão da Cipher são:

Adaptados às suas necessidades específicas

A Cipher realiza testes do tipo caixa branca, caixa cinza e caixa preta.

Cenários diferentes exigem testes de invasão diferentes. Nos testes de invasão do tipo caixa preta, o testador não tem nenhuma informação sobre o sistema. Nos testes de caixa cinza, eles têm algumas informações. Já nos testes da caixa branca eles têm senhas e outros itens para obter acesso. Em alguns casos, as áreas para teste também estarão inacessíveis. Os especialistas da Cipher consultarão sua empresa para determinar o escopo, para atingir seus objetivos.

Cenários do “mundo real”

Os hackers éticos da Cipher pensam como o inimigo.

Nossa equipe de especialistas faz os ataques, simulando cada fase da cadeia do delito cibernético. O objetivo do exercício é ver como os defensores respondem. Os hackers éticos começam fazendo o reconhecimento e passam para a infiltração e exploração. Eles usam as mesmas ferramentas que os hackers maliciosos reais. A caixa de ferramentas inclui kits conhecidos como Kali Linux, Metasploit e outras personalizadas, especiais para o trabalho em questão. A engenharia social também pode entrar no jogo para ver como os membros da sua equipe reagem.

Importante para a conformidade

O serviço de testes de invasão da Cipher permite que você cumpra as diretrizes de conformidade.

A importância dos testes de invasão é reconhecida por empresas que valorizam a segurança cibernética. Por exemplo, a comprovação de conformidade com o setor de pagamentos por cartão (PCI) envolve a realização de um teste de invasão a cada três meses. Quando fazemos o teste, prestamos muita atenção às diretrizes e critérios envolvidos. Manter a conformidade com as normas e cumprir a legislação é importante para manter a reputação da marca e ter operações ininterruptas.

Teste de invasão para aplicativos móveis

A Cipher também pode testar a segurança dos seus aplicativos móveis.

À medida que as redes se expandem e novos softwares são desenvolvidos, aumenta o número de pontos de entrada. O uso de aplicativos móveis disparou na última década. É fundamental garantir a segurança destes aplicativos da sua empresa em sistemas operacionais como o iOS e o Android. Pode haver uma falsa sensação de segurança de que os aplicativos são mais seguros do que os sites ou outras áreas. Podemos fazer os testes em diferentes dispositivos e cenários para garantir que não haja vazamento de dados e que o sistema esteja seguro.

Plano de ação para melhorar

A Cipher prepara um relatório abrangente que pode ser usado para conformidade e para melhorar.

O relatório que compilamos após o teste de invasão inclui:

  • Análise do escopo
  • Testes realizados
  • Vulnerabilidades detectadas
  • Vulnerabilidades exploradas
  • Pontos fortes encontrados
  • Recomendações para correção dos problemas detectados

Além de um relatório, os especialistas da Cipher estarão à disposição para responder a qualquer pergunta sobre os resultados e descobertas.

Podcast
Episódio: Teste de Invasão

Ouça neste podcast um dos nossos testadores sênior de invasão dar algumas dicas de especialista no assunto.

O episódio explica a diferença entre uma avaliação de vulnerabilidade e um teste de invasão, fala sobre os componentes do Cyber Kill Chain, phishing e explorações de servidores web, aborda técnicas e táticas de ataque notáveis e termina descrevendo como são os testes de segurança dos aplicativos.