Teste de Penetração ou PenTest

O objetivo do teste de penetração executado pela SlackSpace é executar um teste externo do tipo teste cego ou blackbox a fim de identificar, testar e explorar falhas e vulnerabilidades eventualmente existentes no ambiente testado que possam ser explorados por terceiro de modo a causar prejuízos ao negócio ou à imagem do cliente.

No teste cego ou do tipo blackbox a SlackSpace não receberá maiores informações da empresa contratante, não será informada sobre serviços, tecnologias, topologias e endereçamento de redes… também não receberá acesso interno e nem privilegiado, a ideia é simular um atacante em qualquer ponto da Internet.

Ao término dos trabalhos serão entregues: um relatório executivo e um relatório técnico.

  • No relatório executivo serão comunicados o escopo, os objetivos do teste, bem como os principais fatos encontrados, incluindo a exposição das principais falhas identificadas e exploradas com a tradução de eventual impacto gerencial no negócio do cliente. Este relatório apresenta, de forma estratégica, uma análise executiva do ambiente atual e o que precisa ser feito para se mitigar os principais pontos encontrados diminuindo a exposição do negócio do Cliente na Internet.

  • No relatório técnico serão apresentados todos os detalhes técnicos envolvidos, incluindo: as partes envolvidas; ativos identificados; vulnerabilidades identificadas, testadas e exploradas; nível de exposição; definição de criticidades dos riscos; eventuais impactos; bem como macro orientação técnica do que deve ser feito para a correção das vulnerabilidades encontradas.

Não estão incluídos nos resultados a serem entregues: a correção das vulnerabilidades encontradas; orientações detalhadas; ou consultoria para a correção das falhas e vulnerabilidades identificadas. Tal serviço quando requisitado poderá ser atendido como um projeto à parte.

Todos os ativos acessíveis externamente pela Internet dentro do escopo contratado serão levantados e examinados; suas vulnerabilidades serão identificadas e eventualmente exploradas. Estes ativos incluem: servidores diversos incluindo os de e-mail, páginas Web, aplicações, resolução de nomes, validação e outros; elementos de proteção como sistemas antivírus, proxies, firewalls, fornecedores de VPN; equipamentos de rede; sistemas de backup; equipamentos de redes sem fios; equipamentos de telecomunicações e outros que eventualmente possam ser acessados por meio da Internet.

Todo o trabalho será executado remotamente, a partir das dependências da SlackSpace, em dias e horários variados, respeitando as datas de início e término do projeto conforme contrato a ser celebrado entre as partes.

Metodologia empregada:

A SlackSpace adota as melhores práticas internacionais para testes de penetração, inclusive adota o PTES (Penetration Test Execution Standard). O referido serviço será executado em 6 fases a saber:

  1. Interações iniciais e contratação: Nesta fase são definidos: os contatos; o escopo; o prazo; as datas e horários de início e término do projeto; o valor acordado e contratado; e outros detalhes pertinentes. Nesta etapa serão elaborados o questionário e a proposta técnica e comercial. O contrato de prestação de serviços e o termo de não divulgação de informações confidencias serão celebrados permitindo o início dos trabalhos.
  1. Coleta de informações: Nesta fase será executada a coleta passiva e ativa de informações sobre a empresa, seu negócio e seu parque tecnológico; fontes públicas serão utilizadas por meio de técnicas automatizadas e manuais. Também será feito mapeamento dos ativos da empresa que compõe o escopo contratado e serão executadas diversas ferramentas contra os ativos de tecnologia a fim de se identificar todas as informações necessárias à execução das fases subsequentes. Quaisquer informações consideradas privadas que forem encontradas disponibilizadas publicamente serão comunicadas ao Cliente.

  1. Análise de vulnerabilidades: Nesta fase os testes de vulnerabilidades serão propriamente executados, utilizando-se as informações obtidas na fase anterior. Os ativos serão testados e ferramentas profissionais e especializadas serão executados a fim de se obter uma relação de vulnerabilidades para cada ativo; a confirmação das vulnerabilidades identificadas também será executada ainda nesta etapa.

  1. Exploração de vulnerabilidades: Nesta fase ocorrerá a tentativa de exploração das vulnerabilidades identificadas na fase anterior, ou parte delas, de modo que poderá ocorrer a penetração propriamente dita. É nesta etapa que são executados os ataques ou as invasões que podem permitir que informações sejam diretamente manipulada, copiadas ou apagadas; que privilégios sejam escalados; que sistemas sejam acessados sem autorização ou em nível maior do que o definido; que o serviço possa ser paralisado…

  1. Atos após explorações: Nesta etapa procura-se definir o valor do ativo comprometido. É também nesta etapa que se faz os devidos registros de alterações feitas; após os devidos registros e ações de intrusão, as alterações que puderem ser desfeitas serão desfeitas e devidamente registradas.

  1. Relatórios: Nesta fase todos os dados coletados, todas as informações geradas serão organizadas e conferidas e os relatórios serão redigidos, ilustrados e adequados ao público-alvo.

 

Em todas as fases, equipamentos, sistemas e aplicativos adequados e reconhecidos internacionalmente serão utilizados pela SlackSpace na execução dos testes de penetração.

A SlackSpace assegura total sigilo e confidencialidade acerca dos dados e informações sigilosas a que tiver acesso antes e durante os testes de penetração e celebrará Termo de Não Divulgação de Informações com o cliente juntamente com o Contrato de Prestação de Serviços.