NÍVEL 2
NÍVEL 2
h-Cyber Intrusion
Serviço de Pentest & Pentest as a Service

O serviço de Pentest & Pentest as a Service consiste na execução de um conjunto de técnicas de ethical hacking, de forma a identificar vulnerabilidades e falhas de configuração de qualquer equipamento IP ligado na rede de dados da organização.


Características

Este serviço é definido pelos seguintes elementos:

  • Análise de Vulnerabilidades: este serviço recorre a processos automatizados, a partir da utilização de softwares para encontrar pontos de falha, que são pontos que podem ser utilizados para acessos indevidos a equipamentos, redes ou sistemas de informação da organização. Para a execução destes testes, a Hardsecure faz uso de scanners ativos e os passivos, de forma a realizar a análise
    de vulnerabilidades de forma continua ou pontual/programada. Os resultados obtidos identificam diversos tipos de vulnerabilidades, podendo conter falsos positivos, carecendo sempre de uma análise técnica manual para sua validação.

 

  • Teste de Intrusão: após efetuado o levantamento de toda a informação de forma passiva e ativa, a Hardsecure efetua testes customizados às tecnologias identificadas nos ativos da organização, como vulnerabilidades Cross Site Scripting (XSS), Blind Structured Query Language Injection (Blind SQLi), SQLi, vulnerabilidades em Procedural Language/Structured Query Language (PL/SQL), análise de vulnerabilidades Remote File Inclusion (RFI), Cookies, Javascript, Applets, Código Flash, Certificados Digitais, Fuzzing (IP, TCP, UDP, cookies, forms, variáveis via URL encoding) entre outras.

 

O âmbito e objeto dos testes de intrusão serão definidos de acordo com o que a entidade pretenda avaliar e alguns dos alvos dos testes de intrusão poderão ser os abaixo identificados:

 

  • Red Team: Fornecimento de recursos para avaliar a segurança de sistemas ou redes informáticas através da simulação de ataques de hackers, em ambientes controlados/laboratoriais, dado a sua execução ser muito intrusiva e exploratória.

 

  • Aplicação Web/Auditoria de segurança a bases de dados: Disponibilização de recursos para avaliar as aplicações Web expostas na intranet/Internet, configurações de segurança, vulnerabilidades e más práticas de codificação, bem como identificar deficiências de segurança nas bases de dados.

 

  • Campanhas de simulação de Phishing/Engenharia Social: Disponibilização de recursos para a configuração de campanhas de simulação de phishing e a sua execução. Os resultados e recomendações de remediação são fornecidos com os relatórios das campanhas.

 

  • Avaliação de Vulnerabilidade Mobile: Grande parte das vulnerabilidades nas aplicações móveis (iOS & Android) identificadas pela Hardsecure, tendem a ser baseadas em Business Logic, o que as torna difíceis de detetar por scanners automáticos. No entanto, a Hardsecure efetua análise manual, com recurso a metodologias e frameworks como OWASP Mobile Top 10, iOS Application Security Testing Cheat Sheet, OASAM - Open Android Security Assessment Methodology, entre outras. As nossas metodologias são orientadas para sistemas operativos específicos, apresentando passos concretos que os pentesters seguem de forma a conseguirem resultados reais.

 

  • Teste de intrusão em redes wireless: Um fator importante relacionado com a segurança de redes sem fio é o facto dos ataques operacionalizados pela Hardsecure dentro destas redes poderem criar domínios de colisão. Desta forma, é possível estabelecer ligações com o mesmo ponto de tráfego do sistema (APs, routers wireless, equipamentos de segurança com sistemas wireless embutidos) o qual se deseja atacar. Ataques como Man-in-the-Middle, ARP Poisoning, MAC Spoofing, Beacon Frames, Rogue WLANs, eavesdropping entre outras abordagens, permitem obter uma posição favorável, pois podem ser executados pedidos extremos e comprometer o sistema de informação da instituição.

Valor Acrescentado

  • Fatores diferenciadores na forma como executamos a análise de vulnerabilidades e injeção de incidentes / testes de intrusão (Pentest):

 

  • Desenvolvemos exploits, criamos novos CVEs (alguns com a respetiva publicação), de acordo com o ambiente de cada organização.

 

  • Testamos todos os sistemas & redes (infraestruturas, ATMs & POS, mobile, aplicações web, bases de dados, wireless, perímetro).

 

  • Customizamos os testes, de acordo com o ambiente informático da organização, validamos (manualmente) novos exploits/CVEs, que possam afetar diretamente o cliente.

 

  • Mostramos tecnicamente aos nossos clientes como fazemos, para promover a troca de experiências e conhecimentos.

 

  • Combinamos vulnerabilidades de baixo risco, de forma a escalar privilégios dentro de uma infraestrutura.

 

  • Utilizamos várias fontes de informação (OSINT, MITRE, CERTs,…) que utilizamos numa framework integrada, garantindo um vasto leque de ações.

 

  • Utilizamos várias metodologias (black box, grey box ou white box) e frameworks (PTES, OWASP, OWF, PTF, OSSTMM, W3AF,…).

 

  • Integramos os nossos resultados (logs & eventos) com SIEMs, independentemente da tecnologia utilizada (temos conectores/parsers desenvolvidos para o efeito).

 

  • Serviço realizado desde 2014, o que nos dá uma vasta experiência na realização deste tipo de serviços.

 

Entregamos relatórios personalizados, com o detalhe da informação que foi possível recolher via meios OSINT, risco geral da instituição e detalhe de cada vulnerabilidade, caracterizada da seguinte forma:

 

  • Descrição da vulnerabilidade;
  • Identificador;
  • Impacto;
  • Criticidade;
  • CVSS Score;
  • Possibilidade de exploração;
  • Recomendação de mitigação/correção;
  • Sistemas afetados;
  • Nível de Risco;
  • Evidência, de forma a validar tecnicamente que não é um falso positivo.

 

O serviço pode ser realizado sob diferentes abordagens, nomeadamente:

 

  • One Time Shot.
  • Continuo (entregas de relatórios semanalmente, mensalmente ou trimestralmente).
  • Execução ad hoc, de acordo com as necessidades do nosso cliente.
Procura Mais Informações?
Descarregue a Ficha Técnica do Serviço ou preencha o formulário.
Solicitar Proposta
Entraremos em contacto assim que possível.
* Campo Obrigatório
Como podemos ajudar?
Fale Connosco