Solução sob medida para sua organização. Clavis Segurança da Informação.


Auditoria de Segurança em Aplicações Web

O serviço Auditoria de Segurança em Aplicação Web visa identificar ameaças e vulnerabilidades através da realização de ações que simulem ataques aos ativos em questão. A análise consiste na varredura do site em busca de vulnerabilidades conhecidas e da verificação da existência de boas práticas de segurança no desenvolvimento e manutenção do site.

Auditoria de Segurança em Aplicações Web - Descubra ameaças e vulnerabilidades através de simulações de ataque em aplicações. - Saiba mais +


Auditoria Teste de Invasão

Testes de invasão (penetration tests, ou simplesmente pentests) são simulações controladas de um ataque real a uma rede, sistema ou ferramenta, visando avaliar a segurança do mesmo. O serviço de Auditoria Teste de Invasão visa identificar ameaças e vulnerabilidades através da realização de ações que simulem ataques aos ativos em questão.

Auditoria Teste de Invasão - Descubra a resistência dos seus ativos a auditorias teste de invasão - Saiba mais +


Academia Clavis

Setor de treinamentos da Clavis, oferta treinamentos especializados em segurança da informação. Com professores qualificados, renomadas parcerias internacionais e metodologia eficiente, os treinamentos da Academia Clavis destacam-se por fazer com que o aluno coloque em prática em seu ambiente de trabalho tudo o que foi aprendido dentro de sala de aula.

Cursos Presenciais em Si - Cursos práticos e certificações internacionais é na Academia Clavis Segurança da Informação - Saiba mais +
Seta Clavis Segurança da InformaçãoSoluções » Teste de Invasão em Redes e Sistemas

Teste de Invasão em Redes e Sistemas

Teste de Invasão

Objetivo

O serviço de Auditoria Teste de Invasão visa identificar ameaças e vulnerabilidades através da realização de simulações de ataque aos ativos em questão.

Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas from Clavis Segurança da Informação

Detalhamento do Serviço

Antes de qualquer atividade a ser realizada, deverá ser assinado um acordo formal de realização do serviço entre as partes envolvidas, a fim de eximir a contratada de responsabilidades legais associadas à quaisquer problemas ou complicações oriundos da execução do serviço solicitado. Será também assinado um Acordo de Confidencialidade (Non-Disclosure Agreement - NDA) entre as partes, para proteger o Cliente contra a divulgação não autorizada de quaisquer resultados ou dados identificados pela contratada durante a realização do serviço.

Testes de invasão (penetration tests, ou simplesmente pentests) são simulações controladas de um ataque real a uma rede, sistema ou ferramenta, visando avaliar a segurança do mesmo. Durante o processo, é feita uma análise ativa de vulnerabilidades, fraquezas e deficiências técnicas da atual infra-estrutura física e lógica que hospeda os objetos em questão (como sistemas e localidades acessíveis ao público externo e interno de uma empresa), com destaque para avaliações de disponibilidade, integridade e confidencialidade das Informações do Cliente.

O serviço realizado pela Clavis Segurança da Informação segue os padrões internacionais de Testes de Invasão, como NIST 800-115, OWASP, OSSTMM e ISSAF/PTF, além de utilizar ferramentas exclusivas, sempre com o objetivo de garantir a maior qualidade e confiabilidade possíveis para o serviço, realizado com total transparência junto ao Cliente.

Detalhamento das Atividades

O serviço consiste na realização de uma auditoria Teste de Invasão na infra-estrutura do cliente, seja remoto ou presencial, objetivando prover informações sobre vulnerabilidades e brechas que possam ser exploradas por usuários maliciosos. Os testes podem ser originados interna ou externamente e os auditores podem ou não ter acesso a informações sobre a estrutura (definição se o teste será do tipo "caixa preta" ou "caixa branca"). Testes de Negação de Serviço podem também ser realizados, deste que estejam dentro do escopo do serviço contratado pelo cliente.

Os diferentes testes realizados serão modelados em árvores de ataque, de acordo com dados identificados antes da etapa de invasão e em conformidade com perfil e limitações acordados. A ordem de ataques seguirá o caminho de menor resistência a partir de pesos de dificuldade definidos na árvore associada.

Ao longo da execução do serviço, toda e qualquer questão crítica identificada será imediatamente repassada ao Cliente para garantir que o mesmo esteja ciente do problema. Neste caso, a gravidade da questão apresentada será discutida com o Cliente e mecanismos de contorno ou correções serão apresentados.

Com o término do serviço, toda informação criada ou armazenada nos objetos-alvo dos testes é removida, de modo a deixar o sistema o mais próximo do estado em que foi apresentado antes do serviço.

Toda atividade realizada será registrada com data/hora e IP de origem e devidamente detalhada no relatório, assim como a listagem de todas as ferramentas e metodologias utilizadas.

Segue abaixo uma lista não exaustiva das técnicas que serão utilizadas:

Sondagem e Mapeamento
Consiste na varredura por hosts ativos, mapeamento de topologia e regras de firewall e detecção de serviços em execução.

Força Bruta
Visa detectar serviços de autenticação ou controle de acesso vulneráveis a ataques de tentativa e erro de senhas. Analisa a qualidade da política de senha e de sua implementação.

Análise de Tráfego de rede
Verifica se é possível identificar e obter informações sensíveis através da manipulação de tráfego de rede.

Avaliação de Servidores Web
Busca as principais vulnerabilidades em serviços deste tipo. Manipula requisições de modo a tentar comprometer a segurança de serviços web.

Identificação e Exploração de Vulnerabilidades
Lança códigos malicosos visando explorar as vulnerabilidades identificadas.

Produtos Gerados

Como produto final, o cliente receberá um relatório técnico detalhado e uma apresentação executiva sobre os testes executados e seus resultados, assim como recomendações de medidas de correção.

Além dos produtos listados acima, também farão parte do escopo dos serviços a serem executados pela CLAVIS os seguintes itens:

  • O registro formal de todas as reuniões, entrevistas e decisões tomadas ao longo do projeto.
  • Atualização de toda a documentação do projeto ao longo de sua execução, conforme padrão do Cliente ou proposto pela Clavis.
  • Utilização de metodologias e ferramentas reconhecidas internacionalmente.
  • Acesso a canal de comunicação dedicado operando em regime de sobre-aviso 24x7x365 para o tratamento de quaisquer eventualidades ou necessidade de contato.

Entre em contato conosco agora e solicite um orçamento personalizado para sua demanda.

Fale Conosco Fale Conosco | Mapa do site Mapa do Site | Feed RSS Clavis Segurança da Informação RSS | Twitter Clavis Segurança da Informação Twitter | SlideShare | Facebook | Youtube | Linkedin | Webinar
A Empresa | Soluções | Cursos a Distância | Treinamento Presencial | Newsletter | Clientes | Blog Corporativo


Praia do Flamengo, 66 - Bloco B - salas 1110, 1111 e 1112 - Flamengo
Rio de Janeiro - RJ - Brasil - CEP 22210-030
+55 (21) 2561-0867 | +55 (21) 2210-6061 | +55 (21) 99696-5598

Av. Paulista, 1765 - Conj. 72 - sala 726 - Bela Vista
São Paulo - SP - Brasil - CEP 01311-930
+55 (11) 2450-7805
Imagens de solução
Sob a Licença Creative Commons - Alguns direitos reservados