Case: Pentest Web para Auditoria de Fornecedores

Júlia Valim

Aqui no blog da Vantico, você já viu várias explicações sobre o Pentest, como ele funciona, sua importância e outras informações técnicas sobre os Testes de Intrusão.

Agora, chegou a hora de você conferir, na prática, como é um Pentest da Vantico! Neste artigo, iremos apresentar o case de um teste real executado por nós.

Web Pentest para Auditoria de Fornecedores

O Pentest foi executado para uma startup da área da saúde (healthtech). A empresa faz negócios com um importante banco da América Latina, cuja equipe de gestão de riscos exige a execução de um Pentest anual para todos os parceiros.

O objetivo do banco é estar de acordo com o compliance da área, além de evitar possíveis riscos.

A healthtech já faz esse Pentest com a Vantico há mais de 5 anos.

Principais desafios

Todo Pentest traz desafios consigo, ligados ao modelo de negócio de cada empresa e suas particularidades técnicas.

Negócios: um dos grandes desafios foi avaliar o nível de segurança das aplicações e tecnologias da startup com agilidade e precisão, uma vez que o resultado teria impacto direto na parceria entre a startup e o banco.

Técnicos: já da perspectiva técnica, havia a necessidade de não apenas buscar as possíveis vulnerabilidades, como também ficar atento aos detalhes ligados ao compliance.

Metodologias utilizadas

O teste foi executado em aplicações web da startup. Para isso, nossos pentesters utilizaram as seguintes metodologias:

_Penetration Testing Execution Standard

_OWASP Testing Guide

_Open Source Security Testing Methodology Manual

_Information Systems Security Assessment Framework

_A Web Application Hacker’s Methodology

_SANS 25 Security Threats

Imagem: Metodologias utilizadas pela Vantico no Pentest para Auditoria de Fornecedores.

Planejamento

A próxima etapa foi a definição do escopo. Todo o teste foi pensado para ser executado com uma semana de duração, adequando-se à agenda do cliente com seu parceiro.

O planejamento ficou estabelecido em 9 passos:

Montar o escopo do projeto, de acordo com as necessidades passadas pelo cliente e particularidades da aplicação
Mapear a aplicação e levantar os dados relevantes para o teste
Criar o modelo de ameaças do cliente
Definir e analisar as principais vulnerabilidades
Explorar as aplicações determinadas pelo cliente
Comprometer o servidor
Finalizar a execução do teste e enviar os resultados para o cliente
Iniciar da remediação por parte da startup, de acordo com as orientações de nossos pentesters, para adequar-se ao compliance.
No ano seguinte, executar novamente o teste, conforme exigido pelo parceiro.

Imagem: Escopo utilizado pela Vantico no Pentest para Auditoria de Fornecedores.

Vulnerabilidades encontradas

Ao final do teste, haviam sido encontradas várias vulnerabilidades, entre críticas e altas. Entre as principais ameaças identificadas estavam:

Roubo e manipulação de contas: as contas estavam passíveis de serem invadidas e utilizadas para fins ilícitos;
SQL Injection: poderia acontecer a manipulação de um banco de dados back-end por meio de um código SQL malicioso, permitindo o acesso a informações privadas da empresa, incluindo dados de clientes.
IDOR: a existência de objetos desprotegidos poderia fazer com que usuários tivessem acesso a outras partes da aplicação, mesmo sem autorização.

Durante e após a identificação das falhas de segurança, foram feitas as seguintes entregas à startup:

Atualizações em tempo real sobre o andamento do projeto e as vulnerabilidades dentro da plataforma;
Comentários e recomendações da equipe da Vantico, com orientações para o time de desenvolvimento da empresa que executará as correções;

Ao final do teste, a empresa conseguiu realizar todas as correções indicadas, sendo aprovada na auditoria e dando continuidade aos seus negócios com o banco.

Benefícios

Portanto, após a finalização do Pentest, a Vantico entregou os seguintes benefícios para a healthtech:

Reduzir suas chances de vazamentos de dados sensíveis;
Reduzir suas chances de danos à reputação da marca;
Evitar possíveis perdas financeiras;
Ser aprovado na auditoria e manter o contrato com o cliente.

Imagem: Benefícios do Pentest para Auditoria de Fornecedores da Vantico.

Conclusão

O Pentest é uma exigência da maioria das multinacionais, sendo uma peça necessária para auditorias.

Assim, contar com um fornecedor de Pentest de qualidade, que traz resultados eficientes e confiáveis, é fundamental para as startups e empresas que desejam dar continuidade aos seus negócios.

Precisa executar um Pentest para auditoria? Clique aqui para falar conosco.

Siga-nos nas redes sociais para acompanhar nossos conteúdos.

7 estágios do ciclo de vida do gerenciamento de vulnerabilidades

7 fatores para analisar ao escolher um fornecedor de Pentest

A importância do Pentest para APIs e como funciona o teste

5 métricas de cibersegurança que você precisa analisar

3 desafios da cibersegurança e como o PTaaS pode ajudar

A importância do pentest para as healthtechs

A evolução do pentest e 3 motivos para investir em segurança cibernética

Pentest Mobile para Android e iOS

Pentest para Fornecedores SaaS

Pentest para APIs e aplicações Web

Pentest para Auditoria de Smart Contracts

Pentest Ágil para Pequenas Aplicações

Simulação de Phishing

Revisão Segura de Código

Scan de Vulnerabilidades

Gerenciamento de Superfície de Ataque

Programa de Divulgação de Vulnerabilidades

Emulação de Adversários

Modelagem de Ameaças

Threat Intelligence

newsletter

Inside Pentesting 2024 - Tendências e Insights

Case: Pentest Web para Auditoria de Fornecedores

Júlia Valim

Web Pentest para Auditoria de Fornecedores

Principais desafios

Metodologias utilizadas

Planejamento

Vulnerabilidades encontradas

Benefícios

Conclusão

veja também

Outros conteúdos sobre Segurança Cibernética

Vamos começar algo incrível?

Empresa

Links úteis

Navegue

Conteúdos

WhatsApp

E-mail