Aqui no blog da Vantico, você já viu várias explicações sobre o Pentest, como ele funciona, sua importância e outras informações técnicas sobre os Testes de Intrusão.
Agora, chegou a hora de você conferir, na prática, como é um Pentest da Vantico! Neste artigo, iremos apresentar o case de um teste real executado por nós.
Pentest PCI DSS Compliance
Uma fintech procurou a Vantico precisando executar um Pentest direcionado para o compliance PCI DSS: um padrão de segurança para empresas do ramo financeiro que lidam com pagamentos com cartões de crédito, especialmente Visa e Mastercard.
Portanto, a empresa precisa garantir que estava com os ativos protegidos de acordo com as diretrizes deste compliance.
Principais desafios
Todo Pentest traz desafios consigo, ligados ao modelo de negócio de cada empresa e suas particularidades técnicas.
Negócios: na parte de negócios, o principal desafio foi realizar o Pentest com agilidade e precisão, para que as particularidades do PCI DSS fossem verificadas.
Técnicos: da perspectiva técnica, foi necessário focar nos requisitos técnicos exigidos pelo compliance PCI DSS.
Metodologias utilizadas
O teste foi executado na principal aplicação web da fintech. Para isso, nossos pentesters utilizaram as seguintes metodologias:
_Penetration Testing Execution Standard
_OWASP Testing Guide
_Open Source Security Testing Methodology Manual
_Information Systems Security Assessment Framework
_A Web Application Hacker’s Methodology
_SANS 25 Security Threats
Imagem: Metodologias utilizadas pela Vantico no Pentest PCI DSS Compliance.
Planejamento
A etapa seguinte foi a definição do escopo do projeto. Por ser voltado ao compliance PCI DSS, o teste foi executado com 1 semana de duração, de forma que o cliente tivesse tempo para fazer as correções necessárias.
O planejamento ficou estabelecido em 8 passos:
- Montar o escopo do projeto, de acordo com as necessidades passadas pelo cliente e particularidades do ativo
- Mapear a aplicação e levantar os dados relevantes para o teste
- Criar a modelagem de ameaças do cliente
- Definir e analisar as principais vulnerabilidades
- Explorar as aplicações determinadas pelo cliente
- Comprometer o servidor
- Finalizar a execução do teste e enviar os resultados para o cliente
- Iniciar a remediação por parte da fintech, de acordo com as orientações de nossos pentesters, para adequar-se ao PCI DSS.
Imagem: Escopo utilizado pela Vantico no Pentest PCI DSS Compliance.
Vulnerabilidades encontradas
Ao final do teste, haviam sido encontradas várias vulnerabilidades, entre críticas e altas. Entre as principais ameaças identificadas estavam:
- IDOR: essa vulnerabilidade significa que, dentro da aplicação web, dados e objetos que serão enviados aos usuários podem ser alterados por pessoas que não possuem permissão para tal.
- Falha em lógica de negócios: a lógica de negócios é a descrição de como o usuário interage com a aplicação, e quais comandos serão executados no processo. Sem ela, a usabilidade e a segurança tornam-se falhas.
- Ausência de boas práticas de hardening: o hardening representa um conjunto de ferramentas, ações e técnicas, que podem reduzir as vulnerabilidades de um ativo. Sem elas, o negócio se torna ainda mais vulnerável.
Durante e após a identificação das falhas de segurança, foram feitas as seguintes entregas à fintech:
- Atualizações em tempo real sobre o andamento do projeto e as vulnerabilidades dentro da plataforma;
- Comentários e recomendações da equipe da Vantico, com orientações para o time de desenvolvimento da empresa que executará as correções;
Ao final do teste, a empresa conseguiu realizar todas as correções indicadas, sendo aprovada.
Benefícios
Portanto, após a finalização do Pentest, a Vantico possibilitou os seguintes benefícios:
- Gerar credibilidade ao estar de acordo com o PCI DSS;
- Entregar evidências para aprovação no PCI DSS;
- Reduzir suas chances de vazamentos de dados sensíveis;
- Reduzir suas chances de danos à reputação da marca;
- Evitar possíveis perdas financeiras.
Imagem: Benefícios trazidos pela execução do Pentest PCI DSS Compliance.
Conclusão
O Pentest é essencial para a aprovação no PCI DSS. Portanto, é essencial contar com um fornecedor de qualidade, especialista neste tipo de compliance.
Precisa executar um Pentest para PCI DSS? Clique aqui para falar conosco.
Siga-nos nas redes sociais para acompanhar nossos conteúdos.