Case: Pentest Web para Auditoria de Fornecedores

Picture of Júlia Valim

Júlia Valim

Case: Pentest para Auditoria de Fornecedores

Aqui no blog da Vantico, você já viu várias explicações sobre o Pentest, como ele funciona, sua importância e outras informações técnicas sobre os Testes de Intrusão.

Agora, chegou a hora de você conferir, na prática, como é um Pentest da Vantico! Neste artigo, iremos apresentar o case de um teste real executado por nós.

 

Web Pentest para Auditoria de Fornecedores

O Pentest foi executado para uma startup da área da saúde (healthtech). A empresa faz negócios com um importante banco da América Latina, cuja equipe de gestão de riscos exige a execução de um Pentest anual para todos os parceiros.

O objetivo do banco é estar de acordo com o compliance da área, além de evitar possíveis riscos.

A healthtech já faz esse Pentest com a Vantico há mais de 5 anos.

 

Principais desafios

Todo Pentest traz desafios consigo, ligados ao modelo de negócio de cada empresa e suas particularidades técnicas.

Negócios: um dos grandes desafios foi avaliar o nível de segurança das aplicações e tecnologias da startup com agilidade e precisão, uma vez que o resultado teria impacto direto na parceria entre a startup e o banco.

Técnicos: já da perspectiva técnica, havia a necessidade de não apenas buscar as possíveis vulnerabilidades, como também ficar atento aos detalhes ligados ao compliance.

 

Metodologias utilizadas

O teste foi executado em aplicações web da startup. Para isso, nossos pentesters utilizaram as seguintes metodologias:

_Penetration Testing Execution Standard

_OWASP Testing Guide

_Open Source Security Testing Methodology Manual

_Information Systems Security Assessment Framework

_A Web Application Hacker’s Methodology

_SANS 25 Security Threats

Metodologias utilizadas pela Vantico no Pentest Web para Auditoria de Fornecedores

Imagem: Metodologias utilizadas pela Vantico no Pentest para Auditoria de Fornecedores.

 

Planejamento

A próxima etapa foi a definição do escopo. Todo o teste foi pensado para ser executado com uma semana de duração, adequando-se à agenda do cliente com seu parceiro.

O planejamento ficou estabelecido em 9 passos:

  1. Montar o escopo do projeto, de acordo com as necessidades passadas pelo cliente e particularidades da aplicação
  2. Mapear a aplicação e levantar os dados relevantes para o teste
  3. Criar o modelo de ameaças do cliente
  4. Definir e analisar as principais vulnerabilidades
  5. Explorar as aplicações determinadas pelo cliente
  6. Comprometer o servidor
  7. Finalizar a execução do teste e enviar os resultados para o cliente
  8. Iniciar da remediação por parte da startup, de acordo com as orientações de nossos pentesters, para adequar-se ao compliance.
  9. No ano seguinte, executar novamente o teste, conforme exigido pelo parceiro.

Escopo utilizado pela Vantico no Pentest Web para Auditoria de Fornecedores.

Imagem: Escopo utilizado pela Vantico no Pentest para Auditoria de Fornecedores.

 

Vulnerabilidades encontradas

Ao final do teste, haviam sido encontradas várias vulnerabilidades, entre críticas e altas. Entre as principais ameaças identificadas estavam:

  1. Roubo e manipulação de contas: as contas estavam passíveis de serem invadidas e utilizadas para fins ilícitos;
  2. SQL Injection: poderia acontecer a manipulação de um banco de dados back-end por meio de um código SQL malicioso, permitindo o acesso a informações privadas da empresa, incluindo dados de clientes.
  3. IDOR: a existência de objetos desprotegidos poderia fazer com que usuários tivessem acesso a outras partes da aplicação, mesmo sem autorização.

 

Durante e após a identificação das falhas de segurança, foram feitas as seguintes entregas à startup:

  1. Atualizações em tempo real sobre o andamento do projeto e as vulnerabilidades dentro da plataforma;
  2. Comentários e recomendações da equipe da Vantico, com orientações para o time de desenvolvimento da empresa que executará as correções;

Ao final do teste, a empresa conseguiu realizar todas as correções indicadas, sendo aprovada na auditoria e dando continuidade aos seus negócios com o banco.

 

Benefícios

Portanto, após a finalização do Pentest, a Vantico entregou os seguintes benefícios para a healthtech:

  • Reduzir suas chances de vazamentos de dados sensíveis;
  • Reduzir suas chances de danos à reputação da marca;
  • Evitar possíveis perdas financeiras;
  • Ser aprovado na auditoria e manter o contrato com o cliente.

Benefícios do Pentest Web para Auditoria de Fornecedores da Vantico

Imagem: Benefícios do Pentest para Auditoria de Fornecedores da Vantico.

Conclusão

O Pentest é uma exigência da maioria das multinacionais, sendo uma peça necessária para auditorias.

Assim, contar com um fornecedor de Pentest de qualidade, que traz resultados eficientes e confiáveis, é fundamental para as startups e empresas que desejam dar continuidade aos seus negócios.

Precisa executar um Pentest para auditoria? Clique aqui para falar conosco.

Siga-nos nas redes sociais para acompanhar nossos conteúdos.

veja também

Outros conteúdos sobre Segurança Cibernética