Compliance: Pentest para auditoria de fornecedores

Picture of Kaique Bonato

Kaique Bonato

pentest para auditoria, compliance

A auditoria, também chamada de compliance, é uma análise meticulosa e sistemática daquilo que é realizado por uma organização, verificando se estão se fazendo cumprir as regras do setor e dos parceiros.

Nesse contexto, já que a tecnologia é um pilar fundamental para a maioria das empresas, a cibersegurança da instituição é uma das áreas analisadas no compliance ou auditoria – e a principal forma de averiguar isso é através dos testes de intrusão.

O pentest para auditoria contribui para que a empresa seja aprovada na auditoria ou compliance, e receba as certificações que busca – em vários casos, ele é um requisito obrigatório.

Para demonstrar a importância do pentest para auditoria, trouxemos um case de sucesso da Vantico.

Pentest para auditoria realizado pela Vantico

Esse pentest foi realizado para uma startup da área da saúde (healtech), que faz negócios com um importante banco da América Latina.

Esse banco, através de sua equipe de gestão de riscos, exige a realização de um pentest para auditoria de todos os seus parceiros. O objetivo é verificar se seus fornecedores estão de acordo com seus requisitos e com o compliance da área, evitando qualquer possível risco.

Essa startup realiza o pentest com a Vantico há mais de 3 anos.

Como foi realizado?

O teste foi feito em 1 semana, e foram analisados todos os ativos da startup. Nossos pentesters tinham conhecimento e acesso parcial a eles – esse tipo de teste é chamado de graybox – uma combinação entre blackbox e whitebox.

O projeto foi estruturado da seguinte maneira:

  1. Montar o escopo do projeto
  2. Mapear a aplicação e levantar dados
  3. Criar o modelo de ameaças
  4. Definir e analisar vulnerabilidades
  5. Explorar as aplicações
  6. Comprometer o servidor
  7. Finalizar o teste
  8. Startup inicia a remediação
  9. Realizar o teste novamente após 12 meses

Desde o início do projeto, o cliente já podia verificar o andamento do teste e as vulnerabilidades que estavam sendo encontradas, através do nosso dashboard.

Assim, a equipe de segurança conseguia iniciar as correções conforme elas eram encontradas, uma vez que a plataforma era atualizada em tempo real.

Para a realização do pentest, utilizamos as seguintes metodologias:

  • Penetration Testing Execution Standard
  • OWASP Testing Guide
  • Open Source Security Testing Methodology Manual
  • Information Systems Security Assessment Framework
  • A Web Application Hacker’s Methodology
  • SANS 25 Security Threats

O que foi encontrado?

Foram encontradas diversas vulnerabilidades nas aplicações da startup. Entre elas, identificamos 3 ameaças críticas, ou seja, que representavam grande perigo para a organização, sendo elas:

– Roubo e manipulação de contas

As falhas de segurança encontradas deixavam as contas dos clientes desprotegidas, ou seja, estavam vulneráveis ao roubo e manipulação no caso de uma invasão maliciosa.

– SQL injection

Através de um código SQL, ou SQL injection, um invasor pode manipular um banco de dados back-end e acessar informações privadas da empresa e de seus clientes.

– IDOR

Insecure Direct Object Reference (IDOR), ou referência a um objeto, é uma vulnerabilidade em que existe um objeto desprotegido. Dessa forma, um usuário pode acessar qualquer parte da aplicação, mesmo que não tenha permissão para isso.

Conclusão

Ao final do teste, a startup estava munida de todas as informações necessárias para a remediação das vulnerabilidades encontradas, mitigando os riscos identificados, para que fosse aprovada na auditoria e continuasse os seus negócios com o banco.

Além disso, também pôde reduzir a possibilidade de vazamento de dados e informações confidenciais da empresa, evitar roubo de contas dos clientes, e impedir perdas financeiras e de reputação.

Tudo isso foi possível graças ao nosso modelo de Pentest as a Service, que permite às empresas ter mais agilidade, economia, transparência e precisão em seus testes. Conheça a Vantico e saiba mais.

veja também

Outros conteúdos sobre Segurança Cibernética