12 Dúvidas Mais Comuns sobre Pentest da Vantico

Você sabe o que está contratando ao solicitar um Pentest (teste de intrusão) com a Vantico?

Até mesmo os profissionais experientes têm dúvidas a respeito de detalhes mais técnicos, como precificação, metodologias, escopo, diferenciais, entre outros.

Pensando nisso, desenvolvemos esse artigo para responder as 12 perguntas mais comuns sobre o nosso pentest.

Se sua empresa está avaliando fornecedores ou pretende fortalecer a segurança ofensiva, esse conteúdo é para você.

 

1. Como funciona a precificação de um Pentest na Vantico?

A precificação de um Pentest depende de múltiplos fatores, como:

• O escopo (infraestrutura, aplicação, etc.)
• Tipo de abordagem (Black Box, White Box, Gray Box)
• Superfície de ataque
• Entre outros

Em relação ao preço da Vantico, comparando com outros concorrentes no mercado:

• Consultorias de Pentest (Pentest tradicional): em comparação ao que entrega e ao tempo de duração do teste, o serviço de Pentest as a Service da Vantico é mais vantajoso.
• Scans automatizados: a Vantico tem valores mais altos, porém o trabalho é feito de forma mais detalhada e manual, e os resultados têm maior confiabilidade.
• Outras empresas de PTaaS: a Vantico tem um valor intermediário quando comparamos com a média do mercado, mas trazendo vantagens como maior agilidade no teste, plataforma própria, modelo de créditos e variedade de serviços.

 

2. Qual a diferença entre Pentest e Red Team?

O Pentest é um teste de segurança com escopo definido, que simula ataques cibernéticos visando identificar vulnerabilidades que poderiam ser exploradas. É uma avaliação profunda e com documentação completa.

Já o Red Team simula ataques reais de forma oculta, muito usado para avaliar a capacidade de detecção e resposta do time de segurança e da organização.

Para escolher a melhor opção, é preciso primeiro analisar os objetivos da empresa.

 

3. O que a empresa precisa fornecer antes de iniciar um Pentest com a Vantico?

Antes do início do teste, a Vantico solicita que a empresa:

• Forneça dados contratuais e confirme o pagamento
• Valide o escopo
• Forneça credenciais de acesso, se necessário
• Forneça acesso a ambientes de teste, se necessário
• Entre outros

Ao liberar todas essas informações e permissões, o teste flui de forma mais rápida e eficiente.

 

4. Quanto tempo demora um Pentest com a Vantico?

Determinar a duração de um teste também varia de acordo com inúmeros fatores, como:

• Tamanho da superfície de ataque
• Tipo e quantidade de ativos a serem testados
• Escopo e objetivo do teste (orientado a compliance, teste de rotina, etc.)
• E informações como: quantidade de funcionários, número de endpoints, número de IPs, linguagem do código, etc.

Porém, de forma geral, por conta da agilidade nas etapas de contratação, os Pentests da Vantico tendem a ser mais ágeis do que a média do mercado, sem perder em eficiência.

 

5. Como é a comunicação entre a Vantico e o cliente?

Aqui, toda a comunicação é centralizada em nossa plataforma. Dessa forma, tudo fica registrado em um único lugar, juntamente com as outras informações relevantes sobre o teste.

Por lá, é possível falar diretamente com o tester responsável pelo projeto.

 

6. É possível testar apenas partes de um ativo?

Sim! É possível realizar um Pentest em apenas partes de uma aplicação, especialmente quando a empresa tem tempo ou orçamento limitados.

Isso acontece muito em situações como: lançamento de uma nova parte da aplicação, atualização, testar uma nova API ou endpoint, etc.

Na Vantico, chamamos esses testes de Missões, e os resultados são liberados em até 24 horas.

 

7. Já tenho um time de segurança interno, qual a vantagem de fazer um Pentest com a Vantico?

A maioria das exigências de compliance envolvem a execução de testes por terceiros, justamente para garantir a confiabilidade e imparcialidade dos resultados.

Além disso, apesar do time interno representar extrema importância, um fornecedor externo de Pentest pode trazer novas perspectivas e recomendações, além de maior expertise.

 

8. Blackbox, White Box ou Gray Box: qual escolher?

Depende. O tipo de teste é determinado pelo objetivo da empresa.

O Pentest Black Box é uma abordagem em que o pentester não possui conhecimento prévio do ativo que será testado.

Nesse caso, o tester simula um ataque externo, tentando obter acesso não autorizado aos sistemas da organização, sem nenhum tipo de informação privilegiada sobre a infraestrutura ou aplicações existentes.

Recomendamos ele para quando a empresa deseja testar suas defesas contra ameaças externas.

Já o Pentest Gray Box combina elementos das abordagens Black Box e White Box.

Nele, o pentester tem informações limitadas sobre o ambiente interno, como credenciais básicas ou diagramas da arquitetura.

Indicamos para as organizações que desejam avaliar e receber insights sobre vulnerabilidades específicas.

Por fim, no caso do Pentest White Box, o tester recebe todos os detalhes sobre o ambiente, como arquitetura, código-fonte, infraestrutura, etc.

É indicado para empresas que buscam simular um ataque em que o invasor tem conhecimento sobre o alvo e/ou acesso interno privilegiado.

 

9. Quais técnicas são usadas no Pentest da Vantico?

Os testers da Vantico seguem as principais metodologias do mercado, e utilizam as ferramentas que melhor se encaixam em cada uma delas, assim como ao objetivo do teste.

Algumas das principais metodologias utilizadas são:

• OWASP Testing Guide
• PTES (Penetration Testing Execution Standard)
• NIST Cybersecurity Framework
• Open Source Security Testing Methodology Manual
• Entre outros.

 

10. Qual apoio vocês dão para as correções após o relatório do Pentest?

No relatório técnico enviado após o teste, os testers da Vantico incluem a classificação das vulnerabilidades e recomendações para a mitigação.

Dessa forma, a empresa consegue avaliar:

• Quais ameaças podem causar maior impacto
• Quais podem ser corrigidas mais rapidamente

Além disso, a Vantico inclui o re-test em até 6 meses. Ou seja, após a mitigação, o cliente pode solicitar essa opção e verificar se a vulnerabilidade foi, de fato, eliminada.

 

11. Qual documentação a Vantico entrega pós-teste?

Após a execução do Pentest, a Vantico fornece:

1. Relatório executivo

O relatório executivo fornece uma perspectiva de negócios sobre os riscos identificados no Pentest, voltado principalmente para a alta gestão da empresa.

2. Relatório técnico

Esse relatório traz as informações técnicas completas para a compreensão e correção das vulnerabilidades encontradas por parte do cliente.

3. Carta de comprovação do Pentest (Carta de Atestado)

Esse documento comprova a realização do pentest sem divulgar detalhes técnicos, e é usado em: auditorias, requisições de compliance, validação com stakeholders, etc.

 

12. Como a Vantico protege os dados dos seus clientes?

Ao identificar dados sensíveis durante o teste, a Vantico imediatamente comunica o cliente dentro da plataforma.

Já na etapa pós-teste, todos esses dados serão deletados.

 

Agora que você entendeu melhor o Pentest da Vantico, é só entrar em contato conosco e descobrir como ajudamos a proteger mais de R$100 milhões em valor de mercado dos nossos clientes.

Clique aqui para falar com nosso time.

Siga a Vantico nas redes sociais e fique informado sobre cibersegurança, tecnologia e insights.