Case: Pentest para Auditoria Externa

Picture of Júlia Valim

Júlia Valim

Case: Pentest para Auditoria Externa | Vantico

Aqui no blog da Vantico, você já viu várias explicações sobre o Pentest, como ele funciona, sua importância e outras informações técnicas sobre os Testes de Intrusão.

Agora, chegou a hora de você conferir, na prática, como é um Pentest da Vantico! Neste artigo, iremos apresentar o case de um teste real executado por nós.

 

Pentest para Auditoria Externa

Uma emissora de televisão e uma empresa do setor alimentício estavam passando por uma auditoria através da Grant Thornton, em que eram analisados diversos requisitos, incluindo a segurança cibernética.

Nesse contexto, a Grant Thornton solicitou a execução do Pentest, para avaliar o nível de segurança de cada uma delas. Ambas já haviam realizado outros testes com a Vantico.

 

Principais desafios

Todo Pentest traz desafios consigo, ligados ao modelo de negócio de cada empresa e suas particularidades técnicas.

Negócios: avaliar o ativo com muita precisão, já que o Pentest seria fundamental para a aprovação na auditoria.

Técnicos: focar nos requisitos técnicos exigidos pela auditoria, encontrando as vulnerabilidades com rapidez, para que o processo seguisse seu andamento.

 

Metodologias utilizadas

O teste foi executado nas redes internas de ambas as organizações. Para isso, nossos pentesters utilizaram as seguintes metodologias:

_Penetration Testing Execution Standard

_OWASP Testing Guide

_Open Source Security Testing Methodology Manual

_Information Systems Security Assessment Framework

_A Web Application Hacker’s Methodology

_SANS 25 Security Threats

Metodologias utilizadas pela Vantico no Pentest para Auditoria Externa

Imagem: Metodologias utilizadas pela Vantico no Pentest para Auditoria Externa.

 

Planejamento

A próxima etapa foi a definição do escopo. O prazo para a realização era de 2 semanas.

Sendo assim, planejamento ficou estabelecido em 8 passos:

  1. Montar o escopo do projeto, de acordo com as necessidades passadas pelo cliente e particularidades da aplicação
  2. Mapear a aplicação e levantar os dados relevantes para o teste
  3. Criar o modelo de ameaças do cliente
  4. Definir e analisar as principais vulnerabilidades
  5. Explorar as aplicações determinadas pelo cliente
  6. Comprometer o servidor
  7. Finalizar a execução do teste e enviar os resultados para o cliente
  8. Iniciar a remediação para que estivessem de acordo com as exigências da auditoria.

Escopo utilizado pela Vantico no Pentest para Auditoria Externa.

Imagem: Escopo utilizado pela Vantico no Pentest para Auditoria Externa.

 

Vulnerabilidades encontradas

Ao final do teste, haviam sido encontradas várias vulnerabilidades, entre críticas e altas. Entre as principais ameaças identificadas estavam:

  1. Falta de Patch Management: esta vulnerabilidade está relacionada à atualização de softwares, sistemas, aplicações e sistemas embarcados, para corrigir vulnerabilidades ou bugs existentes nas versões anteriores.
  2. Shadow IT: havia softwares e sistemas implementados sem a ciência dos departamentos de TI, o que poderia levar a vazamentos, violações e outras ameaças.
  3. Protocolos defasados LLMNR: protocolo de identificação de um host em uma rede, quando há falha na resolução de nome. Por conta disso, existia o risco de hackers se aproveitarem da operação para roubar as credenciais da máquina.
  4. Uso de senhas comuns: utilização de credenciais comuns, que seriam facilmente decodificadas por invasores.
  5. Falta de soluções de monitoramento e detecção: não era utilizada nenhuma solução para monitorar e detectar incidentes de cibersegurança.
  6. Serviços e sistemas desatualizados: além de aumentar os custos de manutenção, esses sistemas têm medidas de segurança obsoletas e ineficazes.

 

Durante e após a identificação das falhas de segurança, foram feitas as seguintes entregas à startup:

  1. Atualizações em tempo real sobre o andamento do projeto e as vulnerabilidades dentro da plataforma;
  2. Comentários e recomendações da equipe da Vantico, com orientações para o time de desenvolvimento da empresa que executará as correções;

Ao final do teste, ambas foram aprovadas na auditoria!

 

Benefícios

Portanto, após a finalização do Pentest, a Vantico possibilitou benefícios como:

  • Entregar evidências para aprovação na auditoria;
  • Gerar credibilidade pela conformidade;
  • Fortalecer a segurança das redes internas
  • Reduzir suas chances de danos à reputação da marca;
  • Evitar possíveis perdas financeiras.

Benefícios trazidos pela execução do Pentest para Auditoria Externa

Imagem: Benefícios trazidos pela execução do Pentest para Auditoria Externa.

 

Conclusão

O Pentest é crucial para auditorias, pois permite identificar e avaliar vulnerabilidades, que serão corrigidas para garantir a conformidade com as devidas normas e regulamentações de segurança.

Precisa executar um Pentest para auditoria externa? Clique aqui para falar conosco.

Siga-nos nas redes sociais para acompanhar nossos conteúdos.

veja também

Outros conteúdos sobre Segurança Cibernética