Case: Pentest para Auditoria Externa

Júlia Valim

Aqui no blog da Vantico, você já viu várias explicações sobre o Pentest, como ele funciona, sua importância e outras informações técnicas sobre os Testes de Intrusão.

Agora, chegou a hora de você conferir, na prática, como é um Pentest da Vantico! Neste artigo, iremos apresentar o case de um teste real executado por nós.

Pentest para Auditoria Externa

Uma emissora de televisão e uma empresa do setor alimentício estavam passando por uma auditoria através da Grant Thornton, em que eram analisados diversos requisitos, incluindo a segurança cibernética.

Nesse contexto, a Grant Thornton solicitou a execução do Pentest, para avaliar o nível de segurança de cada uma delas. Ambas já haviam realizado outros testes com a Vantico.

Principais desafios

Todo Pentest traz desafios consigo, ligados ao modelo de negócio de cada empresa e suas particularidades técnicas.

Negócios: avaliar o ativo com muita precisão, já que o Pentest seria fundamental para a aprovação na auditoria.

Técnicos: focar nos requisitos técnicos exigidos pela auditoria, encontrando as vulnerabilidades com rapidez, para que o processo seguisse seu andamento.

Metodologias utilizadas

O teste foi executado nas redes internas de ambas as organizações. Para isso, nossos pentesters utilizaram as seguintes metodologias:

_Penetration Testing Execution Standard

_OWASP Testing Guide

_Open Source Security Testing Methodology Manual

_Information Systems Security Assessment Framework

_A Web Application Hacker’s Methodology

_SANS 25 Security Threats

Imagem: Metodologias utilizadas pela Vantico no Pentest para Auditoria Externa.

Planejamento

A próxima etapa foi a definição do escopo. O prazo para a realização era de 2 semanas.

Sendo assim, planejamento ficou estabelecido em 8 passos:

Montar o escopo do projeto, de acordo com as necessidades passadas pelo cliente e particularidades da aplicação
Mapear a aplicação e levantar os dados relevantes para o teste
Criar o modelo de ameaças do cliente
Definir e analisar as principais vulnerabilidades
Explorar as aplicações determinadas pelo cliente
Comprometer o servidor
Finalizar a execução do teste e enviar os resultados para o cliente
Iniciar a remediação para que estivessem de acordo com as exigências da auditoria.

Imagem: Escopo utilizado pela Vantico no Pentest para Auditoria Externa.

Vulnerabilidades encontradas

Ao final do teste, haviam sido encontradas várias vulnerabilidades, entre críticas e altas. Entre as principais ameaças identificadas estavam:

Falta de Patch Management: esta vulnerabilidade está relacionada à atualização de softwares, sistemas, aplicações e sistemas embarcados, para corrigir vulnerabilidades ou bugs existentes nas versões anteriores.
Shadow IT: havia softwares e sistemas implementados sem a ciência dos departamentos de TI, o que poderia levar a vazamentos, violações e outras ameaças.
Protocolos defasados LLMNR: protocolo de identificação de um host em uma rede, quando há falha na resolução de nome. Por conta disso, existia o risco de hackers se aproveitarem da operação para roubar as credenciais da máquina.
Uso de senhas comuns: utilização de credenciais comuns, que seriam facilmente decodificadas por invasores.
Falta de soluções de monitoramento e detecção: não era utilizada nenhuma solução para monitorar e detectar incidentes de cibersegurança.
Serviços e sistemas desatualizados: além de aumentar os custos de manutenção, esses sistemas têm medidas de segurança obsoletas e ineficazes.

Durante e após a identificação das falhas de segurança, foram feitas as seguintes entregas à startup:

Atualizações em tempo real sobre o andamento do projeto e as vulnerabilidades dentro da plataforma;
Comentários e recomendações da equipe da Vantico, com orientações para o time de desenvolvimento da empresa que executará as correções;

Ao final do teste, ambas foram aprovadas na auditoria!

Benefícios

Portanto, após a finalização do Pentest, a Vantico possibilitou benefícios como:

Entregar evidências para aprovação na auditoria;
Gerar credibilidade pela conformidade;
Fortalecer a segurança das redes internas
Reduzir suas chances de danos à reputação da marca;
Evitar possíveis perdas financeiras.

Imagem: Benefícios trazidos pela execução do Pentest para Auditoria Externa.

Conclusão

O Pentest é crucial para auditorias, pois permite identificar e avaliar vulnerabilidades, que serão corrigidas para garantir a conformidade com as devidas normas e regulamentações de segurança.

Precisa executar um Pentest para auditoria externa? Clique aqui para falar conosco.

Siga-nos nas redes sociais para acompanhar nossos conteúdos.

7 estágios do ciclo de vida do gerenciamento de vulnerabilidades

7 fatores para analisar ao escolher um fornecedor de Pentest

A importância do Pentest para APIs e como funciona o teste

5 métricas de cibersegurança que você precisa analisar

3 desafios da cibersegurança e como o PTaaS pode ajudar

A importância do pentest para as healthtechs

A evolução do pentest e 3 motivos para investir em segurança cibernética

Pentest Mobile para Android e iOS

Pentest para Fornecedores SaaS

Pentest para APIs e aplicações Web

Pentest para Auditoria de Smart Contracts

Pentest Ágil para Pequenas Aplicações

Simulação de Phishing

Revisão Segura de Código

Scan de Vulnerabilidades

Gerenciamento de Superfície de Ataque

Programa de Divulgação de Vulnerabilidades

Emulação de Adversários

Modelagem de Ameaças

Threat Intelligence

newsletter

Inside Pentesting 2024 - Tendências e Insights

Case: Pentest para Auditoria Externa

Júlia Valim

Pentest para Auditoria Externa

Principais desafios

Metodologias utilizadas

Planejamento

Vulnerabilidades encontradas

Benefícios

Conclusão

veja também

Outros conteúdos sobre Segurança Cibernética

Vamos começar algo incrível?

Empresa

Links úteis

Navegue

Conteúdos

WhatsApp

E-mail