Teste de Invasão
Identifique vulnerabilidades em suas redes, sistemas e aplicações através da simulação de ataques em condições controladas.
Os Testes de invasão (penetration tests, ou simplesmente pentests) são simulações controladas de um ataque real a uma rede, sistema ou aplicação, visando avaliar a segurança do mesmo. Durante o processo, é realizada uma análise ativa de vulnerabilidades, fraquezas e deficiências técnicas da atual infraestrutura física e lógica que hospeda os objetos em questão.
O serviço realizado pela Clavis segue os padrões internacionais de Testes de Invasão, incluindo o NIST 800-115, OWASP, OSSTMM e ISSAF/PTF, além de utilizar ferramentas exclusivas, sempre com o objetivo de garantir a maior qualidade e confiabilidade possíveis para o serviço, realizado com total transparência junto ao Cliente.
Metodologia Clavis para Teste de Invasão
Conheça as etapas do Teste de Invasão realizado pela Clavis.
Reconhecimento
Os pentesters da Clavis buscam por informações relevantes de sua organização disponíveis em fontes abertas.
Varredura
Os pentesters da Clavis interagem com redes, sistemas e aplicações para identificar vulnerabilidades e outras informações relevantes.
Exploração
As vulnerabilidades identificadas são exploradas de modo a validá-las e evidenciar a possibilidade de ataques.
Pós-exploração
Atividades diversas tais como persistência no ambiente, escalada de privilégios, movimentação lateral e eliminação de rastros.
Relatório
Os resultados obtidos são organizados de modo a permitir a compreensão dos reais riscos à organização, apontando para formas de mitigação.
Detalhamento das atividades
O serviço consiste na realização de uma auditoria Teste de Invasão na infraestrutura do cliente, seja remoto ou presencial, objetivando prover informações sobre vulnerabilidades e brechas que possam ser exploradas por usuários maliciosos. Os testes podem ser originados interna ou externamente e os auditores podem ou não ter acesso a informações sobre a estrutura (definição se o teste será do tipo "caixa preta" ou "caixa branca"). Testes de Negação de Serviço podem também ser realizados, desde que estejam dentro do escopo do serviço contratado pelo cliente.
Os diferentes testes realizados serão modelados em árvores de ataque, de acordo com dados identificados antes da etapa de invasão e em conformidade com perfil e limitações acordados. A ordem de ataques seguirá o caminho de menor resistência a partir de pesos de dificuldade definidos na árvore associada.
Possibilidades
Redes e Sistemas:
- Identifique vulnerabilidades e possibilidades de invasões em suas redes de computadores e ambientes corporativos.
Aplicações Web:
- Identifique vulnerabilidades em suas aplicações web, tais como XSS, CSRF, SQLi, e os riscos de comprometimento de integridade, confidencialidade e disponibilidade.
Redes Sem-Fio:
- Saiba se a sua infraestrutura de acesso por redes sem fio é uma porta de entrada para potenciais atacantes.
Aplicações Celulares:
- Saiba se os apps de sua organização podem ser explorados por atacantes ou usuários mal-intencionados.
Cloud:
- Saiba se o uso de aplicações em nuvem trazem riscos de ataque a sua organização, e quais os potenciais impactos à integridade, confidencialidade e disponibilidade.
Entre em contato
Entre em contato conosco agora e solicite um orçamento personalizado para sua demanda.