No Pentest (Teste de invasão), ocorre uma análise por um especialista de segurança certificado e habilitado na adoção de técnicas utilizadas por hackers reais, porém aplicadas de forma ética e balizadas por um escopo pré-definido. O objetivo é explorar a aplicação/o aplicativo a partir da lógica humana, testando fluxo lógico da aplicação, unindo ferramentas e técnicas e utilizando uma abordagem diferente de uma ferramenta automatizada que apenas identifica os pontos vulneráveis, mas não as explora. O escopo do teste de penetração não é listar as vulnerabilidades encontradas e sim encontrá-las, explorá-las e registrá-las em um relatório com as evidências e orientações pertinentes para que o cliente tenha ciência deste cenário e possa efetuar as devidas correções ou então assumi-las como risco de seu negócio.

O foco do PenTest pode ser, por exemplo, uma aplicação web ou mobile e todos os testes são feitos de forma manual – realizados por um analista de segurança da Hands On, que seguirá todas as recomendações da OWASP, entidade que estuda as principais vulnerabilidades de aplicações web. Cumprindo também os requisitos da LGPD.

Diferenciais Hands On

A metodologia utilizada pela Hands On envolve um conjunto das melhores práticas utilizadas no mercado de segurança da informação. Com a finalidade de entregar um conteúdo de alta qualidade, reproduzindo os ataques como acontecem no mundo real, a equipe de segurança da Hands On tem seus conhecimentos devidamente certificados (Entre as certificações vale destacar: OSCE / OSWE /OSCP /OSWP / EMAPT /CEH / ISO27000). Esta premissa implica na entrega de informações e recomendações alinhadas às práticas e técnicas mais atualizadas no mercado de cibersegurança.

No Pentest Web executado pela Hands On o objetivo é simular um ataque cibernético, ou outros tipos de acesso mal intencionados à aplicação web. Identificando falhas de segurança que possibilitem, por exemplo, a extração de dados sensíveis.

Como resultado, o administrador da aplicação web obtém um nível muito maior de segurança ao tomar conhecimento de reais problemas como, por exemplo, brechas de segurança que possam permitir explorar seus bancos de dados, tendo acesso a recomendações de melhorias imediatas.

O Pentest Web Hands On pode ser realizado nas seguintes modalidades:

• Quick Pentest: É dividido em duas grandes etapas. Na primeira etapa é executado o Scan automatizado de vulnerabilidades e na segunda ocorre uma validação manual, pela nossa equipe, das vulnerabilidades encontradas pelo scan. Indicado para: empresas que utilizam sistemas com um nível de complexidade baixo ou médio.
• Pentest Grey Box: Nesta modalidade de teste de invasão, o analista de segurança responsável tem conhecimento prévio do sistema que está invadindo, ou seja, informações privilegiadas como estrutura ou credenciais (login e senha) de uma área restrita, por exemplo. Tende a ser um teste que entrega uma melhor relação entre exploração do escopo por tempo disponível para as atividades. Indicado para: empresas que utilizam sistemas com um nível de complexidade médio ou alto.
• Pentest Black Box: Nesta modalidade, o analista de segurança da Hands On realiza o processo de análise da aplicação web, coleta informações, identifica e explora vulnerabilidades, porém, sem possuir conhecimento prévio de quaisquer informações sobre o alvo. Este tipo de teste representa perfeitamente uma simulação de ataque real e é indicado quando o intuito é testar os controles de segurança internos e externos da aplicação. Indicado para: empresas que buscam uma varredura de segurança bem mais profunda e específica para a sua aplicação. Além disso, é altamente recomendado para todos que tenham sistemas logados.