ABBA TI

More Website Templates @ TemplateMonster.com - September 14, 2013!

Consultorias em Penetration Test

A maioria das empresas hoje gostaria de saber se estão seguras contra os ataques de Crackers, ou até mesmo contra acessos a informações confidencias feitas por funcionários sem autorização causando danos aos sistemas, existem também motivos que não necessariamente se originam de brechas como a política de segurança da empresa, aplicações de leis, conformidade com padrões definidos internacionalmente (ISO 17799), etc. Sempre existirá uma grande possibilidade de falhas. A ABBA Tecnologia da Informação é especializada em consultorias de Penetration Black Box, White Box e Gray Box com princípios em Ethical Hacker . Normalmente o serviço se divide em planejamento, execução/teste e Fase pós-teste

Algumas das Etapas de Penetration Test durante o serviço:

    1ª Etapa:

    Recolhendo Informações:

  • Recolha passiva de informação pública:
    • Redes Sociais (Facebook, LinkedIn, Twitter, etc);
    • Web Archive (web.archive.org);
    • Fóruns, Blogs, etc…
  • Recolha ativa de informação:
    • Sistemas;
    • Serviços e configurações;
    • Dados de acesso.
  • Utilização de ferramentas open source e proprietárias.
  • Pode ser detectada (bem ou mal: Caso Estónia 2007)
    • Pode ser dissimulado: Stealthy Network Recon, cadeia de Proxies Anónimos, BotNets, ferramentas online.
  • Procura por serviços expostos a vulnerabilidades
    • Versão, configurações e actualizações do Sistema Operativo;
    • Fingerprint de serviços;
    • Directamente através de várias ferramentas
    • Indirectamente através informação pública: Recolha passiva de informação
  • Replicação em laboratório do sistema alvo.

    2ª Etapa:

    Execução dos Ataques:

  • Intrusão num sistema através da utilização de exploits ou outro tipo de código desenvolvido conforme vulnerabilidades detectadas no Sistema de Informação da Organização.
  • Negação de Serviços (DoS, DDoS): através de utilização de ferramentas disponíveis em ambiente Net (acesso a qualquer utilizador) e através de ferramentas proprietárias.

segurança


    3ª Etapa:

    Avaliação das dificuldades:

  • Dimensão da rede, diferentes tecnologias e organizações;
  • Utilizadores são muitas vezes o elo mais fraco da segurança;
  • Limitações económicas, Recursos Humanos, Formação, Manutenção, etc.;
  • Falta de politicas de segurança e equipamento adequado;
  • Falta de patrocínio de topo;
  • Resistência à mudança;
  • Inexistência de monitorização 24/7;
  • Urgência em colocar sistemas em produção;
  • Aplicações com configurações "hard coded";
  • Downtime de portais quando são feitas algumas actualizações;
  • Privilégios dos utilizadores e restrições no acesso à Internet;
  • Cracks e Software de origem duvidosa, dispositivos móveis e com ROMs não originais / Jailbreaks…
  • Detectar o ataque e a REAL origem;
  • Fronteiras do ciberespaço e enquadramento/restrições legais…


"A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.".