Nesta postagem irei citar 10 dicas importantes para que seu Pentest tenha êxito…
1) Tenha uma visão global do cenário
Vale
lembrar que um Pentest pode ser feito pra diversos tipos de cenários,
aplicações web, roteadores, Switch, sistemas operacionais, etc. Mas de
qualquer forma, você terá que ter em mente que um ataque, pode ser
interno ou externo. Em qualquer um dos cenários, ele é extremamente
perigoso.
2) Planejamento dos testes são fundamentais para resultados eficazes
O
planejamento é a alma do negócio! Um pentest é coisa muito séria, não
mostra apenas problemas em sistemas, aplicações web ou hardwares. Quando
entramos em uma empresa pra fazer um pentest, mostramos falhas humanas
também, para que o projeto do teste de invasão seja eficaz, tenha em
mente que as informações da empresa podem estar suscetíveis e isso pode
acarretar em danos à imagem do negócio e perda de dinheiro. Ter um
gerente de projetos para suportar tal objetivo é muito importante.
3) Tempo é dinheiro e planejamento também
O
tempo pode ser seu inimigo caso você não tenha um planejamento
adequado. Lembre-se que projeto tem início, meio e fim. Procure planejar
quantas horas serão gastas para cada etapa do seu teste. “Por exemplo,
para efetuar um teste da aplicação web do site da empresa.com.br vou
gastar 10 horas”. Contudo é sempre importante ter uma margem de
segurança para as entregas das etapas, e caso você entregue antes todos
ficarão satisfeitos, mas entregar depois do prazo nunca é ponto
positivo.
4) A comunicação faz o sucesso
A organização do
teste de vulnerabilidades deve ser fundamentada com transparência e
seriedade por ambas as partes. Os envolvidos devem ficar cientes que a
equipe atacante e a de respostas a incidentes de segurança da informação
tem papéis fundamentais para o sucesso do plano. Cada um com objetivos
diferentes, o importante é solucionar possíveis brechas de segurança e
não deixar nada embaixo do tapete.
5) Um excelente momento para testar e corrigir e entregar algo com segurança
Talvez
seja o melhor momento para você testar possíveis falhas e corrigi-las
antes de entregar um sistema, site. Isso agrega valor e gera confiança.
6) Monitore sua infraestrutura e regras de negócios
Monitorar
seus ativos de rede e sistemas é literalmente obrigatório. Se sua
empresa ainda não possui uma plataforma de monitoramento você deverá
mobilizar sua equipe para tê-lo o mais rápido possível. Com uma
plataforma adequada, você monitora o tráfego de rede, sistemas,
aplicações web, bancos de dados, monitora regras de intrusão entre
outros fatores que permitirão que sua equipe tenha ações proativas em um
ataque não planejado. A contratação de um SOC (Security Operation
Center ou Centro de Operações de Segurança) pode fazer uma grande
diferença.
7) O Pentest está finalizado e agora?
Muitas
empresas nunca executaram um teste de invasão em sua rede, então saiba
que é fundamental que antes do início do projeto a empresa ou a pessoa
que foi contratada para executá-lo deverá assinar um acordo de
confidencialidade. Mas o que é o acordo de confidencialidade? Bem,
respondendo a essa questão, ele é um acordo que trata que a empresa
envolvida não divulgará nenhuma informação da empresa que efetuou a
contratação. Imagine uma lista de vulnerabilidades que foram encontradas
na sua empresa. É no mínimo desconfortável!
8) Os resultados do projeto e o retorno do investimento
A
empresa XYZ vende R$ 100 mil por dia em um e-commerce, mas caso ela
possua uma brecha de segurança e seus dados de vendas foram fraudados.
Nesse exemplo, certifique-se que as informações que comprovam isso estão
no relatório e qual é o potencial prejuízo que foi detectado, isso
mostra o valor real desse tipo de serviço, tem impacto financeiro.
9) Redes sem fio
Estamos
quase encerrando, mas vale uma dica importante, redes sem fio devem ser
observadas de perto, para que elas não sejam utilizadas como pontos
frágeis de uma estrutura. Muitas vezes redes de visitantes estão abertas
e conectadas na mesma rede interna da empresa. Existem boas práticas
que devem ser seguidas para utilização de Redes Sem Fio.
10) Teste de invasão em Aplicações Web
Finalizando,
firewall de aplicações web não resolvem os problemas do mundo e podem
ser burlados usando técnicas. Por isso você deve atentar para segurança
de suas aplicações públicas e também na intranet de sua empresa.
Quer fazer parte do Blog ?
Meu Blog está apenas em seu inicio, o blog tem seu foco a DeepWeb. Você que se interessar, já digo que você não precisa ter a minima experiencia em DeepWeb, oque for preciso eu ensinarei...
Me mande um email para mais informações:
bitcoinminerador@hotmail.com
Agradeço a todos que leram e gostaram no meu artigo, espero ter ajudado!!
Nenhum comentário:
Postar um comentário