Penetration Testing

Penetration Testing complementa um processo maduro e eficiente em Segurança da Informação ao exibir detalhadamente problemas de segurança e privacidade na infraestrutura e aplicações. Para melhor se proteger, é necessário que as ameaças e os ativos a serem protegidos estejam bem definidos. Após isso, o Penetration Testing pode ser realizado para descobrir, entender, mitigar e corrigir possíveis vulnerabilidades que afetam o seu negócio. Além de listar as possíveis vulnerabilidades, também identificamos as que têm maior probabilidade de serem exploradas por suas ameaças.

architecture-business-cabinet-325229

Problemas de segurança e privacidade podem surgir somente quando a aplicação está em produção, por este motivo o Penetration Testing, além da Revisão de Código, que deverá ser feito durante o desenvolvimento, são fundamentais para avaliar a aplicação no mesmo ambiente e infraestrutura que um atacante real encontrará. Investimos em pesquisa e desenvolvimento, acompanhamos o que há de mais recente, tanto no setor privado quanto acadêmico, podendo assim oferecer um serviço único e diferenciado.

Na realização de nossos testes, o uso de ferramentas é feito apenas para complementá-los. O Penetration Testing da Allele Security Intelligence é predominantemente manual, o que permite focar em problemas mais interessantes que dificilmente serão encontrados por ferramentas automatizadas.

APLICAÇÃO

Aplicações são os principais alvos de atacantes por usualmente estarem expostas diretamente na internet. Os testes realizados em uma aplicação são diferentes dos testes realizados em sua infraestrutura. Por este motivo o Penetration Testing em Aplicação são interessantes por revelar problemas com grande probabilidade de serem explorados por ameaças externas.

INFRAESTRUTURA

O Penetration Testing em Infraestrutura pode ser classificado em dois tipos: interno e externo. O Penetration Testing em Infraestrutura Interno são realizados para simular uma ameaça utilizando diretamente a infraestrutura da empresa, um colaborador ou um visitante mal intencionado. Já o Penetration Testing em Infraestrutura Externo são úteis para simular uma ameaça através da internet, onde se encontram a maioria das ameaças: criminosos, jovens procurando diversão, códigos maliciosos como e ransomware, espionagem industrial e governamental e outras.

CAIXA PRETA E CAIXA BRANCA

Penetration Testing, tanto de aplicação quanto de infraestrutura, deverão ser classificados como Caixa Preta ou Caixa Branca. Os termos significam que os testes podem ser realizados com ou sem informações dos ativos. Durante um ataque, faz muita diferença se uma ameaça tem ou não informações acerca do funcionamento da infraestrutura e de suas aplicações. Assumir que os atacantes não sabem detalhes sobre o funcionamento do seu negócio é um erro e isso pode causar um grande impacto aos negócios.