Teste de invasão é um conjunto de técnicas utilizadas para verificar as vulnerabilidades e seus riscos em dispositivos de rede, firewall, servidores e aplicações.
Em ambientes corporativos esses testes são realizados por empresas especializadas contratadas ou equipes interna na própria empresa. A Strong Security Brasil tem duas abordagens para este tema, sendo a primeira a de treinar a sua equipe para realizar este trabalho internamente através do curso de formação com Hacker Ético (CEH – Certified Ethical Hacker). Treinamento este que irá permitir que ao final deste, realize uma prova para certificação.
A outra abordagem é a de utilizar a nossa equipe de consultores, muito bem treinadas, já que somos um centro de treinamento CEH.
Os testes de invasão podem ser orientador para dispositivos de redes e servidores, assim como direcionados para aplicação.
O objectivo de uma revisão de segurança da aplicação/sistema é o de determinar se uma aplicação / sistema é vulnerável a um ataque a nível de aplicação feito por um atacante externo. Este nível de prova válida a política de segurança da empresas e normas de desenvolvimento por meio da tentativa de identificar como a aplicação web resiste a certos agressores. O produto de uma revisão da aplicação é um relatório que documenta a postura de segurança encontrada na aplicação web, identifica deficiências e vulnerabilidades específicas e provê recomendações para sua remediação.
Os benefícios de um teste de invasão de aplicação incluem: Identificação da exposição da aplicação web a Riscos de Segurança. Identificação de vulnerabilidades específicas que afetam a aplicação web. Validação e verificação dos controles de Segurança existentes, políticas e procedimientos por um terceiro especialista e imparcial.
A Strong Security Brasil utilizará distintas combinações de metodologias de testes de invasão de aplicação.
Estas metodologias são:
Revisão Automatizada da Aplicação
Utilizando uma suite própria de teste de aplicação, a equipe de Segurança de Aplicações irá rever a aplicação web por defeitos relativos à segurança. A ferramenta identificará vulnerabilidades comuns Web dentro da aplicação. Dependendo da concepção, aplicação e disponibilidade do código- fonte, esta revisão pode ocorrer tanto por meio de uma revisão off-line do código fonte da aplicação ou uma aplicação web de teste.
Scan Automatizado de Vulnerabilidades da Infra-estrutura
Utilizando a suite de testes de infra-estrutura, a equipe de Segurança de Aplicações irá rever a infra-estrutura de servidores em busca de vulnerabilidades de Segurança comuns. As ferramentas da Strong Security Brasil identificarão problemas na infra-estrutura que poderiam comprometer a postura de Segurança da aplicação.
Teste de invasão Manual Seletivo da Aplicação
Utilizando a metodologia de teste manual selectivo da Strong Security Brasil, a equipe de Segurança de Aplicações testará manual e focadamente aspectos da aplicação web. Este teste é desenhado para detectar defeitos ainda que são desconhecidos. Tradicionalmente, testes automatizados não conseguem descubrir este tipo de defeitos devido a lógica única de ataque. Usando uma análise manual feita por especialistas da aplicação, a Strong Security Brasil é capaz de selecionar áreas de alto risco da aplicação para uma revisão manual.
Teste de Invasão Manual Completo da Aplicação
Utilizando a metodologia de teste manual completo da Strong Security Brasil, a equipe de Segurança de Aplicações testará manualmente todos os aspectos da aplicação com ou sem credenciais. Este tipo de teste pode ser realizado em qualquer tipo de aplicação (incluindo aplicações baseadas ou não baseadas em Web). Usando uma análise manual da aplicação, a Strong Security Brasil é capaz de prover um nível maior de Segurança para uma aplicação. Caso eventualmente a aplicação suporte perfis de usuário, perfís individuais serão testados para assegurar que a separação lógica de perfís existe.