técnicas e ferramentas

utilizadas para identificar falhas de segurança

Ajudamos na segurança de sistemas e redes corporativas

SEGURANÇA

Auditoria Teste de Invasão

O serviço de Auditoria Teste de Invasão (penetration tests, ou simplesmente pentests) são simulações controladas de um ataque real a uma rede, sistema ou ferramenta e visa identificar ameaças e vulnerabilidades através da realização de simulações de ataque aos ativos em questão.

Durante o processo, é feita uma análise ativa de vulnerabilidades, fraquezas e deficiências técnicas da atual infra-estrutura física e lógica que hospeda os objetos em questão (como sistemas e localidades acessíveis ao público externo e interno de uma empresa), com destaque para avaliações de disponibilidade, integridade e confidencialidade das Informações do Cliente.

O serviço consiste na realização de uma auditoria Teste de Invasão na infra-estrutura do cliente, seja remoto ou presencial, objetivando prover informações sobre vulnerabilidades e brechas que possam ser exploradas por usuários maliciosos.

Testes de Negação de Serviço podem também ser realizados, deste que estejam dentro do escopo do serviço contratado pelo cliente.

Os diferentes testes realizados serão modelados em árvores de ataque, de acordo com dados identificados antes da etapa de invasão e em conformidade com perfil e limitações acordados. A ordem de ataques seguirá o caminho de menor resistência a partir de pesos de dificuldade definidos na árvore associada.

Ao longo da execução do serviço, toda e qualquer questão crítica identificada será imediatamente repassada ao Cliente para garantir que o mesmo esteja ciente do problema. Neste caso, a gravidade da questão apresentada será discutida com o Cliente e mecanismos de contorno ou correções serão apresentados.

Com o término do serviço, toda informação criada ou armazenada nos objetos-alvo dos testes é removida, de modo a deixar o sistema o mais próximo do estado em que foi apresentado antes do serviço.

Toda atividade realizada será registrada com data/hora e IP de origem e devidamente detalhada no relatório, assim como a listagem de todas as ferramentas e metodologias utilizadas.

Sondagem e Mapeamento

Consiste na varredura por hosts ativos, mapeamento de topologia e regras de firewall e detecção de serviços em execução.

Força Bruta

Visa detectar serviços de autenticação ou controle de acesso vulneráveis a ataques de tentativa e erro de senhas. Analisa a qualidade da política de senha e de sua implementação.

Análise de Tráfego de rede

Verifica se é possível identificar e obter informações sensíveis através da manipulação de tráfego de rede.

Avaliação de Servidores Web

Busca as principais vulnerabilidades em serviços deste tipo. Manipula requisições de modo a tentar comprometer a segurança de serviços web.

Identificação e Exploração de Vulnerabilidades

Lança códigos maliciosos visando explorar as vulnerabilidades identificadas.

Produtos Gerados

Como produto final, o cliente receberá:

  1. um relatório técnico detalhado;
  2. apresentação executiva sobre os testes executados e seus resultados;
  3. recomendações de medidas de correção;
  4. registro formal de todas as reuniões, entrevistas e decisões tomadas ao longo do projeto;
  5. atualização de toda a documentação do projeto ao longo de sua execução, conforme padrão do Cliente ou proposto pela Solutions-A.

Cyber security

Com a integração e advento da industria 4.0, a segurança cibernética tem se tornado cada vez mais relevante.  Os sistemas não seguros estão cada vez mais sendo rejeitados por usuários, empresas e parceiros; além de apresentar altos custos devido as vulnerabilidades e ter a possibilidade de causar perdas de informações e vazamento de dados.

Várias empresas estão buscando minimizar suas vulnerabilidades e melhorando sua segurança em:

  • Compartilhamento de informações críticas;
  • Minimizar as fragilidades de sistemas que se conectam a internet;
  • Identificar brechas para ataques externos;
  • Corrigir vulnerabilidades.
resultados esperados

Nossas ferramentas e metodologia permitem encontrar o ponto ótimo entre disponibilidade, confiabilidade, segurança e proteção.

nossos diferenciais

Identificar exposição e vulnerabilidades
Mitigar ataques de agentes externos
Propor novas políticas

características

Compartilhamento de informações críticas;
Minimizar as fragilidades de sistemas que se conectam a internet;
Identificar brechas para ataques externos;
Corrigir vulnerabilidades

As aplicações seguras, de fato, de um subsistema que sofre ataques massivos tem a necessidade do desafio de achar o ponto ótimo entre ser um sistema disponível, confiável, seguro e protegido.

Com uma equipe de especialistas altamente capacitada, temos plena capacidade de auxiliar você e sua empresa na:

  • Identificar exposição e vulnerabilidades: por meio de Testes de penetração, análise de dados e políticas de segurança;
  • Mitigar ataques de agentes externos: auxiliando na implementação de uma sistemas e processos de segurança e gerenciamento de riscos;
  • Propor novas políticas, processos e gerenciamento de riscos para a área de segurança.

Auditoria de Redes e Sistemas

O Serviço de “Auditoria de Redes e Sistemas” consiste na avaliação dos procedimentos de controle e segurança vinculados ao processamento das informações, visando garantir a qualidade no tratamento das informações e a integridade, confidencialidade e disponibilidade dos dados.

O resultado é um relatório detalhado apontando os sistemas e processos que estão fora de conformidade com as melhores práticas do mercado.

Acordo de Confidencialidade

Antes de qualquer atividade a ser realizada, deverá ser assinado um acordo formal de realização do serviço entre as partes envolvidas, a fim de eximir a contratada de responsabilidades legais associadas à quaisquer problemas ou complicações oriundos da execução do serviço solicitado. Será também assinado um Acordo de Confidencialidade (Non-Disclosure Agreement – NDA) entre as partes, para proteger o Cliente contra a divulgação não autorizada de quaisquer resultados ou dados identificados pela contratada durante a realização do serviço.

Componentes da Análise Executiva de Segurança

1. Relatórios de não conformidade e evidências: envolve todas as não conformidades em relação a modelos de referência e as melhores práticas do mercado e da empresa, além de todas as evidências reunidas durante o trabalho;
2. Plano de Ação: relatam quais são as medidas que devem ser tomadas para alcançar a conformidade em relação ás melhores práticas, incluindo técnicas, ferramentas, processos, plano de projeto, etc.

A Solutions-A utiliza em suas auditorias as recomendações e exigências da normas padrões de segurança da informação, entre elas, a ISO/IEC 27001 (Tecnologia da Informação – Técnicas de Segurança – Sistema de Gestão de Segurança da Informação – Requisitos) e a ISO/IEC 27002 (Tecnologia da Informação – Técnicas de Segurança – Sistema de Gestão de Segurança da Informação – Código de Prática para Gestão de Segurança da Informação), além de fortemente se basear no COBIT, ITIL e outros modelos de governança e gestão de TI.

Com uma equipe composta de profissionais experientes e qualificados, nossa a auditoria engloba a validação de software, sistemas operacionais e sistemas aplicativos, além da estrutura física do ambiente como servidores, equipamentos de conectividade, segurança e acesso.

O serviço de Auditoria de Segurança em Redes Sem Fio visa identificar ameaças e vulnerabilidades por meio da realização de simulações de ataque às redes sem fio em questão visando avaliar a segurança das mesmas.

Durante o processo, é feita uma análise ativa de vulnerabilidades (brechas que possam ser exploradas por usuários maliciosos), fraquezas, deficiências técnicas e controle de perímetro da atual infraestrutura física e lógica que compõe as redes em questão, com destaque para avaliações de disponibilidade, integridade e confidencialidade das Informações do Cliente.

Os testes de Negação de Serviço também poderão ser realizados, deste que estejam dentro do escopo do serviço contratado pelo cliente.

Ao longo da execução do serviço, toda e qualquer questão crítica identificada será imediatamente repassada ao Cliente para garantir que o mesmo esteja ciente do problema. Neste caso, a gravidade da questão apresentada será discutida com o Cliente e mecanismos de contorno ou correções serão apresentados.

Toda atividade realizada será registrada com data/hora e endereço MAC de origem e devidamente detalhada no relatório, assim como a listagem de todas as ferramentas e metodologias (reconhecidas internacionalmente) utilizadas.

O serviço realizado pela Solutions-A segue os padrões internacionais de Testes de Invasão, como NIST 800-115, OWASP, OSSTMM e ISSAF/PTF, além de utilizar ferramentas exclusivas, sempre com o objetivo de garantir a maior qualidade e confiabilidade possíveis para o serviço, realizado com total transparência junto ao Cliente.

Auditoria de Segurança em Redes Sem Fio

Sondagem e Mapeamento

Consiste na enumeração dos pontos de acesso que compõe a infra-estrutura e dos protocolos de segurança suportados pela rede sem fio.

Força Bruta

Visa tentar descobrir credenciais de acesso à rede. Analisa a qualidade da política de senha e de sua implementação.

Vazamento de Perímetro

Verifica se é possível detectar e/ou acessar as redes sem fio ou capturar o tráfego das mesma fora do perímetro delimitado pelo cliente.

Rogue Access Point

Verifica se é possível executar ataques Man-In-The-Middle a fim de capturar informações trafegadas por usuários legítimos utilizando o ataque Rogue Access Point.

Acordo de Confidencialidade

Antes de qualquer atividade a ser realizada, deverá ser assinado um acordo formal de realização do serviço entre as partes envolvidas, a fim de eximir a contratada de responsabilidades legais associadas à quaisquer problemas ou complicações oriundos da execução do serviço solicitado. Será também assinado um Acordo de Confidencialidade (Non-Disclosure Agreement – NDA) entre as partes, para proteger o Cliente contra a divulgação não autorizada de quaisquer resultados ou dados identificados pela contratada durante a realização do serviço.

Produtos Gerados

Como produto final, o cliente receberá:

  1. relatório técnico detalhado;
  2. apresentação executiva sobre os testes executados e seus resultados;
  3. recomendações de medidas de correção;
  4. registro formal de todas as reuniões, entrevistas e decisões tomadas ao longo do projeto;
  5. atualização de toda a documentação do projeto ao longo de sua execução, conforme padrão do Cliente ou proposto pela Solutions-A.

Serviço de Hardening de Servidores

Serviço destinado a empresas que proveem serviços a usuários externos e internos, por meio do armazenamento ou processamento de dados sensíveis que compreende a instalação, configuração e manutenção de servidores de forma segura, auxiliando na gestão dos riscos organizacionais, reduzindo a possibilidade da exploração de vulnerabilidades baseada em falhas de software em sistemas operacionais e aplicações; e de negação de serviço devido a configurações incorretas ou utilização de serviços inadequados.

Este serviço inicia-se com um planejamento de hardening, balanceando os requisitos de segurança necessários para o servidor, incluindo SO e componentes, e os critérios de usabilidade, desempenho e risco da aplicação. Após esta etapa de planejamento, seguimos com o atendimento em mais três etapas:

Hardening do SO

Grande parte dos servidores são executados em sistemas operacionais de propósito geral e, por isso, boa parte das questões de segurança podem ser evitadas caso o sistema operacional subjacente ao servidor esteja configurado de forma apropriada. Esta etapa consiste na aplicação de controles, correções e atualizações, remoção de serviços desnecessários e execução de testes de segurança.

Hardening do Servidor

Trata-se da verificação da instalação do servidor e de seus componentes e sua adequação ao serviço destinado. Como exemplo de atividades temos a adequação do controle de acesso, a adoção de controles para prevenção de ataques e a adequação de mecanismos seguros de autenticação e criptografia.

Manutenibilidade da Segurança

Esta etapa inclui atividades para a manutenção da segurança no servidor uma vez que novas vulnerabilidades sempre irão surgir. Além das atividades de teste de segurança, aplicação de correções e atualizações temos que atividades de análise de registros de eventos (logs), backups e criação de um plano de resposta a incidentes são de extrema importância para a manutenibilidade da segurança do sistema.

Acordo de Confidencialidade

Antes de qualquer atividade a ser realizada, deverá ser assinado um acordo formal de realização do serviço entre as partes envolvidas, a fim de eximir a contratada de responsabilidades legais associadas à quaisquer problemas ou complicações oriundos da execução do serviço solicitado. Será também assinado um Acordo de Confidencialidade (Non-Disclosure Agreement – NDA) entre as partes, para proteger o Cliente contra a divulgação não autorizada de quaisquer resultados ou dados identificados pela contratada durante a realização do serviço.

Produto Entregue ao Cliente

Ao final deste serviço será gerado um documento conciso e objetivo contendo as seguintes informações:

  1. Descrição detalhada de todas correções, atualizações e modificações realizadas no sistema operacional;
  2. Descrição detalhada dos controles adicionais implantados no sistema;
  3. Descrição e metodologia do teste de segurança realizado;
  4. Descrição dos dispositivos e/ou softwares instalados para fortalecer o sistema;
  5. Descrição do plano de gerenciamento de registro de eventos e de backup;
  6. Descrição do plano de resposta a incidentes;
  7. Atualização de toda a documentação do projeto ao longo de sua execução, conforme padrão do Cliente ou proposto pela Solutions-A.

A Solutions-A segue recomendações, guias e códigos de boas práticas e padrões de gestão de segurança da informação do mercado abordado nas normas ISO 27001, ISO 27002, COBIT, ITIL, NIST, OWASP e PCI-DSS, além de utilizar ferramentas exclusivas, sempre com o objetivo de garantir a maior qualidade e confiabilidade possíveis para o serviço, realizado com total transparência junto ao Cliente.

Compartilhe esta página. Promova para seu time.

Você tem um problema

Ajudamos na descrição clara do que precisa ser solucionado com base nas informações relevantes sobre o problema e suas prováveis causas.

Nós temos a solução

Temos por premissa transformar conhecimento e tecnologia em soluções e resultados, agregando facilidades para negócios de cada cliente.

planejamento e execução

Temos experiência em planejamento e execução das medidas necessárias para solucionar o problema.

De que forma podemos ajudar você?

  • Observar o todo, as complexidades, as implicações e ramificações do problema examinado.
  • Dar atenção aos detalhes, especialmente aqueles de pouca visibilidade, mas críticos.
  • Sair da mesmice e gerar soluções inovadoras com imaginação e coragem para romper paradigmas e superar preconceitos.

entre em contato

Brazil: +55 012 3949 1178
Canada: +1 514 463 2615

deixe seu contato

Vamos juntos trabalhar no seu projeto