top of page
Nossa equipe

 

Profissionais com experiência em desenhar e entregar soluções tecnológicas que atendam às necessidades reais dos seus clientes, desde o planejamento da infraestrutura de TIC até a operação de seus negócios.

Certificações:

Além das certificações específicas desenvolvidas pelos fornecedores, nossa equipe de consultores reúne uma série de certificações voltadas para melhores práticas de gestão de projetos, governança e gerenciamento de serviços de TI. Entre estas:

  • PMP – Esta certificação de Profissional de Gerenciamento de Projetos (PMP) do Project Management Institute é reconhecida globalmente como a mais importante da indústria. Atesta que os profissionais têm formação, experiência e competência para conduzir e dirigir projetos.

  • COBIT – O Control Objectives for Information and Related Technology (COBIT) é uma das certificações de governança de TI mais utilizadas no mundo. Criado a partir das melhores práticas do mercado, é mantido pela ISACA, associação global de profissionais de auditoria e controle em sistemas de informação.

  • ITIL – Information Technology Infrastructure Library (ITIL) é a principal referência mundial para gerenciamento de processos de TI. Criada pelo Office of Government Commerce (OGC) do governo britânico, tem como objetivo desenvolver as melhores práticas para a gestão da área de TI.

  • ISO 20000 – Primeira norma editada pela International Organization for Standardization (ISO) referente ao gerenciamento de serviços de TI. Compatível com o ITIL, tem como objetivo estabelecer as melhores práticas em gerenciamento de serviços de TI.

  • ISO 27002 – Também editada pela International Organization for Standardization (ISO), é a norma padrão internacional para gestão de segurança de informação.

  • OSCP (Offensive Security  Certified Professional) - Uma das certificações mais desejadas na área de segurança da informação, mais especificamente na área de teste de intrusão

Pentest

 

Somos especialistas em Teste de Intrusão.

 

Com a crescente competitividade do mercado, a adesão de empresas a recursos de tecnologia da informação tornou-se um requisito fundamental tanto para a sobrevivência quanto para o contato com seus Clientes. Mas a utilização em massa de tal infra-estrutura requer planejamento e controle precisos, uma vez que componentes digitais e interconectividade do ambiente corporativo à grande rede trazem consigo inúmeras ameaças ao seu negócio.

Teste de invasão (penetration test, ou simplesmente pentest) são simulações controladas de um ataque real a uma rede, sistema ou ferramenta, visando avaliar a segurança do mesmo. Durante o processo é feita uma análise ativa de vulnerabilidades, fraquezas e deficiências técnicas da atual infra-estrutura física e lógica compondo os objetos em questão (como sistemas e localidades acessíveis ao público externo e interno de uma empresa), com destaque para avaliações de disponibilidade, integridade e confidencialidade das informações do Cliente.

 

O serviço realizado pela ENQ SOLUÇÕES em Segurança da Informação segue os padrões internacionais de Testes de Invasão, como NIST 800-42, OWASP, OSSTMM e ISSAF/PTF, além de utilizar ferramentas exclusivas, sempre com o objetivo de garantir a maior qualidade e confiabilidade possíveis para o serviço, realizado sempre com total transparência junto ao Cliente.

O Teste de Invasão pode ser divido em diferentes abordagens: tentativa de intrusão através do ambiente interno e/ou externo e tentativa de intrusão processual (engenharia social, análise do lixo corporativo e etc). Para que este serviço possa ser realizado, faz-se necessário a assinatura de um Contrato de Ação e Confidencialidade entre as partes, em que o escopo e os limites do mesmo são definidos claramente.

Benefícios:


- Teste prático dos controles de segurança existentes.
- Conhecimento das vulnerabilidades que a sua empresa está exposta.
- Alocação dos recursos de acordo com a prioridade da empresa.
- Adequação dos sistemas de informação da empresa, garantindo assim, a continuidade dos negócios.
- Tomada de decisão baseada em fatos reais.

Conecte-se conosco

ESTAMOS AQUI PARA AJUDÁ-LO A MUDAR

JUNTOS MOLDAREMOS O FUTURO.

 

 

‹TEL:

(61) 98409-0797

(61) 98202-4068

EMAIL:

comercial@enqsolucoes.com.br

leandro@enqsolucoes.com.br

SIGA-NOS:

  • w-facebook
  • Twitter Clean
  • w-linkedin
  • w-youtube
Nossas especialidades

 

Notícias & publicações

17/07/2017

 

PenTeste

O termo PenTest é derivado de Penetration Test, em português a melhor tradução seria Testes de Intrusão ou de Invasão.

O PenTest é um conjunto de técnicas e ferramentas utilizadas para identificar falhas de segurança em sistemas e redes corporativas. Através dessas técnicas, o profissional Pentester irá identificar as vulnerabilidades existentes na arquitetura da empresa, explorá-las e entregar um relatório à empresa, que deverá então tomar as devidas ações para corrigir as falhas de segurança.

Apesar de ser uma simulação de um ataque hacker, é importante mencionar que o PenTest é uma atividade profissional e sobretudo ética. Uma empresa contrata esses serviços para ter seus sistemas analisados por uma empresa ou profissional qualificado.

Um Pentest não é apenas um scaneamento de portas e vulnerabilidades, ele vai além disso. O Pentest faz uso de softwares e ferramentas (pentest tools) para explorar as vulnerabilidades identificadas, buscando identificar que tipo de informação pode ser obtida através daquela falha.

 

O Pen Tester

O profissional especialista nos processos e atividades de um Penetration Test é denominado PenTester. Ele é também chamado de Auditor Pentest ou até Ethical Hacker (hacker ético).

O pen tester é um profissional que possui um elevado conhecimento em sistemas operacionais e redes de computadores e baseado nisso se utiliza de técnicas, ferramentas e softwares para realizar as suas análises.

É comum que também possua um Certificado internacional em Ethical Hacking. Uma certificação como esta dá credibilidade ao profissional e comprova que ele realmente atua de maneira profissional e dentro de princípios éticos.

 

Tipos de PenTest

Existem diversos tipos e classificações para as análises de penetration test, dependendo muito da fonte da informação e da empresa que presta o serviço.

Basicamente esses tipos e sub-classificações diferem nos seguintes termos:

  • Quantidade de informação que a equipe de pen testers possui antes de iniciar o teste

  • Origem do teste, interna ou externa, simulando um ataque de fora da rede ou interno

  • Conhecimento ou não da realização dos testes pelos funcionários internos da empresa

Citando apenas as classifcações mais macro temos os tipos black-box e white-box.

Black-Box

Nesse tipo de análise, considera-se o sistema como uma caixa preta. Ou seja, os Pen Testers não possuem qualquer tipo de informação sobre a infraestrutura de sistemas e de rede da empresa que será auditada. Nesse caso haverá um maior tempo gasto na análise inicial, inclusive uma pesquisa sobre as características da empresa, existência de filiais, os principais diretores, os serviços prestados, qual a arquitetura da rede e os software utilizados e etc.

Esse é o teste normalmente aplicado para se simular um atacker hacker, externo à empresa.

White-box

Nesse tipo de teste, o Pen Tester conhece previamente toda a infraestrutura que será analisada, incluindo o mapeamento de rede, o range de IPs, os firewalls e roteadores existentes e etc. É também comum que o auditor receba um usuário de sistema ou conta de e-mail que é normalmente utilizada por um funcionário da companhia.

Como o auditor possui todas as informações, é menor o risco de que algum serviço não seja percebido e devidamente analisado. Além disso todo o trabalho será focado em identificar e explorar vulnerabilidades, pois não há necessidade de se descobrir informações básicas.

Esse tipo de teste visa também identificar que tipo de atividade pode ser feita indevidamente de dentro da empresa, por um funcionário ou consultor mal intencionado, buscando principalmente evitar o acesso e roubo de informações confidenciais.

 

As Fases de Penetration Test

Uma análise de Pen Test possui fases bem definidas e organizadas, normalmente divididas em um ciclo de vida. Cada fase possui diferentes etapas e sub-fases.

Vamos abordar aqui as principais delas:

 

Fase de Reconhecimento: Nessa fase a equipe de Pen Testers realiza o levantamento do máximo de informações possíveis sobre a empresa analisada. Dados como os serviços prestados, os principais gerentes e diretores, localização física, existência de filias e etc.

Fase de Varredura: Nesse momento é realizado uma varredura do que está presente na rede. Por exemplo, o range de IPs que é utilizado, quais os servidores existentes, os sistemas operacionais utilizados, as portas abertas e etc.

Fase de Obtenção de Acesso e Exploração: Com base no que foi identificado na fase de varredura, o pentest fará a exploração de cada ítem, efetivamente em busca das vulnerabilidades existentes. Com o uso de técnicas de exploit e brute force tentará identificar quais serviços estão vulneráveis e que tipo de informação, falhas ou controles podem ser obtidos através daquele serviço.

Fase de Obtenção de Evidências e Reporte: As evidências de todas as falhas e vulnerabilidades identificadas são coletada pela equipe. Com base nessas informações, é gerado um relatório completo indicando os pontos vulneráveis de todos os elementos da empresa, falhas na rede, em software mal configurados e desatualizados, falta de elementos de segurança e etc, indicando inclusive que prejuízos podem ser causados à empresa em cada uma das falhas.

Teoricamente, não é responsabilidade do PenTest indicar como cada falha deve ser corrigido, isso é responsabilidade da área de TI da empresa. No entanto, algumas empresas e profissionais acabam prestando esse serviço e dando suas recomendações.

04/10/2016

 

O Teste de Intrusão (do inglês "Penetration Test" ou pentest"), também traduzido como "Teste de Penetração", é um método que avalia a segurança de um sistema de computador ou de uma rede, simulando um ataque de uma fonte maliciosa. O processo envolve uma análise nas atividades do sistema, que envolvem a busca de alguma vulnerabilidade em potencial que possa ser resultado de uma má configuração do sistema, falhas em hardwares/softwares desconhecidas, deficiência no sistema operacional ou técnicas contramedidas. Todas as análises submetidas pelos testes escolhidos são apresentadas no sistema, junto com uma avaliação do seu impacto e muitas vezes com uma proposta de resolução ou de uma solução técnica.

bottom of page