Parceiros

Neste guia, discutiremos como realizamos o escopo e as perguntas que você deve fazer a clientes em potencial para ter uma ideia melhor do tamanho de um projeto.

Documentos de suporte:

  • Precificação em excel

Antes de começarmos

Algumas coisas importantes para lembrar durante o escopo:

Não é uma ciência exata. Muitas vezes, estamos estimando com base na experiência passada e nos dados limitados fornecidos a nós pelos clientes.

Dado o ponto 1, não há problema em sub/superdimensionar o escopo. Erros acontecerão; não há necessidade de se estressar com isso. Aprenda e siga em frente.

É mais fácil obter informações de um cliente em uma chamada de escopo de 30 minutos do que em um documento de escopo. Geralmente, com a cultura da nossa empresa, preferimos a comunicação pessoal, mas também é mais fácil fazer perguntas diretas sobre o escopo e os porquês.

O escopo deve ser fácil para o cliente. As perguntas sobre o escopo podem ser incomuns para eles. Tente tornar a experiência o mais fácil possível.

A estimativa de tempo deve incluir tudo o que é necessário para fornecer um serviço de alta qualidade. Isso inclui:

  • O hacking/teste/trabalho/etc. real.

  • Escrita de relatório

  • QA desse relatório

  • Reuniões de início e debriefing

  • Comunicações contínuas com o cliente

  • Tempo de viagem interestadual

Com esses pontos em mente, vamos continuar.

Normalmente, a conversa pode começar com um cliente pedindo um trabalho muito específico: "Preciso de um teste de invasão externo".

Esse é um ótimo ponto de partida, mas precisamos dar alguns passos para trás.

Por que eles precisam de um teste de invasão externo?

Pesquise profundamente aqui. Respostas como "Para encontrar vulnerabilidades" não são úteis, então você terá que ser mais direto.

Existe um requisito de auditoria?

Eles estão preocupados que os dados do cliente sejam violados?

Eles têm um dever de cuidado?

Existe um requisito de tempo de atividade?

Diferentes empresas se preocupam com a segurança por diferentes motivos, e é importante chegar ao cerne desses motivos.

Entender os motivos ajudará imensamente ao recomendar o que eles devem fazer com sua segurança. Talvez um teste de invasão externo seja o caminho certo a seguir, mas talvez uma revisão de segurança seja melhor, ou ambos.

Perguntas de contexto

Algumas outras coisas que você pode querer perguntar:

Prazos: quando eles precisam que o trabalho comece? Há algum prazo?

Orçamento: é totalmente aceitável se o cliente não tiver um e não quiser compartilhar essas informações, mas saber o orçamento nos ajuda a fazer melhores recomendações e obter o melhor retorno sobre o investimento.

Restrições: há algo que possa afetar nossa capacidade de fazer o trabalho?

Comunicação: eles preferem e-mail ou chamadas telefônicas? Eles usam o Slack para comunicações (se sim, podemos conectar os espaços de trabalho)?

Escopo do teste de invasão

Agora que você conhece os requisitos do cliente e por que ele precisa de ajuda com infosec, podemos fazer perguntas específicas sobre o escopo pretendido.

(Se ainda não fez, agora é um bom momento para fazer uma pausa e verificar nosso Catálogo de Serviços antes de continuar) .

Teste de Invasão externo

Este é bem fácil. Usamos números brutos para isso, então precisamos saber:

Quantos endereços IP externos o cliente possui (total)?

Quantos deles estão ativos (hospedando pelo menos 1 serviço)?

Quantos domínios raiz estão no escopo (por exemplo, example.com)?

Uma coisa importante a ser observada: os testes de invasão externos cobrem aplicativos prontos para uso, como Outlook Web Access, páginas de login VPN, compartilhamento de arquivos etc., mas não cobrem aplicativos da Web personalizados criados apenas para o cliente. Use o guia de escopo do aplicativo da Web para eles.

Teste de invasão interno

Os internos são muito parecidos. Usamos números brutos para determinar o tamanho do escopo:

Quantos servidores existem (físicos e virtuais)?

Quantos dispositivos de rede existem (roteadores, switches, pontos de acesso etc.)?

Quantos dispositivos de usuário existem (estações de trabalho, laptops)?

Quantos dispositivos de IoT existem (câmeras, telefones, impressoras, qualquer outra coisa com um endereço IP)?

Existe um domínio do Windows (Active Directory)?

De qual local físico estamos testando?

Teste de invasão de Aplicação Web

Devido à complexidade dos aplicativos da Web, eles podem ser incrivelmente difíceis de definir. Em vez de usar números brutos como nos anteriores, tentamos avaliar o quão "complexo" um aplicativo da Web é. Normalmente, quanto mais funções, mais complexo o aplicativo é. Se alguma funcionalidade afeta outra funcionalidade, a complexidade aumenta novamente.

Para demonstrar, aqui estão alguns exemplos:

Aplicação grande

Um aplicativo grande é aquele que tem centenas de recursos/funções e onde as funções podem ser inter-relacionadas entre si. Ele pode ter vários caminhos de autenticação, funcionalidade de leitura/gravação para vários conjuntos de dados, ter funcionalidade de upload ou um fluxo complexo. Por exemplo, um CMS como o Pipedrive é considerado um aplicativo grande.

Aplicação média

Um aplicativo médio tem dezenas de funções (10-100). Essas funções são complexas e podem se inter-relacionar entre si. Por exemplo, um aplicativo básico de comércio eletrônico com produtos, um carrinho de compras e funcionalidade de pagamento é considerado um aplicativo médio.

Aplicação pequena

Um aplicativo pequeno tem poucas funções (menos de 10) e são simples por natureza. Por exemplo, um site quase estático com uma função de pesquisa e um formulário de contato seria considerado pequeno.

Autenticado vs. Não autenticado

Autenticado vs. Não autenticado é tudo sobre a perspectiva. Quantas funções podem ser vistas/acessadas da perspectiva fornecida. A perspectiva guiará o tamanho visível do aplicativo. Por exemplo, um aplicativo CMS visto de uma perspectiva autenticada teria centenas de funções, tornando-o uma aplicação grande. Enquanto isso, o mesmo aplicativo de uma perspectiva não autenticada teria apenas as funções de login e redefinição de senha visíveis, tornando-o uma aplicação pequena.

Teste de invasão de aplicação mobile

Aplicativos móveis são tão complexos de escopo quanto aplicação web.

Este aplicativo está no Android, iOS ou ambos?

Como podemos obter acesso ao aplicativo (por exemplo, AppStore, TestFlight, arquivo apk personalizado)?

Campanha de phishing

O phishing é mais bem discutido com o cliente por meio de uma chamada. No entanto, algumas perguntas preliminares são:

Quantos usuários estamos testando?

Quantas campanhas (rodadas) estamos realizando?

Outros serviços

Qualquer serviço não coberto acima deve ter uma chamada de escopo. Como a infosec é cheia de jargões e terminologia mista, há muito espaço para confusão sem uma chamada de escopo.

Projetos com tempo limitado

Embora prefiramos projetos de escopo completo (cujo fim é ditado por um resultado), oferecemos uma opção para limitar o tempo de um projeto.

Em um projeto com tempo limitado (ou time-boxed), realizamos qualquer trabalho que pudermos em um determinado período de tempo. Nesse cenário, não podemos garantir um resultado satisfatório ou que cobrimos todo o escopo, e é por isso que não é o ideal.

Há, no entanto, circunstâncias em que um projeto com tempo limitado é favorável; por exemplo, quando o escopo não é bem definido devido à falta de informações, ou quando há restrições de tempo ou orçamento. Nesses casos, um escopo ainda precisa ser definido, mas pode ser limitado no tempo com os seguintes mínimos:

Tipo de Projeto
Mínimo de dias necessários

Pentest Externo

2

Pentest Interno

3

Pentest Aplicação Web

2

Pentest Aplicação Mobile

3

Outros tipos não podem ser limitados por tempo.

Custos de viagem

Alguns trabalhos, como testes de invasão internos, exigem que compareçamos ao escritório do cliente e o local específico do teste deve ser discutido com o cliente durante o escopo. Isso significa que pode haver custos de viagem se o consultor precisar viajar para um local de difícil acesso.

Os custos de viagem devem ser estimados com antecedência e adicionados ao orçamento total do projeto. Eles são cobrados pelo custo, portanto, não obtemos lucro aqui. Os custos de viagem podem incluir:

  • Voos

  • Acomodação

  • Transfers de/para o aeroporto

  • Aluguel de carro

  • Refeições

Dúvidas?

A segurança é um problema complicado, então, se você tiver alguma dúvida, nossos consultores estão sempre disponíveis para respondê-las ou atender chamadas de escopo com os clientes.

Outros Serviços

Oferecemos muitos outros serviços que podem ser melhor explorados em uma curta ligação de 30 minutos.

Teste de intrusão personalizado

Encontre vulnerabilidades no seu sistema personalizado.

Red Team

Simule um adversário mirando sua organização. Teste seus playbooks de SOC e resposta a incidentes.

Avaliação de Segurança em Nuvem

Verifique a configuração do seu ambiente AWS, Azure ou Microsoft 365.

Revisão Segura

Verifique a configuração do seu Active Directory, Windows 10 SOE, Exchange e outros produtos.

Campanha de Vishing

Engenharia social por telefone para testar a conscientização de segurança de sua equipe.

Campanha de SMishing

Engenharia social baseada em SMS para testar a conscientização de segurança de sua equipe.

Distribuição de USB

Teste a conscientização de segurança da sua equipe contra pen drives maliciosos.

Intrusão física

Teste seus controles de segurança física contra ataques.

Governança, Risco & Conformidade

Estratégia de segurança, execução de serviços de educação e análise de lacunas, verifique sua governança de segurança em relação ao NIST, ISO 27001, ACSC Essential 8 e muito mais.

PreviousPentest DesktopNextWhitepaper

Last updated