Perguntas frequentes

Um teste de intrusão da Vantico inclui DDoS?

Não. Na Vantico, reconhecemos que tais ataques aumentam a probabilidade de interrupções operacionais ou o risco de danos colaterais. Acreditamos firmemente que não há nenhuma vantagem genuína em conduzir tais testes durante um teste de intrusão.

Qual teste de intrusão eu devo escolher: Black, Gray ou White Box?

Opte por um Teste de Intrusão White Box se você estiver preparado para fornecer o código-fonte e os arquivos de configuração para o pentester, ou se o aplicativo for de código aberto, pois ele simula efetivamente ameaças que têm ou tiveram acesso ao código-fonte. Selecione um Teste de Intrusão Gray Box para uma abordagem do melhor dos dois mundos, pois ele permite que o pentester descubra a maioria das vulnerabilidades acessíveis a invasores externos e internos. Escolha um Teste de Intrusão Black Box se sua principal preocupação for sobre agentes de ameaças externas.

Preciso configurar um ambiente de preparação?

Geralmente conduzimos testes no ambiente de preparação e desaconselhamos testes no ambiente de produção para minimizar o risco de interrupções operacionais ou danos colaterais. Dito isso, os testes em preparação são desencorajados se não refletirem com precisão o ambiente de produção ou não tiverem dados representativos, pois isso fornecerá menos valor de uma perspectiva de segurança.

Grandes mudanças no sistema podem ser feitas durante o teste de intrusão?

Aconselhamos não implementar mudanças significativas no sistema durante o teste de intrusão. Embora forçar pequenas mudanças seja aceitável, recomendamos manter um ambiente estável durante todo o engajamento para garantir a precisão e a confiabilidade do processo de teste.

O que devo esperar da chamada de definição do escopo teste de intrusão? Devo preparar algo?

Veja esta seção.

Qual tipo de qualificação devo procurar em um pentester para avaliar seu nível de habilidade?

Histórico técnico, certificações, habilidades de comunicação. Avalie o histórico técnico e as certificações de um pentester, começando com o padrão da indústria, o OSCP, e continuando com qualquer outra certificação de Segurança Ofensiva que você acredita ser relevante para o teste de intrusão, como OSCE ou OSWE. A comunicação eficaz é igualmente importante — garantindo uma orientação clara desde a chamada de escopo inicial, durante toda a avaliação e por meio do suporte com Cartas de Atestado e Engajamento.

Quais são os prazos de entrega para um teste de intrusão?

O tempo entre a assinatura do contrato e o início do teste de intrusão costuma ser de alguns dias se houver pressa, mas pode levar até uma semana em horários de pico.

Quais são as consequências de 0 vulnerabilidades descobertas?

Embora tais engajamentos sejam altamente improváveis, o resultado depende do escopo do engajamento e do tamanho do negócio. Para uma startup com mais de 10 funcionários e um teste de intrusão Gray-box, vulnerabilidades são normalmente encontradas, especialmente se for o primeiro teste. Se o escopo for limitado ou a segurança do aplicativo for forte, não pode haver vulnerabilidades, mas o pentester deve explicar seus métodos, falhas e desafios.

Devo compartilhar o relatório do teste de intrusão com os clientes?

Você pode compartilhar o relatório do teste de intrusão se quiser, mas fornecemos um documento projetado especificamente para esse propósito. Na Vantico, oferecemos uma Carta de Atestado, que fornece uma visão geral de alto nível do teste de intrusão, incluindo o perfil do pentester e a pontuação geral de risco ou número de descobertas. Recomendamos que a Carta de Atestado seja compartilhada com as partes interessadas.