Planejamento e Escopo do Pentest

Defina um planejamento. Defina um Escopo do Pentest.

Marque a data de início de seu Pentest e defina o escopo

Na quarta etapa do assistente de pentest, você pode:

  • Agendar um Pentest

  • Definir Escopo do Pentest

Agende o Pentest

Dependendo do seu nível de PtaaS, você pode agendar Pentests com uma data de início de pelo menos um a três dias úteis após a submissão para revisão. Pentests enviados após as 19:00 (UTC -3) exigirão um dia útil adicional para o início.

Se você tiver quaisquer requisitos especiais, como qualificações para certificações de pentester, reservamos o direito de iniciar o pentest posteriormente ao tempo estipulado no seu pacote PtaaS.

Linha do Tempo Pentest

Os prazos do pentest dependem do tipo de pentest, escopo e outros fatores. Quando você agenda o seu pentest e define uma data de início, a data de término é preenchida automaticamente.

Linha do Tempo de Pentest Padrão

  • Pentests Completo: 14 dias

  • Pentests Ágil:

    • 3 ou 4 créditos: 7 dias

    • A partir de 5 créditos: 14 dias

Entenda mais sobre Tipos de Pentest.

Importante:

A duração do Pentest varia de acordo com o escopo e outros fatores.

Pentests devem ser completados antes de que seu contrato termine. Não podemos realizar pentest fora do período de assinatura.

Escopo do Pentest

A complexidade do seu Ativo é determinada pelo número de créditos requirido pelo Pentest. Quanto maior o escopo do pentest, mais créditos irá requirir.

Um crédito Vantico é uma unidade padronizada de trabalho que representa 8 horas de teste de invasão. Você pode pensar em um crédito Vantico como um voucher virtual que você consome sempre que deseja executar um teste de invasão. Saiba mais sobre os créditos Vantico

Escopo de um Pentest Completo

Quando você configura um novo teste completo para um ativo que já foi testado completamente anteriormente, você pode selecionar uma das opções:

  • Se o tamanho geral do ativo não mudou, herde o escopo do seu último pentest completo concluído.

  • Se o tamanho geral do ativo mudou, redefina o escopo do pentest ajustando os parâmetros de escopo, conforme descrito abaixo.

Para definir o escopo do pentest, identifique a complexidade do seu ativo. Em Escopo, especifique o número de características associadas ao ativo que precisam ser testadas. Para obter números exatos, consulte o proprietário do ativo dentro da sua organização. Os parâmetros de escopo diferem para cada tipo de ativo:

  • Web

  • Mobile

  • API

  • Rede Externa

  • Rede Interna

  • Configuração Cloud

  • Desktop

  • AI/LLM Pentest

  • Ativos de múltiplos tipos

Depois de delimitar o pentest, revise os créditos necessários, conforme determinado pelo nosso algoritmo.

Web

Para delimitar um teste de invasão para um ativo da Web, especifique o número das seguintes características do ativo que precisam ser testadas.

ParâmetroDefiniçãoDiretrizes do Escopo

Funções do Usuário

Uma função de usuário é um grupo de usuários dentro de um aplicativo com permissões específicas, como administrador, gerente ou convidado.

Digite o número de Funções de Usuário em seu ativo da Web que precisam ser testadas.

Determine as Funções de Usuário com base em personas, ou grupos de usuários-alvo do seu ativo. Agrupe as permissões do usuário em vários níveis e conte o número desses grupos.

Páginas/Rotas

Uma página é um documento de hipertexto com um URL único com o qual um usuário interage. Páginas dinâmicas são mais relevantes para testes de penetração.

  • Páginas estáticas somente de leitura não são contabilizadas pois não há interação.

  • Um catálogo de produtos não é medido porque o fluxo de páginas não é único.

Uma Rota é um sistema de navegação de recursos em aplicações de página única (SPAs). Em SPAs que utilizam frameworks como Angular, React ou Ember, as rotas fornecem URLs únicos para conteúdos específicos dentro da aplicação.

Determine o tipo do seu ativo da Web:

  • Aplicação web tradicional. Insira o número de páginas dinâmicas com base em modelos de página únicos.

  • Como parte dos nossos testes para páginas dinâmicas, também testamos frequentemente os endpoints da API do backend que são usados para preencher o conteúdo nessas páginas.

  • Aplicação de página única. Digite o número de rotas a serem testadas.

  • Como exemplo, leia a documentação do React Router para aprender mais sobre roteamento.

Normalmente, um aplicativo inclui um ou mais módulos ou arquivos de roteamento onde você pode recuperar o número de páginas ou rotas usando comandos ou ferramentas especiais.

Nota:

Se as únicas APIs em seus ativos preenchem páginas da web, você pode não precisar configurar um ativo de API separado. Testamos essas APIs como parte dos nossos testes de um ativo da Web.

Mobile

Para delimitar um pentest para um dispositivo móvel, especifique o número das seguintes características do ativo que precisam ser testadas.

ParâmetroDefiniçãoDiretrizes do Escopo

Sistemas Operacionais

Um sistema operacional (SO) é um software que permite que smartphones, tablets e outros dispositivos executem aplicativos e programas.

Digite o número de sistemas operacionais (iOS, Android, Windows Mobile, etc) em seu ativo móvel que precisam ser testados.

Aplicações nativas são construídas para serem executadas em um sistema operacional móvel específico, como iOS ou Android.

Aplicações não nativas são construídas para serem executadas em múltiplos sistemas operacionais.

API

Para delimitar um pentest para um ativo de API, especifique o número das seguintes características do ativo que precisam ser testadas.

ParâmetroDefiniçãoDiretrizes do Escopo

Funções do Usuário

Uma função de usuário é um grupo de usuários dentro de um aplicativo com permissões específicas, como administrador, gerente ou convidado.

Digite o número de Funções de Usuário em seu ativo de API que precisam ser testadas.

Determine as Funções de Usuário com base em personas ou grupos de usuários-alvo do seu ativo. Agrupe as permissões do usuário em vários níveis e conte o número de tais grupos.

Endpoints / GraphQL Queries e Mutations

Um Endpoint de API RESTful é uma URL onde uma API recebe solicitações sobre um recurso específico em seu servidor. Uma GraphQL Queries é um método para buscar dados. Uma GraphQL Mutation é uma operação que permite modificar dados do lado do servidor.

Podemos testar tanto APIs RESTful quanto APIs GraphQL. No entanto, essas APIs funcionam de maneiras diferentes.

  • As APIs RESTful configuram dados em diferentes endpoints.

  • Digite o número de endpoints da API RESTful em seu ativo de API para testar.

  • Ignore os parâmetros específicos e os métodos HTTP para cada endpoint. Por exemplo, GET https://api.vantico.io/pentests e POST https://api.vantico.io/pentests são duas solicitações HTTP diferentes para o mesmo endpoint.

  • As APIs do GraphQL possuem um único endpoint, mas utilizam mutações para gerenciar diferentes categorias de dados. As queries permitem buscar dados, enquanto as mutations permitem modificá-los.

  • Digite o número de queries e mutations em seu ativo de API para teste. Para fins de pentest, isso é funcionalmente equivalente ao número de endpoints de API RESTful.

Se você estiver usando ferramentas de API como Swagger, Postman ou Insomnia para trabalhar com seu recurso de API, você pode contar o número de endpoints ou queries e mutations GraphQL nessas ferramentas.

Rede Externa

Para delimitar um pentest para um ativo de Rede Externa, especifique o número de endereços IP em sua rede externa que precisam ser testados.

ParâmetroDiretrizes do Escopo

Endereço IP

Digite o número de Endereços IPs em sua rede externa que você deseja que seja testado

Rede Interna

Para delimitar um pentest para um ativo de Rede Interna, especifique o número de endereços IP em sua rede interna que precisam ser testados.

ParâmetroDiretrizes do Escopo

Endereço IP

Digite o número de Endereços IPs em sua rede interna que você deseja que seja testado

Se você está trabalhando com servidores na nuvem, você pode também configurar um ativo de Configução Cloud.

Configuração Cloud

Pentesters da Vantico podem testar seus serviços nas seguintes plataformas:

  • Google Cloud Platform (GCP)

  • Amazon Web Services (AWS)

  • Microsoft Azure Cloud (Azure)

Cada plataforma inclui diferentes tipos de categorias, como EC2, banco de dados e machine learning.Para um escopo de pentest de Configuração Cloud, especifique o número de características do ativo que precisa ser testado.

ParâmetroDefiniçãoDiretrizes do Escopo

Contas de Usuários, Projetos, Grupos de Recursos

Contas de Usuário referem-se a contas em seu ativo de nuvem.

Projetos são todos os recursos incluídos em seu ativo de nuvem.

Grupos de Recursos são conjuntos de recursos em um ativo de nuvem.

Digite o número total de contas, projetos ou grupos de recursos em seu ativo de nuvem que precisam ser testados.

  • GCP: O tamanho da configuração da nuvem é baseado em Projetos. No Identity and Access Management (IAM), o acesso é gerenciado por meio de políticas do IAM. Uma política do IAM pode ser anexada a um Projeto do Google Cloud. Cada política contém uma coleção de associações de função que associam um ou mais princípios, como usuários ou contas de serviço, a uma função do IAM.

  • AWS: O número de contas da AWS dentro da Organização da AWS. O usuário IAM que os pentesters usarão para enumerar e avaliar as configurações da AWS é definido com base nessas contas.

  • Azure: As assinaturas podem conter vários Grupos de Recursos - contêineres que armazenam recursos relacionados para uma solução Azure. O CIS Benchmark para Azure é avaliado no nível da assinatura.

Instâncias de Serviço Únicas

Serviços únicos são as diferentes funcionalidades que você configurou em sua implantação na nuvem.

Digite o número de serviços únicos em seu ativo de nuvem que precisam ser testados.

  • Exemplos de serviços: EC2, S3, Comprehend, Kubernetes, Azure Bot Service, Cloud Storage, Azure Container Service.

  • Vantico dimensiona Instâncias Únicas de Serviços Usados para Revisões de Configuração em Nuvem, pois estamos enumerando configurações, não hosts. Por exemplo: 100 instâncias EC2 que usam a mesma imagem base são consideradas redundantes do ponto de vista da configuração e contadas como 1 serviço único.

Desktop

Para delimitar um teste de invasão para um ativo de Desktop, especifique o número das seguintes características do ativo que precisam ser testadas.

ParâmetrosDefiniçãoDiretrizes do Escopo

Sistema Operacional (SO)

Um sistema operacional (SO) é um software que permite que dispositivos de mesa executem aplicativos e programas.

Digite o número total de sistemas operacionais em sua aplicação de desktop que precisam ser testados. Exemplos de sistemas operacionais de desktop incluem Microsoft Windows, macOS, várias distribuições Linux e outros.

AI/LLM Pentesting

A Vantico oferece dois níveis de testes de penetração de AI/LLM de ativos relacionados à Web.

  • Injeção de Prompt LLM/AI (+5 créditos) Concentra-se em testar a segurança dos seus sistemas de IA contra ataques de injeção de prompt. Esses ataques manipulam a entrada da IA para gerar uma saída maliciosa, o que pode comprometer a integridade e confidencialidade do sistema.

  • LLM/AI Owasp Top 10 (+16 créditos) Teste seus LLMs contra os 10 principais riscos de segurança de aplicativos da web mais críticos do Open Web Application Security Project (OWASP). Garanta que eles estejam protegidos contra acesso não autorizado, violações de dados e interrupções.

Para delimitar um teste de invasão AI/LLM, especifique o número de recursos independentes de LLM a serem testados.

Se vários recursos independentes forem selecionados, os resultados serão documentados no mesmo relatório e as descobertas serão relatadas no mesmo pentest. Se forem necessários relatórios separados, é recomendável executar testes de penetração separados para cada um deles.

Os pentest AI/LLM podem ser realizados tanto como um pentest completo (incluindo uma análise e relatório final detalhados) quanto como um pentest ágil (sem relatório final).

Pentests AI/LLM estão disponíveis para ativos Web apenas.

Ativos de Múltiplos Tipos

Às vezes, os ativos se encaixam em mais de uma categoria. Para isso, a Vantico suporta testes de penetração em ativos nos seguintes grupos de categorias:

  • Web + API

  • Web + API + Rede Externa

  • Web + Rede Externa

  • Web + Mobile

Para delimitar um pentest para um ativo combinado, especifique o número de características para cada tipo de ativo que ele inclui. Consulte as seções correspondentes deste guia para obter detalhes.

Ver Créditos Requiridos

Depois de identificar o escopo do pentest, você pode ver o número de créditos estimados em Créditos por Pentest. Sempre que você ajustar o escopo, nosso algoritmo atualiza o número de créditos. Você pode ver o número final de créditos necessários quando o pentest estiver planejado, após revisarmos sua solicitação pentest.

Atribua um Ponto de Contato

A equipe da Vantico pode entrar em contato com o ponto de contato para fazer perguntas sobre o pentest.

  • Você pode se designar como o ponto de contato.

  • Para designar outros usuários, vá para a guia Colaboradores na página de pentest.

  • Proprietários da Organização, Membros da Organização e Membros da Equipe de Pentest podem designar um ponto de contato quando o pentest estiver nos estados Rascunho ou Em Revisão.

Próxima Etapa

Se você estiver pronto com seu pentest, selecione Salvar e Sair. Na próxima tela, você pode revisar seu trabalho antes de enviar o pentest.

PreviousEspecifique os Detalhes do PentestNextRevisar e Enviar o Pentest

Last updated