Preparação para o Pentest

As informações que você precisa preparar antes de iniciar um Pentest dependem do seu tipo de ativo:

• WEB Application

• Mobile Application

• API

• Rede Externa

• Rede Interna

• Configuração Cloud

WEB Application

Informações necessárias para configurar seu Pentest:

• Dependendo do tipo da sua aplicação WEB:

  • Aplicação tradicional: O número de páginas dinâmicas. Uma página dinâmica é uma página da web com conteúdo dinâmico com o qual um usuário pode interagir.

    • Conte o número de páginas dinâmicas com base em modelos de página únicos.

    • Páginas estáticas somente de leitura não são contadas porque não há interação.

    • Um catálogo de produtos não é contado porque o fluxo de página não é único.

  • Aplicação de página única: O número de rotas na aplicação. Em aplicações de página única usando frameworks como Angular, React, Ember, Backbone ou Meteor, a separação lógica do conteúdo é tratada por meio de rotas. As rotas fornecem URLs únicos para conteúdos específicos dentro da aplicação. Como exemplo, leia a documentação do React Router para saber mais sobre roteamento.

• Informações básicas sobre as funções do usuário, como:

  • O número de tipos de funções diferentes que você deseja testar

  • Estrutura de permissão para funções de usuário

• URLs ou nomes de domínio da aplicação

• Credenciais de teste para cada pentester

• O que está dentro e fora do escopo do pentest (por exemplo, APIs)

• Visita guiada ao produto ou documentação, se disponível

• Se o escopo não estiver publicamente disponível, adicione os IPs da Cobalt à lista de permissões

• Requisitos especiais para o pentest, se houver.

• Opcional:

  • Matriz de funções do usuário

  • Lista de prioridades (por exemplo, foco em novos recursos ou fluxos de trabalho específicos)

  • Vetores de ataque que mais preocupam você

Aprenda como definir o escopo de um teste de penetração para uma aplicação web na interface da Vantico.

Aplicação Mobile

Informações necessárias para configurar seu Pentest:

• Sistemas operacionais (SOs) nos quais o aplicativo é executado:

  • Aplicações nativas são construídas para serem executadas em um sistema operacional móvel específico, como iOS ou Android.

  • Aplicações não nativas são construídas para serem executadas em vários sistemas operacionais.

• Framework da Aplicação

• Acesso à sua aplicação:

  • Links para download, se o aplicativo estiver disponível publicamente

  • Arquivos IPA ou APK, se o aplicativo não estiver disponível publicamente

• Se o aplicativo ainda não estiver em produção, acesso ao TestFlight ou Crashlytics

• Credenciais de teste para cada pentester

• Tecnologia Stack

• O que está dentro e fora do escopo do pentest (por exemplo, APIs)

• Visita guiada do produto ou documentação, se disponível

• Requisitos especiais para o pentest, se houver.

Aprenda como definir o escopo de um teste de penetração para uma aplicação mobile na interface da Vantico.

API

Informações necessárias para configurar seu Pentest:

• Dependendo do tipo da sua API:

  • API RESTful: O número de endpoints na API. Ignore parâmetros específicos e métodos HTTP para cada endpoint. API

  • GraphQL: O número de consultas e mutações na sua API. Para fins de pentest, isso é funcionalmente equivalente ao número de endpoints da API RESTful.

• Amostras de solicitações e respostas

• Informações básicas sobre os papéis do usuário, como:

  • O número de tipos de funções diferentes que você deseja testar

  • Estrutura de permissão para funções de usuário

• Tecnologia Stack

• Documentação, se disponível: projetos Swagger, Postman, SoapUI ou arquivos OpenAPI

• Requisitos especiais para o pentest, se houver algum.

Aprenda como definir o escopo de um teste de penetração para uma API na interface da Vantico.

Rede Externa

Informações necessárias para configurar seu Pentest:

• O número de hosts ativos na rede:

  • Um número explícito de hosts ativos; ou

  • Um bloco CIDR juntamente com uma porcentagem de saturação.

• IPs ou intervalos de IPs

• Nomes de domínio

• Visão geral de alto nível da rede (preferencialmente, com um diagrama de rede)

• Requisitos especiais para o pentest, se houver algum.

Aprenda como definir o escopo de um teste de penetração para uma Rede Externa na interface da Vantico.

Rede Interna

Informações necessárias para configurar seu Pentest:

• O número de hosts ativos na rede

• IPs ou intervalos de IP

• Método de conectividade remota

• Posicionamento adequado na rede para avaliar o ambiente (visibilidade de rede)

• Para testes de penetração PCI, a necessidade de testes de segmentação

• Requisitos especiais para o teste de penetração, se houver

• Outras considerações que possam afetar o escopo: por exemplo, múltiplas jump boxes na rede

Aprenda como definir o escopo de um teste de penetração para uma Rede Interna na interface da Vantico. Para que os pentesters da Vantico executam testes de penetração para redes internas remotamente, eles precisam de:

• Acesso à rede corporativa interna por meio de uma conexão VPN estável

• Um servidor Linux leve dentro da rede que serve como um ponto de acesso a partir do qual os pentesters podem escanear e testar a rede interna durante a avaliação.

Dependendo da configuração da sua rede, faça o seguinte:

• Para redes que operam em máquinas da Amazon Web Services (AWS):

  • Crie uma Máquina Virtual (VM) Kali dentro da AWS.

  • Configure o acesso SSH baseado em chave para cada pentester.

• Para redes que não utilizam uma configuração de rede em nuvem:

  • Baixe uma imagem do Kali VMWare/VirtualBox.

  • Configure o acesso SSH baseado em chave para cada pentester.

Configuração Cloud:

Os pentesters da Vantico podem testar serviços nas seguintes plataformas:

• Google Cloud Platform (GCP)

• Amazon Web Services (AWS)

• Microsoft Azure Cloud (Azure)

Cada plataforma inclui diferentes categorias de serviços, como EC2, bancos de dados e motores de aprendizado de máquina. Informações necessárias para configurar seu pentest:

• Sua plataforma de nuvem: GCP, AWS ou Azure

• Dependendo da sua plataforma de nuvem, o número de Contas de Usuário, Projetos ou Grupos de Recursos:

  • GCP: O tamanho da configuração da nuvem é baseado em Projetos. No Identity and Access Management (IAM), o acesso é gerenciado por meio de políticas do IAM. Uma política do IAM pode ser anexada a um Projeto do Google Cloud. Cada política contém uma coleção de associações de função que associam um ou mais princípios, como usuários ou contas de serviço, a uma função do IAM.

  • AWS: O número de contas da AWS dentro da Organização da AWS. O usuário IAM que os pentesters usarão para enumerar e avaliar as configurações da AWS é definido com base nessas contas.

  • Azure: As assinaturas podem conter vários Grupos de Recursos - contêineres que armazenam recursos relacionados para uma solução Azure. O CIS Benchmark para Azure é avaliado no nível da assinatura.

• O número de serviços únicos na configuração. Serviços únicos são as diferentes funcionalidades que você configurou em sua implantação na nuvem.

  • Exemplos de serviços: EC2, S3, Comprehend, Kubernetes, Azure Bot Service, Cloud Storage, Azure Container Service.

  • A Vantico dimensiona o tamanho da Instância Única de Serviços Usados para Avaliações de Configuração em Nuvem, pois estamos enumerando configurações, não hosts. Por exemplo: 100 instâncias EC2 que usam a mesma imagem base são consideradas redundantes do ponto de vista da configuração e contadas como 1 serviço único.

• Visão geral de alto nível da configuração em nuvem: Provedores e Serviços (preferencialmente, com diagramas)

• Acesso somente leitura do IAM para pentesters (por exemplo, SecurityAudit e ViewOnlyAccess para AWS)

• Requisitos especiais para o pentest, se houver.

Aprenda como definir o escopo de um teste de invasão para uma Configuração Cloud na interface da Vantico.

Ativos Combinados:

Para um ativo que combina vários tipos de ativos, siga as diretrizes para cada tipo:

• Web + API

• Web + API + Rede Externa

• Web + Rede Externa

• Web + Mobile