Docsity
Docsity

Prepare-se para as provas
Prepare-se para as provas

Estude fácil! Tem muito documento disponível na Docsity


Ganhe pontos para baixar
Ganhe pontos para baixar

Ganhe pontos ajudando outros esrudantes ou compre um plano Premium


Guias e Dicas
Guias e Dicas

Como apresentar seu kickoff, Transcrições de Análise de Segurança

O kickoff é uma parte fundamental antes do pentest ser realizado, o spit escrito é para a modalidade gray box de pentest.

Tipologia: Transcrições

2021

Compartilhado em 23/11/2024

aleestrelinhagoold
aleestrelinhagoold 🇧🇷

1 documento

1 / 1

Toggle sidebar

Esta página não é visível na pré-visualização

Não perca as partes importantes!

bg1
Boa tarde! Sou a XXXXXX do time de segurança da informação da XXXX. Cuido da parte de
pentests.
Vou explicar brevemente como funciona o nosso processo:
Primeiro entramos em contato por meios de comunicação da companhia com o responsável
solicitando que preencha o formulário com as dados do projeto, em seguida enviamos para
a consultoria e marcamos uma agenda intitulada kickoff para que o time apresente o projeto
e as suas jornadas e alinharmos o que ainda precisa ser enviado de requisitos e como
deverá ser realizado. Com a posse de todos esses insumos, nos é passado um período de
testes que varia de acordo com a complexidade do projeto.
O que é:
O teste de intrusão, que possui o intuito de simular um atacante real, atacante malicioso.
Onde a consultoria contratada fará esse procedimento de identificar, explorar e classificar o
que é encontrado , e para isso ocorrer eles seguem algumas
Metodologias:
Blackbox - apenas a url
Greybox- Url, credenciais e apresentação básica de como o projeto funciona
WhiteBox - Credenciais, documentação e até mesmo o código fonte.
E é acompanhado dos principais frameworks de mercado como OWASP Testing Guide,
Pentest Execution Standard entre outros.
E como é feito, eles realizam pesquisas no google dorks, exploração com ferramentas
automatizadas como burp suit e kali linux e também de manual, validação das issues
encontradas para não ter nenhum falso positivo, e classificam qual a severidade com base
na viabilidade e criticidade dessa vulnerabilidade na calculadora cvss score 3.0.
E pq realizar um pentest: melhorar os controles de segurança, reduzir os riscos de ataques
reais e violações de dados e manter a reputação da empresa.
Com todo esse trabalho feito, marcamos uma outra agenda para apresentar como e em que
ponto foram encontradas as fragilidades.
Posteriormente nós entregamos por e-mail os tickets e relatórios, para que vocês atuem em
suas correções. Temos os seguintes SLAs hoje.
E esse cronograma e proposta de testes dos sistemas de vocês, está alinhada com o nosso
vice-presidente, e ele tem a expectativa de receber esse relatório.
Conosco hoje temos o nosso parceiro que executará os testes no nosso ambiente.
Agora precisamos conhecer um pouco mais do projeto, então eu gostaria que vocês falem
de mostrem as funcionalidades, as linguagens usadas, o que devemos prestar atenção.

Pré-visualização parcial do texto

Baixe Como apresentar seu kickoff e outras Transcrições em PDF para Análise de Segurança, somente na Docsity!

Boa tarde! Sou a XXXXXX do time de segurança da informação da XXXX. Cuido da parte de pentests. Vou explicar brevemente como funciona o nosso processo: Primeiro entramos em contato por meios de comunicação da companhia com o responsável solicitando que preencha o formulário com as dados do projeto, em seguida enviamos para a consultoria e marcamos uma agenda intitulada kickoff para que o time apresente o projeto e as suas jornadas e alinharmos o que ainda precisa ser enviado de requisitos e como deverá ser realizado. Com a posse de todos esses insumos, nos é passado um período de testes que varia de acordo com a complexidade do projeto. O que é : O teste de intrusão, que possui o intuito de simular um atacante real, atacante malicioso. Onde a consultoria contratada fará esse procedimento de identificar, explorar e classificar o que é encontrado , e para isso ocorrer eles seguem algumas Metodologias: Blackbox - apenas a url Greybox- Url, credenciais e apresentação básica de como o projeto funciona WhiteBox - Credenciais, documentação e até mesmo o código fonte. E é acompanhado dos principais frameworks de mercado como OWASP Testing Guide, Pentest Execution Standard entre outros. E como é feito, eles realizam pesquisas no google dorks, exploração com ferramentas automatizadas como burp suit e kali linux e também de manual, validação das issues encontradas para não ter nenhum falso positivo, e classificam qual a severidade com base na viabilidade e criticidade dessa vulnerabilidade na calculadora cvss score 3.0. E pq realizar um pentest : melhorar os controles de segurança, reduzir os riscos de ataques reais e violações de dados e manter a reputação da empresa. Com todo esse trabalho feito, marcamos uma outra agenda para apresentar como e em que ponto foram encontradas as fragilidades. Posteriormente nós entregamos por e-mail os tickets e relatórios, para que vocês atuem em suas correções. Temos os seguintes SLAs hoje. E esse cronograma e proposta de testes dos sistemas de vocês, está alinhada com o nosso vice-presidente, e ele tem a expectativa de receber esse relatório. Conosco hoje temos o nosso parceiro que executará os testes no nosso ambiente. Agora precisamos conhecer um pouco mais do projeto, então eu gostaria que vocês falem de mostrem as funcionalidades, as linguagens usadas, o que devemos prestar atenção.