
Estude fácil! Tem muito documento disponível na Docsity
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Prepare-se para as provas
Estude fácil! Tem muito documento disponível na Docsity
Prepare-se para as provas com trabalhos de outros alunos como você, aqui na Docsity
Os melhores documentos à venda: Trabalhos de alunos formados
Prepare-se com as videoaulas e exercícios resolvidos criados a partir da grade da sua Universidade
Responda perguntas de provas passadas e avalie sua preparação.
Ganhe pontos para baixar
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Comunidade
Peça ajuda à comunidade e tire suas dúvidas relacionadas ao estudo
Descubra as melhores universidades em seu país de acordo com os usuários da Docsity
Guias grátis
Baixe gratuitamente nossos guias de estudo, métodos para diminuir a ansiedade, dicas de TCC preparadas pelos professores da Docsity
O kickoff é uma parte fundamental antes do pentest ser realizado, o spit escrito é para a modalidade gray box de pentest.
Tipologia: Transcrições
1 / 1
Esta página não é visível na pré-visualização
Não perca as partes importantes!
Boa tarde! Sou a XXXXXX do time de segurança da informação da XXXX. Cuido da parte de pentests. Vou explicar brevemente como funciona o nosso processo: Primeiro entramos em contato por meios de comunicação da companhia com o responsável solicitando que preencha o formulário com as dados do projeto, em seguida enviamos para a consultoria e marcamos uma agenda intitulada kickoff para que o time apresente o projeto e as suas jornadas e alinharmos o que ainda precisa ser enviado de requisitos e como deverá ser realizado. Com a posse de todos esses insumos, nos é passado um período de testes que varia de acordo com a complexidade do projeto. O que é : O teste de intrusão, que possui o intuito de simular um atacante real, atacante malicioso. Onde a consultoria contratada fará esse procedimento de identificar, explorar e classificar o que é encontrado , e para isso ocorrer eles seguem algumas Metodologias: Blackbox - apenas a url Greybox- Url, credenciais e apresentação básica de como o projeto funciona WhiteBox - Credenciais, documentação e até mesmo o código fonte. E é acompanhado dos principais frameworks de mercado como OWASP Testing Guide, Pentest Execution Standard entre outros. E como é feito, eles realizam pesquisas no google dorks, exploração com ferramentas automatizadas como burp suit e kali linux e também de manual, validação das issues encontradas para não ter nenhum falso positivo, e classificam qual a severidade com base na viabilidade e criticidade dessa vulnerabilidade na calculadora cvss score 3.0. E pq realizar um pentest : melhorar os controles de segurança, reduzir os riscos de ataques reais e violações de dados e manter a reputação da empresa. Com todo esse trabalho feito, marcamos uma outra agenda para apresentar como e em que ponto foram encontradas as fragilidades. Posteriormente nós entregamos por e-mail os tickets e relatórios, para que vocês atuem em suas correções. Temos os seguintes SLAs hoje. E esse cronograma e proposta de testes dos sistemas de vocês, está alinhada com o nosso vice-presidente, e ele tem a expectativa de receber esse relatório. Conosco hoje temos o nosso parceiro que executará os testes no nosso ambiente. Agora precisamos conhecer um pouco mais do projeto, então eu gostaria que vocês falem de mostrem as funcionalidades, as linguagens usadas, o que devemos prestar atenção.