Teste de invasão: Geração de Relatório

No post anterior da série, discutimos a fase do teste de invasão chamada de Pós-exploração de falhas.

Neste post, vamos falar sobre a última fase do teste de invasão: Geração de Relatório. Confira!

Após toda a coleta de informações sobre o alvo a ser testado, com base em fontes abertas, e após toda a análise de vulnerabilidades e exploração das falhas, é hora de criar os relatórios com base na pós-exploração de falhas, que vai destacar que pontos críticos com relação à segurança da informação são relevantes para o cliente.

São gerados dois tipos de relatório:

  • Sumário executivo: Descreve os objetivos do teste e oferece uma visão geral dos resultados, levando em consideração que o público-alvo são os executivos responsáveis pelo projeto — que podem não ser pessoas técnicas.
  • Relatório técnico: Nesta seção, estão presentes todos os detalhes técnicos da realização dos testes, considerando que o público-alvo são os responsáveis por implementar as melhorias. Neste relatório, também existe um direcionamento de como realizar a correção de cada problema encontrado.

Com os relatórios gerados, finalizamos o processo do teste de invasão!

Nesta série de posts sobre Teste de Invasão, discutimos sobre todas as fases que compõem esse tipo de teste, que são:

  • Preparação
  • Coleta de informações
  • Modelagem de Ameaças
  • Análise de Vulnerabilidades
  • Exploração de Falhas
  • Pós-exploração de falhas
  • Geração de Relatório

Todos os posts podem ser enontrados acessando este link.

O Teste de Invasão é realizado para identificar vulnerabilidades através de diversas técnicas e explorá-las, com o objetivo de ganhar acessos não-autorizados simulando o que atacantes fariam, o que coloca em risco a confiabilidade, integridade e disponibilidade da informação.

A realização desse tipo de teste é de extrema importância para evitar que a empresa tenha que dar esclarecimentos sobre vazamento de informações, entre outros problemas.

Não podemos deixar de ressaltar que esse tipo de teste pode impactar negativamente a empresa, causando indisponibilidades e, dependendo do negócio, até prejuízos. Por isso, é importante que todo teste de invasão seja autorizado e acompanhado para que, caso aconteça algum problema, os responsáveis possam solucionar rapidamente.

Espero que tenham gostado dessa série de posts \o/

Até a próxima!

Referências: Testes de Invasão: Uma Introdução Prática ao Hacking – Georgia Weidman; Segredos do Hacker Ético – Marcos Flávio Assunção;Curso Fundamentos de Ethical Hacking: curso prático – Marcos Flávio Assunção; OWASP top ten

 

Sobre o(a) autor(a)

Samantha Morais Nunes
Samantha Morais Nunes

Formada em Ciência da Computação pela PUC Minas e pós-graduada em Segurança da Informação pela UNA. Iniciou a carreira na área de QA em 2011 como estagiária e hoje atua como analista de qualidade de software na Take. Participou com Letícia (QA), André (QA) e Rhamon (PO), do STWC 2014, conquistando o 4º lugar na etapa South America e o prêmio Most Useful Test Report. Fez parte da equipe de organização do Minas Testing Conference, um evento sobre qualidade de software que ocorre em Belo Horizonte e atualmente faz parte da equipe de organização dos meetups de Segurança da Informação 0x0d1a e Machine Learning BH.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode usar as seguintes tags e atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

by Take ® 2015 | Todos os direitos reservados.linkedin