Handbook
  • Introdução
  • Empresa
    • Bem Vindo a Vantico!
    • Valores da Vantico
    • Trabalho Remoto
    • Branding
      • Cores
      • Tipografia
      • Ilustrações
      • Tom de voz & Descrições
    • Políticas
    • Soluções utilizadas pela Vantico
  • Serviços
    • Inteligência de ameaças
    • Revisão de código seguro
    • Pentest WEB
    • Pentest API
    • Pentest Mobile
    • Pentest rede interna
    • Pentest rede externa
    • Revisão de configuração cloud
    • Pentest Azure Active Directory
    • Pentest Desktop
    • Pentest IA/LLM
    • Red Team e Emulação de Adversário
  • Parceiros
    • Visão geral sobre Pentest
    • Tipos de Pentest
    • Relatório do Pentest
    • Teste de correção (Re-test)
    • Pentest para PCI DSS
    • Perguntas frequentes
  • Pentester
    • Markdown
    • Como reportar uma vulnerabilidade
  • Plataforma
    • Começe aqui
      • Acessando a Plataforma
      • Preparação para o Pentest
      • Selecione o Tipo de Pentest
      • Definir os Requisitos do Pentest
        • Alvo
        • Teste suas Crendenciais
        • Instruções para cada Pentest
      • Especifique os Detalhes do Pentest
        • Planejamento e Escopo do Pentest
        • Revisar e Enviar o Pentest
        • Expectativas do Pentest
        • Glossário
    • Changelog
    • Pentests
      • Processos do Pentest
        • Estados de Pentest
        • Lista de verificação de cobertura
      • Descobertas
        • Corrigindo Descobertas
        • Estados das Descobertas
        • Níveis de gravidade
      • Relatórios
        • Conteúdo de um relatório Pentest
        • Customize seu Relatório de Pentest
        • Relatórios de Pentest de marca conjunta
    • Colaboração
      • Colabore em Pentests
      • Gerenciar colaboradores do Pentest
      • Funções e permissões do usuário
      • Notificações
    • Domínios
    • DAST Scanner
      • Alvos
      • Autenticação do Alvo
    • Organização
      • Gerenciar usuários
    • Conta Vantico
      • Solucionar problemas de Login
      • Configurações da Conta
      • Melhores Práticas com a Senha
  • Metodologias
    • API
      • GraphQL
      • REST
    • Cloud
      • AWS
      • BucketLoot
      • Referências
    • Mobile
      • iOS
      • Android
      • Referências
    • Kubernetes
    • Rede Externa
      • Enumeração de Subdomínios
      • Low Hanging Fruits
      • Credenciais de Serviços padrão
    • Rede Interna
      • PowerShell
      • Movimentação Lateral
      • Pós Exploração
      • Escalação de Privilégios
      • Low Hanging Fruits
      • Credenciais de Serviços padrão
      • Referências
    • Aplicações Web
      • Checklist
      • Low Hanging Fruits
      • Gerando Valor
      • Técnicas
      • Automatizando o Scan por Secrets
      • Chaves API
      • Referências
    • Spear Phishing
    • Ferramentas
    • Gerando wordlists efetivas
    • Guia de engajamento de um pentest
Powered by GitBook
On this page
  • Um teste de intrusão da Vantico inclui DDoS?
  • Qual teste de intrusão eu devo escolher: Black, Gray ou White Box?
  • Preciso configurar um ambiente de preparação?
  • Grandes mudanças no sistema podem ser feitas durante o teste de intrusão?
  • O que devo esperar da chamada de definição do escopo teste de intrusão? Devo preparar algo?
  • Qual tipo de qualificação devo procurar em um pentester para avaliar seu nível de habilidade?
  • Quais são os prazos de entrega para um teste de intrusão?
  • Quais são as consequências de 0 vulnerabilidades descobertas?
  • Devo compartilhar o relatório do teste de intrusão com os clientes?

Was this helpful?

  1. Parceiros

Perguntas frequentes

PreviousPentest para PCI DSSNextPentester

Last updated 2 months ago

Was this helpful?

Um teste de intrusão da Vantico inclui DDoS?

Não. Na Vantico, reconhecemos que tais ataques aumentam a probabilidade de interrupções operacionais ou o risco de danos colaterais. Acreditamos firmemente que não há nenhuma vantagem genuína em conduzir tais testes durante um teste de intrusão.

Qual teste de intrusão eu devo escolher: Black, Gray ou White Box?

Opte por um Teste de Intrusão White Box se você estiver preparado para fornecer o código-fonte e os arquivos de configuração para o pentester, ou se o aplicativo for de código aberto, pois ele simula efetivamente ameaças que têm ou tiveram acesso ao código-fonte. Selecione um Teste de Intrusão Gray Box para uma abordagem do melhor dos dois mundos, pois ele permite que o pentester descubra a maioria das vulnerabilidades acessíveis a invasores externos e internos. Escolha um Teste de Intrusão Black Box se sua principal preocupação for sobre agentes de ameaças externas.

Preciso configurar um ambiente de preparação?

Geralmente conduzimos testes no ambiente de preparação e desaconselhamos testes no ambiente de produção para minimizar o risco de interrupções operacionais ou danos colaterais. Dito isso, os testes em preparação são desencorajados se não refletirem com precisão o ambiente de produção ou não tiverem dados representativos, pois isso fornecerá menos valor de uma perspectiva de segurança.

Grandes mudanças no sistema podem ser feitas durante o teste de intrusão?

Aconselhamos não implementar mudanças significativas no sistema durante o teste de intrusão. Embora forçar pequenas mudanças seja aceitável, recomendamos manter um ambiente estável durante todo o engajamento para garantir a precisão e a confiabilidade do processo de teste.

O que devo esperar da chamada de definição do escopo teste de intrusão? Devo preparar algo?

Veja seção.

Qual tipo de qualificação devo procurar em um pentester para avaliar seu nível de habilidade?

Histórico técnico, certificações, habilidades de comunicação. Avalie o histórico técnico e as certificações de um pentester, começando com o padrão da indústria, o OSCP, e continuando com qualquer outra certificação de Segurança Ofensiva que você acredita ser relevante para o teste de intrusão, como OSCE ou OSWE. A comunicação eficaz é igualmente importante — garantindo uma orientação clara desde a chamada de escopo inicial, durante toda a avaliação e por meio do suporte com Cartas de Atestado e Engajamento.

Quais são os prazos de entrega para um teste de intrusão?

O tempo entre a assinatura do contrato e o início do teste de intrusão costuma ser de alguns dias se houver pressa, mas pode levar até uma semana em horários de pico.

Quais são as consequências de 0 vulnerabilidades descobertas?

Embora tais engajamentos sejam altamente improváveis, o resultado depende do escopo do engajamento e do tamanho do negócio. Para uma startup com mais de 10 funcionários e um teste de intrusão Gray-box, vulnerabilidades são normalmente encontradas, especialmente se for o primeiro teste. Se o escopo for limitado ou a segurança do aplicativo for forte, não pode haver vulnerabilidades, mas o pentester deve explicar seus métodos, falhas e desafios.

Devo compartilhar o relatório do teste de intrusão com os clientes?

Você pode compartilhar o relatório do teste de intrusão se quiser, mas fornecemos um documento projetado especificamente para esse propósito. Na Vantico, oferecemos uma Carta de Atestado, que fornece uma visão geral de alto nível do teste de intrusão, incluindo o perfil do pentester e a pontuação geral de risco ou número de descobertas. Recomendamos que a Carta de Atestado seja compartilhada com as partes interessadas.

esta