Cyber Security
A melhor maneira de checar se você está em ambiente totalmente seguro é contratar alguém que possa tentar invadi-lo. A forma mais confiável para checar as suas aplicações e infraestrutura é contratar pessoas que pensam como “hackers” ou “crackers” - mas que sigam as leis e usem seus conhecimentos para melhorar a segurança e não quebra-la. A equipe de hackers da VBR Cyber Team pode ajudá-lo a salvaguardar as suas informações mais relevantes e proteger as finanças e reputação de sua empresa.
O Teste de Penetração em Infraestrutura avalia a atual infraestrutura da empresa e permite que a empresa que esteja sendo testada conheça quais são os seus pontos fracos. O teste está focado nos servidores, componentes da rede e sua estrutura, a fim de encontrar alternativas que possam ser utilizadas pelos hackers, usando os métodos e ferramentas de reais hackers. O time de teste faz as recomendações com relação à mitigação dos riscos, permitindo que a empresa endureça com relação aos seus atuais componentes de infraestrutura ou ainda, se necessário, mude sua estrutura.
A integridade de uma empresa é medida pelas suas defesas internas e externas. A organização se coneta à internet utilizando interfaces e ports que podem ser violados, abrindo uma porta aos ataques. Além disso, a empresa pode estar correndo perigo com funcionários mal-intencionados, que desejam causar danos aos components internos.
O teste de rede é dividido em duas avaliações:
Interna - A equipe de avaliação recebe uma porta de acesso ou um computador da empresa e avalia a segurança com base em ataques realizados à empresa. A avaliação permite que a empresa avalie sua proteção interna contra funcionários mal-intencionados e descontentes.
Externa - A equipe de avaliação testa o ambiente externo da organização para portas e interfaces abertas e simula um ataque real de entidades maliciosas
“Simulações de ataque" podem ser feitas tanto para aplicativos quanto para servidores ou dispositivos de rede. Uma equipe de hackers não se limitará a apenas um nível, mas fará o melhor que puder para invadir um sistema. Por exemplo, ao atacar um servidor O hacker pesquisará os bancos de dados conhecidos em busca de vulnerabilidades conhecidas e tentará usá-los para atacar o servidor. Ao tentar atacar um aplicativo, abordagens diferentes serão usadas. A penetração de um dispositivo de rede, como roteador ou switch, exige uma conexão específica e um conjunto de habilidades. A VBR CyberTeam combina as habilidades e proficiência para realizar todos esses testes, como em situações do "mundo real"
Com a abordagem do “White Box” / “Caixa Branca”, a equipe de teste recebe todas as informações necessárias para avaliar melhor a segurança do ambiente testado, incluindo código-fonte, arquivos de configuração, documentação, diagramas etc. Isso permite uma revisão completa do sistema, identificando não somente vulnerabilidades imediatas, mas também seções e configurações de código potencialmente perigosas, backdoors e falhas de arquitetura. Ao fornecer o teste mais completo, o teste da caixa branca pode exigir mais recursos tanto do lado do testador quanto do lado do cliente, fornecendo as informações relevantes. Este tipo de abordagem é, portanto, mais adequado para ambientes altamente sensíveis.
Prós:
Extremamente minucioso.
Recomendações de remediação muito precisas.
Permite a detecção de ameaças não imediatas, bem como falhas de arquitetura e configuração.
Contras:
Requer quantidades substanciais de recursos do testador e do cliente.
Não simula um cenário de ataque real (pode ser descartado pela organização
Testes realizados nesta Metodologia:
Revisão de código do aplicativo (recomendado em conjunto com um teste de penetração de aplicativos
Revisão de Design e Arquitetura
Auditorias de configuração do servidor
Auditorias de Rede
Com a abordagem de Black Box, a equipe de testes simula o método de operação de um hacker real. O testador recebe apenas as informações disponíveis publicamente e tenta identificar brechas de segurança que possam comprometer informações confidenciais ou operações no sistema. Quando aplicada corretamente, essa abordagem pode simular não apenas hackers aleatórios, mas também hackers dedicados que obtêm algum acesso inicial ao sistema, uma vez que esteja disponível ao público. Como esta abordagem melhor imita o que um verdadeiro hacker faria, ela se destaca em fornecer ao cliente uma avaliação realista do nível de risco imediato ao qual o sistema está exposto. Qualquer descoberta identificada em tal teste de caixa preta provavelmente também será identificável por um invasor.
Prós:
Fornece estimativa realista de ameaças
Passa a mensagem (se pudemos fazer isso, outros também podem)
Requer esforços mínimos do cliente.
Contras:
Pode exigir esforço de gastos na coleta de informações
Pode perder backdoors ou vulnerabilidades parciais
Recomendações de remediação só podem ser gerais
Testes realizados nesta Metodologia:
Teste de penetração de aplicativos
Teste de penetração de Infraestrutura / Rede
Simulação de Ataque Completo
A abordagem da Grey Box é uma alternativa intermediária entre a Black Box e White Box. Os testes de Grey Box são executados usando métodos semelhantes aos do teste de Black Box, simulando assim ataques do mundo real. No entanto, ao contrário dos testes de Black Box, o invasor recebe informações técnicas substanciais sobre o sistema e pode solicitar que informações adicionais sejam usadas para identificar informações adicionais com comentários breves e pontuais da caixa branca. Essa abordagem é uma maneira econômica de identificar o máximo possível de ameaças do mundo real no menor tempo disponível, tornando-a a maneira mais econômica de realizar avaliações de segurança, quando os valores mais absolutos de caixa preta e caixa branca não são necessários.
Prós:
Maior custo-benefício
Fornece estimativa realista de ameaças
Contras:
Não simula como um cenário de ataque da vida real como um teste de caixa preta (não pode ser levado tão a sério pela organização e, portanto, é recomendado somente quando a segurança já estiver compreendida)
Testes realizados nesta Metodologia:
Teste de penetração de aplicativos (com revisão parcial de código)
Infraestrutura e teste de penetração de rede (com revisão da rede e configuração do servidor)
Design de alto nível e revisão de arquitetura
Embora seja difícil acreditar que o smartphone tenha menos de 10 anos, eles se tornaram parte integrante de nossas vidas e negócios diários. Com o crescente uso dos smartphones, os vírus aumentaram drasticamente, com vários milhões de malwares ativos projetados especialmente para eles, projetados para roubar seus contatos e causar danos intencionais aos servidores da organização.
Durante o teste do seu dispositivo móvel, testamos o seu aplicativo, a sua tendência a ser hackeado e a maneira maliciosa que pode ser utilizada para isto.
A melhor maneira de evitar um ataque é se preparar e tomar medidas para preveni-lo antes mesmo de acontecer. No mundo virtual atual, as chances são de que sua organização seja atacada por entidades maliciosas. Uma abordagem proativa permite que você identifique essas entidades, descubra quais são os seus métodos de ataque e mitigue suas vulnerabilidades inerentes. Então, quando o ataque chegar, você estará pronto para ele.
O primeiro passo é realizar uma avaliação cibernética, que lida com as ameaças e atores permanentes que visam atacar sua organização. Em nossa experiência, os invasores hoje não têm necessariamente um objetivo específico em mente quando iniciam um ataque, o que significa que os ataques podem ser persistentes e consistentes.
Para realizar uma avaliação cibernética, a equipe, primeiro mapeia as melhores práticas recomendadas da organização usando nossa metodologia comprovada e identifica as ameaças existentes na organização.
Além disso, recomendamos que a organização use relatórios de inteligência de ameaças que ajudem a identificar as atividades atuais e os agentes de ameaça que representam um risco para a organização, com base no OSint, WEBint, CYGint & HUMint. Esse serviço não apenas fornece feeds e alertas de notícias, mas também fornece uma situação concreta sobre sua organização e fornece recomendações.
No mundo da guerra cibernética, muitas organizações sabem que serão atacadas, mas não quais serão os ativos visados. Na avaliação cibernética, pretendemos identificar esses alvos em potencial, encontrar suas várias fraquezas e vulnerabilidades e recomendar como mitigá-los, permitindo uma melhor proteção contra um ataque.
A avaliação da segurança cibernética é composta pelas seguintes etapas:
• identificar sistemas críticos propensos a ataques cibernéticos
• Identificar funções críticas de negócios afetadas por ataques cibernéticos
• Mapeamento de atores de ameaças relevantes que se apresentam como uma ameaça ao cliente
• Identificar as principais iniciativas para melhorar a segurança.
A avaliação utiliza práticas de liderança global apoiada pelos padrões NIST
A visão da VBR CyberTeam sobre a Inteligência de Ameaças Cibernéticas difere de muitos provedores, à medida que tem foco no risco considerando o contexto de cada organização como única. Um programa bem-sucedido de inteligência contra ameaças precisa responder ao seguinte:
• Quem é provável que ataque?
• Que tipo de ataque eles irão iniciar?
• Quando o ataque ocorrerá?
A competência da inteligência de ameaças integrada começa com um entendimento dos riscos e tolerâncias de negócios, o cenário exclusivo de ameaças e os recursos de cada organização para detectar, reagir, complicar e responder às condições de ameaça.
A inteligência de ameaças cibernéticas não é um feed de informações comum, que pode ser derivado de qualquer lugar, mas concentra-se nas informações necessárias, com base na lógica e nos fluxos de negócios da organização e na compreensão das vulnerabilidades existentes.
Segundo as pesquisas, uma hora utilizado no conserto de um código durante o estágio de desenvolvimento é igual a 500-1.000 horas de trabalho em uma plataforma de aplicativos. O objetivo do SDLC (Security Development Life Cycle) é eliminar os problemas em estágios posteriores do desenvolvimento, a fim de economizar horas e não causar atrasos na liberação.
A metodologia SDLC implementada hoje em dia em quase todos os novos projetos inclui um capítulo que descreve como fazer um design seguro para um sistema.
A experiência do consultor da VBR Cyber em tais projetos, traz o ROSI (Return of Security Investment) para muitos de nossos clientes implementando SDLC e Secure Design em seus departamentos de Pesquisa e Desenvolvimento e como uma política da empresa.
A avaliação de Duração do “Distributed Denial of Service” (DDoS) testa a capacidade da organização em lidar com um ataque DoS que é executado simultaneamente a partir de vários milhões de botnets. Ataque DDoS visa bater o site e esgotando seus recursos, causar danos financeiros e à reputação.
A equipe de avaliação identifica e mapeia a infraestrutura da organização e grava vários cenários de DDoS com base em suas descobertas. Depois, cada cenário é executado e é verificado se o o sistema trava.
Um incidente ocorreu na sua empresa. Pode estar relacionado a um dos funcionários (interno) ou a um ataque externo. A investigação forense é uma tarefa que requer conhecimento especializado, procedimentos, ferramentas e um ambiente de laboratório bem equipado.
A investigação adequada e a coleta de evidências focadas em processos forenses são uma necessidade absoluta. Essa abordagem garante que o processo forense possa resistir ao escrutínio de assessoria jurídica oposta, se necessário.
Fornecemos aos nossos clientes serviços que incluem recuperação, preservação e reprodução de dados encontrados em dispositivos digitais. Esses dispositivos podem incluir computadores, telefones celulares, discos rígidos e rede.
O crime cibernético está em toda parte e as estatísticas mostram seu crescimento. O Centro de Estudos Estratégicos e Internacionais relata que quase todas as empresas da Fortune 500 foram hackeadas nos últimos anos.
A análise forense digital é um ramo da ciência forense que combina elementos legais e dispositivos digitais. Quer a sua empresa seja ou tenha sido alvo de um ataque, a análise forense digital pode ajudá-lo a responder às seguintes perguntas:
• Quando o incidente ocorreu?
• Quem realizou o incidente?
• Que informação foi divulgada?
É importante estar preparado para lidar com incidentes de segurança da informação antes que eles ocorram. Uma resposta bem executada pode revelar a verdadeira extensão de um comprometimento e pode ajudar a prevenir futuros problemas. Em vez de depender do acaso, as empresas devem procurar incidentes que atualmente ocorram e ainda não foram detectados. Dessa forma, as empresas podem atenuar os fatos e não apenas as possibilidades descobertas durante as avaliações de segurança.
Realizamos serviços proativos para clientes, incluindo os seguintes, mantendo a confidencialidade estrita do cliente:
• Perícia Forense Proativo na Web
• Perícia Forense Móvel
• Perícia Forense na Nuvem
• Avaliação de malware
• Design de controles de segurança
• Desenvolvimento de plano de resposta aos incidentes
•Treinamento
O departamento de análise forense da VBR CyberTeam conta com uma equipe de resposta a incidentes com anos de experiência em segurança da informação, análise de malware e investigações forenses. Realizamos investigações em componentes de rede, sistemas operacionais, aplicativos de banco de dados e muito mais. Nós devemos:
• Preservar legalmente os dados
• Analisar as evidências para determinar o agressor
• Fornecer recomendações para os sistemas comprometidos
Um incidente ocorreu na empresa. Pode estar relacionado a um dos funcionários (interno) ou a um ataque externo. A investigação forense é uma tarefa que requer conhecimento especializado, procedimentos, ferramentas e ambiente de laboratório.
A investigação adequada e a coleta de evidências focadas em processos forenses são uma necessidade absoluta. Isso garante que o processo forense possa resistir ao escrutínio de uma assesssoria jurídica oposta.
Fornecemos aos nossos clientes recuperação, preservação e produção de dados encontrados em dispositivos digitais. Esses dispositivos podem incluir computadores, telefones celulares, HDs e rede.
• Investigação forense
• Análise de malware e engenharia reversa.
O mundo da segurança da tecnologia da informação envolve muito mais do que apenas testes de penetração. A VBR CyberTeam fornece aos clientes uma abordagem proativa para a segurança das informações e para identificar seu status no mundo cibernético. Podemos ajudá-lo a descobrir as respostas a perguntas como: Qual é a condição da sua organização com base em termos e referências de segurança de TI? Os invasores podem violar suas paredes de defesa e roubar informações valiosas? Se outra organização do seu ramo for invadida, como isso afetará sua organização?
Abordagem holística baseada em anaálises significativas
Atualmente, poucas empresas possuem as habilidades e os recursos apropriados internamente para proteger com eficácia seus ativos de informações e, ao mesmo tempo, otimizar o desempenho dos negócios. Organizações em todos os setores podem se beneficiar de uma avaliação objetiva de seus programas e estruturas de segurança da informação.
A estrutura de CPM inovadora da VBR CyberTeam baseia-se em uma análise significativa de como a segurança das informações molda e se encaixa na estrutura geral de gerenciamento de riscos de uma organização. Em sua base, há um foco claro nas prioridades estratégicas e nos objetivos de negócios da organização.
Uma avaliação de CPM ajuda a:
• Compreender o nível de exposição ao risco da sua organização
• Avaliar a maturidade do seu atual Programa de Segurança da Informação e identificar áreas para melhoria
• Construir um roteiro prioritário para investimentos em projetos e iniciativas de mudança organizacional
• Coleta de informações para criar” benchmarks“contra outras organizações
• Validar se seus investimentos em segurança melhoraram sua postura de segurança.
Um estudo de 2013 do Ponemon Institute descobriu que o custo médio anualizado de 56 organizações comparadas para risco cibernético era de US $ 8,9 milhões por ano, acima dos US $ 8,4 milhões em 2011. Com um intervalo de US $ 1,4 milhão a surpreendentes US $ 46 milhões por ano.
Uma empresa segurada estará coberta para:
• Investigar a violação
• Restaurar seus sistemas
• Lidar com a notificação
• Custos de atendimento ao cliente relacionados à violação
• Lucros perdidos durante o tempo de inatividade
A Apólice de seguro corporativo é destinada a atender:
• Danos de primeira parte - cobrindo o custo de análise forense digital e despesas relacionadas aos danos devido à violação de segurança cibernética na rede da empresa.
• Danos causados por terceiros - que cobrem as despesas seguradas devido a um incidente relacionado a um cyber em um provedor de serviços terceirizado que hospedou os dados confidenciais de PII do detentor da apólice.
• Avaliação da postura de segurança do segurado (Anualmente)
Realização de uma avaliação de maturidade de segurança de TI (CPM estendido).
Ajudar a seguradora a avaliar o risco.
Fornecer serviços forenses digitais aos segurados que foram violados (de plantão)
o Configurar uma equipe dedicada de resposta a incidentes composta de especialistas em conteúdo com alcance global.
• Oferecer serviços de avaliação de complexidade cibernética para o setor de seguros (por base de reivindicação)
Aumento da cooperação exclusiva da VBR CyberTeam com a Kaspersky Labs.
Proporcionar à seguradora a capacidade de explorar a causa raiz e a atribuição (crime cibernético, hacktivismo).
O treinamento que oferecemos na VBR CyberTeam permite que nossos novos contratados entendam, em profundidade, a maneira como os hackers pensam e operam. Esse tipo de educação fornece uma compreensão muito mais rica e profunda de ataques do que simplesmente ensiná-los a usar ferramentas de hackers que podem ser encontradas na Internet. A maior parte do treinamento está diretamente relacionada ao conhecimento e experiência do instrutor responsável adquirido no decorrer do trabalho, em vez de apenas ensinar a lidar com as ferramentas.
Os treinadores da VBR CyberTeam são hackers éticos profissionais que passam a maior parte do tempo trabalhando em projetos de testes de penetração do "mundo real" e orientando desenvolvedores em projetos de SDLC. As sessões de treinamento são baseadas em exemplos de "histórias de projetos" e estudos de caso de uso ocorrem diariamente.
O treinamento inclui a prática no ambiente exclusivo de testes do Luftgescheft Bank, que simula um aplicativo bancário on-line real e permite que os alunos ponham em prática o material que aprenderam durante o treinamento.
Foi Goethe que disse "Saber não é suficiente; devemos aplicar".
Com base nesse espírito, o VBR CyberTeam oferece aulas que:
estejam atualizadas com os avanços tecnológicos mais recentes
treinem as pessoas para pensar como hackers, e não apenas em "outras ferramentas"
baseiem o treinamento em 70% de prática
usem métodos "street wise" que são comuns no mercado, em vez de falar teoricamente
Introdução à Segurança
Este treinamento introdutório de um dia foi projetado para fornecer uma compreensão básica das ameaças de segurança enfrentadas atualmente pelos sistemas de rede. A primeira metade do dia se concentra em aumentar a conscientização sobre segurança, realizando uma demonstração de hackers ao vivo e apresentando incidentes de invasão reais no ano passado.
A segunda parte do treinamento fornece uma compreensão básica dos conceitos de segurança, seguida de explicações sobre as ameaças existentes e as falhas de segurança que levam a elas, com ênfase na segurança dos aplicativos. Finalmente, princípios e técnicas de segurança são discutidos para mitigar essas ameaças.
Desenvolvimento de Segurança
.NET
Este curso foi desenvolvido para ajudar os alunos a aprender como criar aplicativos .NET seguros, apresentando-os com o ponto de vista de um invasor em potencial. Ao contrário de outros cursos, neste curso os alunos serão apresentados a demonstrações reais de ataques ao Luftgescheft Bank, que simulam um verdadeiro aplicativo bancário online .NET, proporcionando-lhes uma compreensão de como os hackers operam. Essa abordagem torna mais fácil para os alunos processar e implementar os princípios e técnicas apresentados posteriormente no curso.
O treinamento inclui diretrizes gerais para a criação de código seguro no .NET, bem como informações detalhadas sobre os mecanismos de segurança significativos no .NET. Todos os tópicos serão apresentados usando amostras de código vulneráveis do Luftgescheft Bank, seguidas de exemplos alternativos e seguros de código baseados no material aprendido.
JAVA
O curso irá apresentar diretrizes e considerações de segurança no desenvolvimento de aplicações Java. Os participantes aprenderão as noções básicas de segurança de aplicativos, como aplicar a segurança em um aplicativo J2EE, permitindo mecanismos de segurança J2EE padrão e outros problemas relacionados à segurança.
Hacking de aplicativos da Web
O Treinamento de Hacking de aplicativos da Web foi projetado para fornecer ao seu público uma compreensão profunda das técnicas de hackeamento de aplicativos e a capacidade de aplicar essas técnicas ao executar testes de segurança em aplicativos da Web. Durante o treinamento, os alunos aprenderão a entender as falhas de programação que levam a vulnerabilidades em nível de aplicativo, bem como técnicas reais de hacking para as vulnerabilidades.
O treinamento inclui exercícios práticos no exclusivo Luftgescheft Bank, que simula um aplicativo bancário on-line real e permite que os alunos pratiquem o material aprendido no treinamento.
Segurança para o controle de qualidade
O treinamento de teste de segurança de aplicativos da Web foi desenvolvido para fornecer ao seu público uma compreensão das técnicas de teste de aplicativos da Web e a capacidade de aplicar essas técnicas como parte do processo de controle de qualidade dos aplicativos da web. Durante o treinamento, os alunos aprenderão a entender as falhas de programação que levam a vulnerabilidades em nível de aplicativo, bem como técnicas reais de teste para as vulnerabilidades.
O treinamento inclui exercícios práticos no exclusivo Luftgescheft Bank, que simula um aplicativo bancário on-line real e permite que os alunos pratiquem o material ensinado.
Segurança para arquitetos e gerentes de projeto
O curso de Segurança para Arquitetos de Sistemas é um curso exclusivo que fornece aos arquitetos de sistemas, gerentes de projetos e analistas de sistemas as ferramentas para incorporar corretamente a segurança ao projeto de sistemas nos estágios iniciais.
Na primeira metade do treinamento, os alunos são apresentados ao mundo moderno de segurança, ameaças comuns e conceitos e princípios básicos de segurança para a criação de sistemas seguros. A segunda metade do treinamento se concentra em um laboratório guiado detalhado para criar um design seguro, dando aos alunos a oportunidade de aprender o material colocando a mão na massa.