Pentesting

Se o seu Hospital já tem uma segurança de TI razoável e um monitoramento constante de novas ameaças, um Pentesting pode ser uma ótima opção para testar a segurança que você já possui por possíveis brechas.

O processo de Pentesting mais aceito que se baseia em práticas reais de invasão foi proposto por Eric M. Hutchins, Michael J. Cloppert Rohan M. Amin, Ph.D. Neste artigo.

1. Reconnaissance

2. Weaponization

3. Delivery

4. Exploitation

5. Installation

6. Command and Control

7. Actions on Objective

(Imagem do artigo da Lockheed Martin)

Esses 7 passos se assemelham aos de uma invasão no seu sistema, embora obviamente outros passos podem ser acrescentados ou tirados de certas formas em determinados sistemas.

O que eu quero nesse post é dar um apanhado para o lado executivo da coisa, você que não sabe nada sobre TI ou sobre Segurança da Informação deve saber um pouco mais antes de contratar os nossos serviços ou de outras empresas.

Qual é o preço?

Varia com o tamanho da rede da sua empresa, se ela for uma microempresa, 5 dias podem ser suficientes, se for de porte médio, 2 semanas podem ser suficientes. Varia muito.

Mas o preço por dia é de R$250, se for um pentesting de 2 semanas vão ser R$ 2500 reais contando de segunda a sexta.

O que vocês vão fazer?

Vamos tentar invadir,escanear e manipular o seu site à procura de erros e vulnerabilidades, sem danificar ou atrapalhar o andamento dos seus serviços.

Após o Pentesting vamos lhe dar um relatório em PDF com os passos que usamos e todo o escopo de tudo que pode compreter a sua empresa e como remediar isso.

Quais são os assets que vocês vão invadir?

Como só trabalhamos com Hospitais, vão ser aparelhos Iot, Computadores, roteadores, firewalls, o site do hospital.

Vamos tentar invadir o banco de dados, os servidores, vamos enviar e-mails com malwares placebo (sem dano para a empresa). Vamos usar Backdoors e RATs para acesso remoto dos sistemas.

Coisas que precisam de permissão:

Se você hospeda os seus aparelhos IoT do Hospital, ou a sua infraestrutura seja híbrida ou toda ela, na nuvem, é necessário pedir autorização da AWS cloud ou da Microsoft Azure, ou seja qual for a sua plataforma antes de fazer um Pentesting.

Seria muito bom que vocês analisassem isso antes de nos chamar. Ataques DDos não são permitidos em plataformas na Nuvem.

Contrato:

Antes de se fazer um Pentesting, é necessário que nós assinemos uma cláusula de não-divulgação de dados que possam ser encontrados no meio do pentesting e que sejam de propriedade intelectual da empresa.

Além disso deve ser assinado um contrato dizendo que nós só iremos invadir o que o cliente pediu, e somente isso.

Palavra Final:

Após todo esse processo, depois de enviado o PDF, se o cliente desejar podemos além do relatório, em uma reunião com o pessoa do TI, explicar o que foi feito e como a partir daquele momento o hospital pode manter uma postura segura de segurança contra os mais recentes ataques.