Conduzindo um Pentest

                        Pentest Profissional 

                        --------------------

        Preparação - Conduzindo um Pentest

        ----------------------------------

Data: 07/11/2017

autor: Ricardo Longatto - Desec Security

Conversando com o cliente

----------------------

Antes de qualquer coisa precisamos alinhar o objetivo do pentest com o seu

cliente para entender claramente qual a necessidade do clente e o que ele

esperado.

O primeiro contato é buscar entender porquê seu cliente quer um pentest.

O que pergutar ao clente?

----------------------

+ É o primeiro teste?

+ É para cumprir alguma compliance? (PCI-DSS)

+ O que considera valioso? que tipo de preocupações?

+ Exite algum sistema frágil?

+ Qual objetivo do pentest?

+ O que você espera do pentest?

+ Existe alguma limitação?

Definindo o Escopo

----------------

Após entender as necessidades do cliente e definir o escopo é preciso saber

quais tipos de pentests serão utilizados, (black/whitebox, int/externo)

+ o que será testado?

+ O que não será testado?

+ Definir URL, range de IPs etc.

Limitação do Escopo

-----------------

Devemos saber se existe algum tipo de limitação no escopo para evitar os 

possíveis problemas que possam surgir devido a acesso à informações privadas

+ Exitem algum limite?

+ Podemos usar Engenharia Social?

+ Ataques DoS/DDoS

Janela de teste

-------------

O cliente tem preferência de horários, tipo comercial, final de semana e

feríados ou de madrugada, até mesmo em um horário de não fucionamento da 

empresa ou durante o funcionamento.

Contato com responsável

---------------------

Nome; e-mail; telefone; caso ocorra algum problema durante os testes

Suas responsábilidades

--------------------

Deixar claro quais são suas responsabilidades

Exemplo: 

        Cabe a DESEC apenas o levantamento, análise/exploração e elaboração dos

        relatórios ao teste de invasão, correções, ajustes e atualizações e os 

        re-testes NÃO fazem parte do escopo desta atividade.

        

Autorização

----------

Nunca inicie um pentest sem ter um documento que autorize fazer o pentest

NDA. Acordo de confiabilidade

--------------------------

Ao assinar um NDA você garante que não vai expor os dados obtido no pentest

em alguns casos esse documento possui um cláusula de multa em caso o acordo

seja descumprido de sua parte.

Termo de Pagamento

----------------

Defina claramente qual valor que deverá ser pago, quando e como.

Quanto e como cobrar?

------------------

1 valor hora (defina um valor x para sua hora de consutoria e faça o calculo

baseado no tempo dos testes.

        Ex: Pentest de 80 horas valor R$300,00 * 80 = R$24.000,00

2 valor fixo (definimos um valor fixo para execução do pentest, geralmente

isso é feito em blackbox

        Ex: Pentest Blackbox R$30.000,00

Resumo

-----

1 No primeiro contato envie a apresentação da empresa e portifólio

2 Defina o escopo e envie a proposta comercial

3 Após o cliente aprovar a proposta faça o contrato, autorização e NDA

  peça a um advogado fazer para analisar os documentos

4 Após o documento assinados inicie os testes

5 Escreva o relatório e faça a apresentação dos resultados

-------------------------------------------------------------------