SEGURANÇA DA INFORMAÇÃO
%2016_29_32_31df45be.png)
Lista de serviços
ANÁLISE DE CONFORMIDADE DE SEGURANÇA POR SIMULAÇÃO DE ATAQUES POR PHISHING
ANÁLISE DE MATURIDADE DE SUPERFÍCIE
CONFIGURAÇÃO DE FIREWALL
CONFIGURAÇÃO DE IPS/IDS
CONFIGURAÇÃO WEB APLICATION FIREWALL
CONSULTORIA DE DESENVOLVIMENTO DE SOFTWARE SEGURO
CONSULTORIA EM SEGURANÇA DA INFORMAÇÃO E SEGURANÇA CIBERNÉTICA
CRIAÇÃO DE DOCUMENTAÇÕES DE CONFORMIDADES
EXECUÇÃO DE ANÁLISE DE VULNERABILIDADE
IMPLEMENTAÇÃO DE SISTEMAS DE COFRE DE SENHAS
IMPLEMENTAÇÃO DE SISTEMAS INVENTÁRIO
MONITORAMENTO DE REDES
PENTEST (INFRAESTRUTURA, APLICAÇÕES, LOT, WI-FI)
PERÍCIA FORENCE COMPUTACIONAL DE ACORDO COM CÓDIGOS CÍVIL, CRIMINAL, TRABALHISTA E LGPD)
PROJETOS DE BALANCEAMENTO DE CARGA DE SERVIDORES E LINKS DE INTERNET (INBOUND E OUTBOUND)
FORTIFICAÇÃO EM SERVIDIRES (HARDENING)
IMPLEMENTAÇÃO DE CENTRALIZAÇÃO DE LOGS
IMPLEMENTAÇÃO DE IAM
IMPLEMENTAÇÃO DE SIEM
PROJETOS DE GRC - GOVERNANÇA, RISCO E COMPLIANCE
PROTEÇÃO DE DADOS (CRIPTOGRAFIA, CERTIFICAÇÃO DIGITAL, DATA LOSS PREVENTION)
RESPOSTA A INCIDENTES
RESPOSTA E APOIO A COMPLIANCES DE SEGURANÇA E LGPD
SEGURANÇA EM INFRAESTRUTURA DE ROTEADORES E SWITCHES
SERVIÇO DE INTELIGÊNCIA E AMEAÇAS
TREINAMENTO DE RED TEAM, BLUE TEAM E CONSCIENTIZAÇÃO DE LGPD
SEGURANÇA EM NUVEM
IMPLEMENTAÇÃO DE SISTEMAS ANTIMALWARE
PROJETOS DE ALTA DISPONIBILIDADE EM SERVIDORES E SERVIÇOS
ANÁLISE DE VULNERABILIDADES
Imagine que você contrata um especialista em segurança residencial para avaliar os pontos fracos na segurança de sua casa. Aqueles pontos que facilitam a vida dos invasores, como uma janela fácil de quebrar, ou um cadeado oxidado, por exemplo.
Uma Análise de Vulnerabilidades é exatamente isso em seu ambiente computacional. Um exercício de segurança por meio do qual nossos especialistae em segurança digital buscam vulnerabilidades nos sistemas computacionais dos clientes.
O objetivo do ataque simulado propositalmente a pedido da empresa, também conhecido como hacking ético, é identificar quaisquer pontos de fraqueza na infraestrutura de defesa de um sistema.
Nossos profissionais são desenvolvedores e especialistas em TIC com amplo conhecimento em redes e sistemas de segurança, com reconhecidas certificações de testes de intrusão.
Alguns alvos possíveis:
-
Redes e Sistemas;
-
Aplicações WEB;
-
Redes sem Fio;
-
Aplicações Celulares;
-
Cloud Hibrida (Externa ou Proprietária);
-
IoT.
TESTE DE INVASÃO (PENTESTS)
Imagine que você entende que sua residência se encontra segura e impenetrável, e, você contrata um especialista em invasão domiciliar para testar a essa segurança. Caso ele consiga invadir, o que é muito provável, você o contrata para solucionar os problemas que ele detectou.
Os Testes de invasão (ou simplesmente pentests) são simulações controladas de um ataque real a uma rede, sistema ou aplicação, visando avaliar a segurança do mesmo. Durante o processo, é realizada uma análise ativa de vulnerabilidades, fraquezas e deficiências técnicas da atual infraestrutura física e lógica que hospeda os objetos em questão.
O serviço realizado pela BI4.0 seguem os padrões internacionais de Testes de Invasão, incluindo o NIST 800-115, OWASP, OSSTMM e ISSAF/PTF, além de utilizar ferramentas proprietárias e de código aberto, sempre com o objetivo de garantir a maior qualidade e confiabilidade possíveis para o serviço, com otimização é realizado com total transparência junto ao Cliente.
O serviço consiste na realização de uma auditoria Teste de Invasão na infraestrutura do cliente, seja remoto ou presencial, objetivando prover informações sobre vulnerabilidades e brechas que possam ser exploradas por usuários maliciosos. Os testes podem ser originados interna ou externamente e os auditores podem ou não ter acesso a informações sobre a estrutura (definição se o teste será do tipo "caixa preta“, “caixa cinza” ou "caixa branca"). Testes de Negação de Serviço podem também ser realizados, deste que estejam dentro do escopo do serviço contratado pelo cliente.
Ressalte-se que o cliente poderá contratar a BI4.0 para realização do PENTEST com ou sem correção de falhas.
Quando o cliente possui uma equipe de DEV confiável, ele pode decidir realizar a correção das falhas encontradas com sua própria equipe. Assim a BI4.0 realizará os chamados RETESTS para averiguar se os problemas foram realmente corrigidos. E isso se torna um trabalho cíclico.
Caso o cliente não possual tal equipe, ou não confie na própria equipe a tal ponto, poderá contratar a equipe de DEV da BI4.0, que será a responsável por solucionar os problemas encontrados. Os ciclos de RETESTS serão necessários da mesma forma.
MODELOS DE CONTRATAÇÃO
PREVENÇÃO DE PHISHING
Sabe aquele email, ou mensagem que você recebe imaginando não ter problema por ser de alguém conhecido? Muitas vezes esses conteúdos são armadilhas para implantação de vírus enviados por hackers em seu computador.
Spear Phishing tem como alvo uma pessoa ou grupo específico. Eles atraem as vítimas com informações que parecem ter vindo de uma fonte confiável ou familiar, com o máximo de informações possíveis para que a abordagem pareça legítima.
Somos especialistas em Programas e Campanhas de Conscientização com Simulação de Phishing Educativo para Empresas. Ensinamos Segurança da Informação a maior riqueza da sua Empresa, seus Colaboradores.
Nosso serviço inclui tudo o que você precisa para phishing, análise e treinamento, resultando em uma solução abrangente e duradoura. Teste a conscientização e a vigilância entre seus usuários por meio de ataques de phishing simulados no mundo real, reforçando as práticas adequadas no ponto de clique.
-
Selecionar o tipo de ameaça;
-
Selecionar usuários alvo;
-
Programar o ataque simulado.
Nosso serviço inclui tudo relatórios para apoio a tomadas de decisões sobre os riscos reportados.
Analisar resultados e visualizar tendências do programa, identificando usuários em risco e áreas para aprimoramento.
-
Use os resultados para adaptar treinamentos futuros, reforçando ainda mais a vigilância em toda a sua organização;
-
Analisar resultados de testes entre usuários;
-
Abordar problemas com usuários e reportar à liderança.
PERÍCIA FORENSE COMPUTACIONAL
O serviço de Forense Computacional tem por objetivo investigar um incidente seguindo o estado-da-arte dos métodos de aquisição, preservação, recuperação e análise de dados, investigando suas causas e responsáveis, indicando onde a segurança deve ser reforçada pelo cliente e fornecendo evidências para treinamento, conscientização e penalização de infratores.
Entregáveis do Laudo Técnico:
-
Descrição detalhada de como o incidente ocorreu;
-
Descrição de todos os passos realizados para coleta de dados voláteis e não voláteis;
-
Descrição detalhada de todas as atividades de investigação e análise;
-
Descrição de todos os protocolos e ferramentas utilizadas em todas as etapas da perícia;
-
Orientação quanto as ações que devem ser tomadas para evitar que o incidente ocorra novamente.
FORTALECIMENTO DE SISTEMAS
O serviço de Hardening de Servidores: Sistemas Operacionais e Componentes visam incrementar a segurança de servidores, ajudando na gestão dos riscos por meio do tratamento das principais falhas e vulnerabilidades conhecidas em servidores, sistemas operacionais e componentes, e pela adoção de controles de segurança e de manutenção de ambientes.
SISTEMAS OPERACIONAIS
Sistemas Operacionais: Esta etapa consiste na aplicação de controles, correções, e atualizações, remoção de serviços desnecessários e execução de testes de segurança.
SERVIDORES
Trata-se da verificação da instalação do servidor e de seus componentes. Sua adequação ao serviço destinado tais como: a adequação do controle de acesso, a adoção de controles para prevenção de ataques e a adequação de mecanismos seguros de autenticação e criptografia.
MANUTENÇÃO DA SEGURANÇA
Esta etapa inclui atividades para a manutenção da segurança no servidor uma vez que novas vulnerabilidades sempre irão surgir. Além das atividades de teste de segurança, aplicação de correções e atualizações, temos atividades de análise de registros de eventos (logs), backups e criação de um plano de resposta a incidentes que também são de extrema importância para a conformidade da segurança do sistema.