Indicações para Pentest

[Rodrigo Sabanai]

Bom dia pessoal,

Sou sócio de uma empresa SaaS para gerenciamento de obras.
Recentemente temos sido cada vez mais solicitados por clientes e processos de suprimentos pela apresentação de resultado de Pentest nos últimos 6 meses.
Nós nunca fizemos um Pentest e gostaria de de saber se a comunidade aqui teria dicas de preparação e indicações de empresas para contratarmos.
Eu fiz uma pesquisa ano passado, mas recebi propostas de valores acima de 150mil o que ficou bem fora da nossa realidade, gostaria de saber se é essa faixa de investimento mesmo.

[Alexandre Weirich]

Trabalhei no Itaipu Parquetec e eles realizam Pentest, acho que vale uma tentativa. No caso, a segurança cibernética da Itaipu é realizada por eles, possuem muita expertise e um time bem experiente.

[Allan Henrique Granada Da Costa]

Cara aqui na empresa que trabalho utilizamos a Redbelt para pentest, foi requisito de um parceiro nosso. O trabalho em si foi bem feito, entregaram o relatório de vulnerabilidades certinho, mas a questão de valores não vou saber te informar (mas sei que vai depender do tipo de pentest também, se é white box, gray ou black).

[Leonardo Souza]

@Rodrigo Sabanai vai depender muito do que você está buscando, geralmente pentest tem um escopo bem definido e a ideia é explorar uma parte da aplicação.

Da pra gastar de R$10.000,00 a $20,000. Tem desde de consultorias como Tempest (minha recomendação), Redbelt, Vantico (custo beneficio) entre outros, ou fabricantes de software de segurança que também oferecem o serviço, como TrendAI, Fortinet e outros, mas esses geralmente cobram em dólar.

Talvez um passo antes do pentest (se ainda não tiver) é ir atras de ferramentas de DAST (Dynamic Application Security Testing), é um ferramenta que vai testar sua aplicação com falhas conhecidas, é meio que um "pentest" pra validar OWASP Top 10 e outras vulnerabilidades mais conhecidas, não substitui um pentest, mas já ajuda resolver muitas falhas.

Também teria o SAST para o código, e outras ferramentas de postura para infraestrutura da aplicação, seja da nuvem pública ou ambiente de containers/k8s.

Enfim, vai depender muito do seu ambiente, qual ponto da aplicação quer testar, se vai ser white box, gray ou black como @Allan Henrique Granada Da Costa falou.

Existem ferramentas open source que fazem essas analises, e para alguns clientes pode ser suficiente por hora para comprovar que vocês fazem controle de risco e vulnerabilidades. Só para listar alguns:

SAST (Static Application Security Testing)

• Semgrep (usada inclusive por big techs)
• SonarQube (Community Edition)

DAST (Dynamic Application Security Testing)

• OWASP ZAP (Zaproxy)
• StackHawk (Plano Gratuito)

SCA (Software Composition Analysis)

• Trivy
• Dependency-Check (OWASP)

CSPM (Cloud Security Posture Management)

• Prowler 

E existe uma lista extensa no site da própria OWASP:

• https://owasp.org/www-community/Source_Code_Analysis_Tools
• https://owasp.org/www-community/Vulnerability_Scanning_Tools