SERVIÇO DE SEGURANÇA TI

Serviço de Teste de Segurança IoT

Estar conectado à Internet não é mais um privilégio dos computadores. Coisas de uso comum, como lâmpadas, medidor de energia elétrica, equipamentos médicos, talvez até mesmo sua máquina de café e geladeira, hoje melhoraram as funcionalidades, aproveitando conexão com a internet.

Essas "coisas" enviam dados relacionados ao usuário para a nuvem, que os analisa e armazena. Obviamente, esses sistemas podem existir enquanto o conceito de segurança estiver vinculado a eles. Em alguns casos, as informações enviadas podem ser extremamente confidenciais e, portanto, muito provavelmente, uma brecha para ataques cibernéticos.

Alguns dos dispositivos IoT operam em ambientes onde seu funcionamento correto pode ser uma questão de vida ou morte. Os hospitais, por exemplo, estão se tornando cada vez mais modernos e utilizam dispositivos IoT por vários motivos. Em alguns casos, garantir que esses dispositivos funcionem corretamente e que os dados sejam transmitidos e entregues com segurança é de vital importância.

O mundo de IoT é, na maioria das vezes, composto por protocolos proprietários e regras de comunicação. Portanto, o conceito de conformidade de segurança não é algo completamente seguido por todos os dispositivos.

Por esse motivo, a wizlynx group fornece uma avaliação de segurança sob medida para a Internet das Coisas, onde nossos especialistas seniors em segurança cibernética verificarão seus dispositivos IoT conectados em relação à superfície completa de ataque IoT. Nossos serviços contam com analistas de segurança cibernética altamente qualificados e pentesters com ampla experiência, em defesa e em ataque.

Internet of Things (IoT) Constellation

O que testamos durante uma revisão de segurança IoT?

Nossa avaliação de segurança para dispositivos IoT é altamente inspirada no OWASP Internet of Things Top 10 e em outras práticas recomendadas de segurança do setor. Nossa avaliação de segurança focará principalmente nas seguintes áreas:

Senha Previsível, Fraca ou Codificada

Uso de senhas previsíveis utilizando força bruta, codificadas, publicamente disponíveis e / ou fixas no cliente/software/firmware podem conceder acesso não autorizado a dispositivos instalados

Serviço de Rede e Protocolo Inseguro

Serviços de redes desnecessários ativos e/ou inseguros - especialmente aqueles expostos à Internet - que comprometem a confidencialidade, a integridade ou a disponibilidade de informações ou permitem o controle remoto não autorizado (exemplos: Telnet, Wi-Fi, ZigBee, Bluetooth, etc.).

Interface de Acesso Inseguro

Web, API de back-end, soluções em nuvem insegura ou interface de dispositivos móveis que permitem o comprometimento do aparelho e/ou seus ecossistemas. Problemas comuns incluem ausência de autenticação e autorização, inexistência ou criptografia fraca e falta de validação de entrada e codificação de saída

Ausência de Mecanismo Seguro de Atualização

Ausência de processo para atualizar dispositivos com segurança / ecossistema, falta de validação de firmware no dispositivo, carência na entrega segura (não criptografado em trânsito), falta de mecanismo anti-reversão, inexistência de notificações em caso de alterações de segurança devido a atualizações.

Proteção de Privacidade Insuficiente

As informações pessoais dos usuários armazenadas de maneira insegura no dispositivo, usadas de maneira insegura, indevida e/ou sem permissão e outros itens transmitidos de forma insegura pela rede ou pela Internet, ausência de divulgação de privacidade adequada antes do uso

Transferência de Dados e Armazenamento Inseguro

Ausência de segurança de dados sensíveis em arquivo morto, em trânsito ou durante o processamento (por exemplo: criptografia insuficiente ou inexistente, má administração de chaves, controles de acesso à plataforma ineficiente, etc.).

Ausência de Defesa Física

Ausência de defesas físicas contra manipulação e / ou falta de verificação de integridade do sistema, permitindo que invasores em potencial obtenham informações confidenciais que podem ajudar no futuro ataque remoto.

Configuração de Segurança Insuficiente

Falta de recursos no produto fornecidos pelo fornecedor para ajudar o usuário a proteger o dispositivo por meio da configuração (por exemplo, autenticação reforçada, registro, monitoramento, gerenciamento de força de criptografia, etc.).

O que Você Recebe?

Todas as constatações serão documentadas em um relatório final e, em seguida, comparados com um perfil dos pontos fortes / fragilidades com base com os padrões internacionais de TI e segurança cibernética. As vulnerabilidades identificadas serão avaliadas e complementadas com recomendações e ações de remediação, bem como priorizadas de acordo com o risco associado. O relatório final será discutido durante uma apresentação com o cliente. O relatório incluirá um resumo abrangente e significativo para o “C-Level” da área que solicitou o serviço. Além disso, incluirá todos os resultados detalhados com as respectivas evidências e recomendações para futuras medidas de segurança.

wizlynx group IoT Security Assessment Report

Nossos Certificados de Segurança Cibernética

Os especialistas de segurança e pentesters da wizlynx group possuem as certificações mais reconhecidas pela indústria da segurança cibernética e teste de invasão como: CREST CRT, SANS/GIAC GXPN, GPEN, GWAPT, GCIH, GMOB, OSCP, CEH, CISSP, CISA, entre outras!

Top