Tipo de cliente: Farmacêutica / Biotecnologia com mais de 15.000 colaboradores e presença global
O Cliente detém um conjunto de parceiros estratégicos que providenciam soluções tecnológicas, principalmente em modelo de CaaS (Cloud as a Service) e o cliente tinha dificuldades em dispor de estrutura e conhecimento aprofundado para realizar de forma regular a avaliação da postura de Cibersegurança dos seus parceiros e dos potenciais riscos que daí podem advir.
A INTEGRITY apresentou um serviço ao cliente, composto por um processo que foi desenhado em conjunto com o cliente com base no qual, realiza de forma regular a avaliação de cada um dos parceiros indicados pelo cliente com o objetivo de proceder à identificação, caracterização e providenciar recomendações sobre os riscos identificados.
O processo de avaliação detém vários graus de profundidade que são definidos em concordância com a criticidade de cada um dos parceiros e da solução em si.
No âmbito do serviço, e por forma a tornar o serviço o mais eficaz e eficiente possível, a INTEGRITY utiliza de forma combinada a solução IntegrityGRC que acelera o processo de estruturação, definição e levantamento dos riscos, bem como, através da utilização do módulo de Assessments e gestão de risco, providencia ao cliente um deliverable mais prático com base no qual é possível tomar ações e monitorizar a evolução do Roadmap de Implementação.
O cliente detém hoje um conhecimento aprofundado sobre os riscos que resultam de cada um dos seus parceiros e soluções, e através do seguimento e gestão destes deliverables tem resultado uma considerável redução do risco para a organização.
Através do serviço contratado o cliente acabou também por conseguir responder de forma estruturada a um requisito de conformidade que dispunha, no que diz respeito à gestão de riscos de terceiras partes.
Tipo de cliente: Entidade Governamental Nacional
O cliente no âmbito do desenvolvimento das suas funções, detinha um requisito regulatório de adoção e implementação de um sistema de gestão de segurança da informação (SGSI ISO 27001), com a respetiva certificação por entidade acreditada.
O Cliente não detinha o conhecimento nem recursos suficientes para proceder à implementação.
A INTEGRITY disponibilizou um serviço composto pela realização de um projeto, com intervenção da sua equipa de consultoria, através da qual procedeu ao processo de implementação e apoio na certificação obtida pelo cliente.
Durante este projeto, que teve a duração de 9 meses, a INTEGRITY aplicou o seu Roadmap de 5 passos, comprovado em inúmeros projetos, através do qual apoiou o cliente em todas as atividades, nomeadamente na estruturação dos processos e documentação, na implementação destes processos, definição e ação da análise de gestão de risco, operação, entre outras atividades críticas.
Todas as atividades realizadas foram suportadas pela plataforma IntegrityGRC da INTEGRITY, que detém uma eficácia comprovada superior a 40% aquando da sua implementação, atendendo às funcionalidades disponibilizadas pela plataforma que suporta integralmente todas as atividades-chave da implementação de determinado standard ou regulação, desde as componentes documentais e garantindo a sua ligação com a componente operacional.
O Cliente conseguiu incrementar de forma muito acentuada a sua maturidade e prática de gestão de Segurança da Informação através da adoção da norma ISO 27001, e conseguiu corresponder ao seu objetivo de certificação ISO 27001 no tempo definido, através do serviço de implementação da INTEGRITY.
Tipo de cliente: Entidade Financeira com mais de 35.000 colaboradores e com presença global
O Cliente detém um conjunto muito considerável de aplicações de negócio, com dados muito sensíveis e de suporte a transações financeiras, e com uma elevada dinâmica de atualizações.
O Cliente sentia que o modelo de teste tradicional não conseguia acompanhar a dinâmica dos seus requisitos de negócio, bem como sentia pouca agilidade no processo de reporting e gestão dos resultados das suas ações de testes de intrusão.
Os requisitos deste cliente tiveram correspondência imediata com o serviço de Testes Persistentes KEEP-IT-SECURE-24 que a INTEGRITY lançou em 2013.
Através deste serviço o cliente dispõe de Testes de Intrusão Persistentes, integrados no seu ciclo de gestão de alterações e com testes manuais em profundidade realizados pela equipa certificada da INTEGRITY.
Com o deliverable deste serviço, o cliente dispõe de acesso ao portal de serviço onde pode efetuar a gestão do ciclo de vida das suas vulnerabilidades, garantir a interação entre as equipas de resolução e a equipa de testes da INTEGRITY, geração dinâmica dos relatórios e suporte durante a resolução efetiva das vulnerabilidades.
O cliente conseguiu através do KEEP-IT-SECURE-24 obter um serviço com um custo muito eficiente em comparação ao serviço que detinha anteriormente, com efetivo cumprimento dos seus objetivos.
O serviço acabou por ajudar o cliente a mitigar um número superior a 60% de vulnerabilidades face ao que detinha como histórico, e com um tempo de resolução em alguns casos reduzido a menos de metade do registado anteriormente.
Tipo de cliente: O cliente é uma empresa líder em análise de desempenho e opera numa geografia global
Como líder da indústria, o nosso cliente esforça-se por introduzir as mais recentes tecnologias no seu mercado, de forma a obter dados perspicazes a partir do streaming de vídeo em tempo real da câmara. O processo utilizado para capturar vídeos e executar análises baseia-se na distribuição geográfica das câmaras que, por vezes, podem não estar ligadas a ambientes de confiança e que terão de se ligar de forma segura à infraestrutura do nosso cliente.
O nosso cliente pediu-nos para submetermos o seu produto estrela, uma Smart Camera, a testes de segurança profundos.
Os requisitos apresentados pelo nosso cliente foram abordados por um projeto Pentest considerando múltiplos vetores de ameaça. A abordagem incluiu os seguintes cenários:
• O acesso físico à câmara foi considerado uma vez que as câmaras são colocadas muitas vezes em áreas inseguras, e um potencial intruso pode aceder-lhes para recolher conhecimento ou comprometer o sistema;
• O acesso à rede com fios e sem fios à câmara foi considerado como um vetor válido, uma vez que as câmaras são normalmente colocadas em redes não seguras que podem ser acedidas por potenciais atacantes;
• Os endpoints da API diretamente consumidos pela câmara na nossa infraestrutura de clientes também foram analisados.
A abordagem englobava os seguintes passos:
• 1º passo – pesquisar a solução e compreender o papel de cada bloco;
• 2º passo – faça um exercício de modelação de ameaças e decida quais os vetores a analisar primeiro (rede, hardware, aplicação);
• 3º planeamento e execução.
Algumas das técnicas utilizadas:
• Pesquisar o hardware para entender os chips e fornecedores usados;
• Subverter o boot utilizando a ligação em série;
• Testes e conexão wi-fi (aplicação móvel - ativação da câmara);
• Retirar o disco SSD M2 da câmara para ler a informação;
• Intercetar comunicações a partir das portas Ethernet;
• Testar serviços expostos da câmara;
• Sistema operativo boot (alternativa) através da ranhura do Micro SD-Card;
• Instalação da Autoridade de Certificados (CA) no sistema operativo da câmara para executar o MiTM.
O projeto Pentest permitiu a descoberta de múltiplas vulnerabilidades importantes que foram prontamente resolvidas pelo cliente, reduzindo o risco para a organização e utilizadores da solução. As descobertas vão desde a capacidade de um intruso aceder a imagens de vídeo, acedendo ao armazenamento interno da câmara, à capacidade de comprometer a câmara e intercetar comunicações e também a capacidade de comprometer o backend de análise da infraestrutura do nosso cliente.
O Pentest Project ajudou o cliente a compreender os riscos que a solução colocava e permitiu a resolução de vulnerabilidades, impedindo-as de serem utilizadas por atacantes para impactar a organização ou utilizadores da solução do nosso cliente.
Confrontado com os resultados detalhados à sua solução, o cliente percebeu o valor de ter várias outras suas soluções a ser continuamente analisadas e integradas no Serviço KEEP-IT-SECURE-24.
Edifício Atrium Saldanha
Praça Duque de Saldanha, nº 1, 2º andar
1050-094, Lisboa | Portugal
T: +351 21 33 03 740
(chamada para rede fixa nacional)
E: info@integrity.pt
5th Floor, Cottons Centre
Hay's Lane
London, SE1 2QG | United Kingdom
T: +44 20 7288 2800
(chamada para rede fixa internacional)
Calle Cronos 63, 4ª planta Oficina 2
28037, Madrid | España
T: +34 91 376 88 20
(chamada para rede fixa internacional)