HOME CLIENTES CASE STUDIES

CASE STUDIES

Case Study

Gestão de Risco de Parceiros Estratégicos

Case Study Saiba mais »

Case Study

Adoção e certificação pela norma Standard ISO 27001

Case Study Saiba mais »

Case Study

Serviço de Testes de Segurança Persistentes

Case Study Saiba mais »

Case Study

Hackear uma Smart Camera: Exposições e Vulnerabilidades

Case Study Saiba mais »

Gestão de Risco de Parceiros Estratégicos

Tipo de cliente: Farmacêutica / Biotecnologia com mais de 15.000 colaboradores e presença global

  Desafio:

O Cliente detém um conjunto de parceiros estratégicos que providenciam soluções tecnológicas, principalmente em modelo de CaaS (Cloud as a Service) e o cliente tinha dificuldades em dispor de estrutura e conhecimento aprofundado para realizar de forma regular a avaliação da postura de Cibersegurança dos seus parceiros e dos potenciais riscos que daí podem advir.

  Solução:

A INTEGRITY apresentou um serviço ao cliente, composto por um processo que foi desenhado em conjunto com o cliente com base no qual, realiza de forma regular a avaliação de cada um dos parceiros indicados pelo cliente com o objetivo de proceder à identificação, caracterização e providenciar recomendações sobre os riscos identificados.

O processo de avaliação detém vários graus de profundidade que são definidos em concordância com a criticidade de cada um dos parceiros e da solução em si.

No âmbito do serviço, e por forma a tornar o serviço o mais eficaz e eficiente possível, a INTEGRITY utiliza de forma combinada a solução IntegrityGRC que acelera o processo de estruturação, definição e levantamento dos riscos, bem como, através da utilização do módulo de Assessments e gestão de risco, providencia ao cliente um deliverable mais prático com base no qual é possível tomar ações e monitorizar a evolução do Roadmap de Implementação.

  Impacto:

O cliente detém hoje um conhecimento aprofundado sobre os riscos que resultam de cada um dos seus parceiros e soluções, e através do seguimento e gestão destes deliverables tem resultado uma considerável redução do risco para a organização.

Através do serviço contratado o cliente acabou também por conseguir responder de forma estruturada a um requisito de conformidade que dispunha, no que diz respeito à gestão de riscos de terceiras partes.

  Serviços Relacionados:

  • Gestão de Risco de 3as Partes (mais informação em breve)
  • integritygrc
    IntegrityGRC

Adoção e certificação pela norma Standard ISO 27001

Tipo de cliente: Entidade Governamental Nacional

  Desafio:

O cliente no âmbito do desenvolvimento das suas funções, detinha um requisito regulatório de adoção e implementação de um sistema de gestão de segurança da informação (SGSI ISO 27001), com a respetiva certificação por entidade acreditada.

O Cliente não detinha o conhecimento nem recursos suficientes para proceder à implementação.

  Solução:

A INTEGRITY disponibilizou um serviço composto pela realização de um projeto, com intervenção da sua equipa de consultoria, através da qual procedeu ao processo de implementação e apoio na certificação obtida pelo cliente.

Durante este projeto, que teve a duração de 9 meses, a INTEGRITY aplicou o seu Roadmap de 5 passos, comprovado em inúmeros projetos, através do qual apoiou o cliente em todas as atividades, nomeadamente na estruturação dos processos e documentação, na implementação destes processos, definição e ação da análise de gestão de risco, operação, entre outras atividades críticas.

Todas as atividades realizadas foram suportadas pela plataforma IntegrityGRC da INTEGRITY, que detém uma eficácia comprovada superior a 40% aquando da sua implementação, atendendo às funcionalidades disponibilizadas pela plataforma que suporta integralmente todas as atividades-chave da implementação de determinado standard ou regulação, desde as componentes documentais e garantindo a sua ligação com a componente operacional.

  Impacto:

O Cliente conseguiu incrementar de forma muito acentuada a sua maturidade e prática de gestão de Segurança da Informação através da adoção da norma ISO 27001, e conseguiu corresponder ao seu objetivo de certificação ISO 27001 no tempo definido, através do serviço de implementação da INTEGRITY.

  Serviços Relacionados:

Serviço de Testes de Segurança Persistentes

Tipo de cliente: Entidade Financeira com mais de 35.000 colaboradores e com presença global

  Desafio:

O Cliente detém um conjunto muito considerável de aplicações de negócio, com dados muito sensíveis e de suporte a transações financeiras, e com uma elevada dinâmica de atualizações.

O Cliente sentia que o modelo de teste tradicional não conseguia acompanhar a dinâmica dos seus requisitos de negócio, bem como sentia pouca agilidade no processo de reporting e gestão dos resultados das suas ações de testes de intrusão.

  Solução:

Os requisitos deste cliente tiveram correspondência imediata com o serviço de Testes Persistentes KEEP-IT-SECURE-24 que a INTEGRITY lançou em 2013.

Através deste serviço o cliente dispõe de Testes de Intrusão Persistentes, integrados no seu ciclo de gestão de alterações e com testes manuais em profundidade realizados pela equipa certificada da INTEGRITY.

Com o deliverable deste serviço, o cliente dispõe de acesso ao portal de serviço onde pode efetuar a gestão do ciclo de vida das suas vulnerabilidades, garantir a interação entre as equipas de resolução e a equipa de testes da INTEGRITY, geração dinâmica dos relatórios e suporte durante a resolução efetiva das vulnerabilidades.

  Impacto:

O cliente conseguiu através do KEEP-IT-SECURE-24 obter um serviço com um custo muito eficiente em comparação ao serviço que detinha anteriormente, com efetivo cumprimento dos seus objetivos.

O serviço acabou por ajudar o cliente a mitigar um número superior a 60% de vulnerabilidades face ao que detinha como histórico, e com um tempo de resolução em alguns casos reduzido a menos de metade do registado anteriormente.

  Serviços Relacionados:

Hackear uma Smart Camera: Exposições e Vulnerabilidades

Tipo de cliente: O cliente é uma empresa líder em análise de desempenho e opera numa geografia global

  Desafio:

Como líder da indústria, o nosso cliente esforça-se por introduzir as mais recentes tecnologias no seu mercado, de forma a obter dados perspicazes a partir do streaming de vídeo em tempo real da câmara. O processo utilizado para capturar vídeos e executar análises baseia-se na distribuição geográfica das câmaras que, por vezes, podem não estar ligadas a ambientes de confiança e que terão de se ligar de forma segura à infraestrutura do nosso cliente.

O nosso cliente pediu-nos para submetermos o seu produto estrela, uma Smart Camera, a testes de segurança profundos.

  Solução:

Os requisitos apresentados pelo nosso cliente foram abordados por um projeto Pentest considerando múltiplos vetores de ameaça. A abordagem incluiu os seguintes cenários:

• O acesso físico à câmara foi considerado uma vez que as câmaras são colocadas muitas vezes em áreas inseguras, e um potencial intruso pode aceder-lhes para recolher conhecimento ou comprometer o sistema;
• O acesso à rede com fios e sem fios à câmara foi considerado como um vetor válido, uma vez que as câmaras são normalmente colocadas em redes não seguras que podem ser acedidas por potenciais atacantes;
• Os endpoints da API diretamente consumidos pela câmara na nossa infraestrutura de clientes também foram analisados.

A abordagem englobava os seguintes passos:

• 1º passo – pesquisar a solução e compreender o papel de cada bloco;
• 2º passo – faça um exercício de modelação de ameaças e decida quais os vetores a analisar primeiro (rede, hardware, aplicação);
• 3º planeamento e execução.

Algumas das técnicas utilizadas:

• Pesquisar o hardware para entender os chips e fornecedores usados;
• Subverter o boot utilizando a ligação em série;
• Testes e conexão wi-fi (aplicação móvel - ativação da câmara);
• Retirar o disco SSD M2 da câmara para ler a informação;
• Intercetar comunicações a partir das portas Ethernet;
• Testar serviços expostos da câmara;
• Sistema operativo boot (alternativa) através da ranhura do Micro SD-Card;
• Instalação da Autoridade de Certificados (CA) no sistema operativo da câmara para executar o MiTM.

O projeto Pentest permitiu a descoberta de múltiplas vulnerabilidades importantes que foram prontamente resolvidas pelo cliente, reduzindo o risco para a organização e utilizadores da solução. As descobertas vão desde a capacidade de um intruso aceder a imagens de vídeo, acedendo ao armazenamento interno da câmara, à capacidade de comprometer a câmara e intercetar comunicações e também a capacidade de comprometer o backend de análise da infraestrutura do nosso cliente.

  Impacto:

O Pentest Project ajudou o cliente a compreender os riscos que a solução colocava e permitiu a resolução de vulnerabilidades, impedindo-as de serem utilizadas por atacantes para impactar a organização ou utilizadores da solução do nosso cliente.

Confrontado com os resultados detalhados à sua solução, o cliente percebeu o valor de ter várias outras suas soluções a ser continuamente analisadas e integradas no Serviço KEEP-IT-SECURE-24.

  Serviços Relacionados:

CONTACTOS

Portugal

Edifício Atrium Saldanha
Praça Duque de Saldanha, nº 1, 2º andar
1050-094, Lisboa | Portugal
T: +351 21 33 03 740
E: info@integrity.pt

United Kingdom

Suite 4B
43 Berkeley Square
Mayfair, Westminster
London, W1J 5FJ | United Kingdom

España

Calle Cronos 63, 4ª planta Oficina 2
28037, Madrid | España
T: +34 91 376 88 20

 




QUER RECEBER A NOSSA NEWSLETTER?

x

Consentimento Cookies X

A Integrity S.A. utiliza cookies para fins analíticos e de apresentação de informação mais personalizada, com base no perfil elaborado pelos seus hábitos de navegação. Se pretende informação mais pormenorizada, pode aceder à nossa Política de Cookies.