Teste de penetração

Os testes com equipes vermelha/azul/roxa são simulações de segurança com adversários projetadas para testar a conscientização sobre segurança e os tempos de resposta de uma organização

Os clientes que buscam realizar simulações de segurança com adversários e/ou hospedar Command and Control (C2) devem enviar um formulário de Eventos simulados para análise. 

O teste de estresse é um teste de performance que envia um grande volume de tráfego legítimo ou de teste para uma aplicação de destino específica para garantir uma capacidade operacional eficiente. A expectativa é que a aplicação de endpoint realize a função pretendida como parte do teste. Qualquer tentativa de sobrecarregar o destino é considerada uma negação de serviço (DoS).

Os clientes que desejam realizar um teste de estresse de rede devem revisar a Política de teste de estresse. 

iPerf é uma ferramenta para medição e ajuste da performance da rede. É uma ferramenta interplataforma capaz de produzir medições de performance padronizadas para qualquer rede.

Os clientes que buscam realizar testes de iPerf devem enviar um formulário de Eventos simulados para análise. 

Os ataques Distributed Denial of Service (DDoS – Negação de serviço distribuída) ocorrem quando os invasores usam uma inundação de tráfego de várias fontes para tentar afetar a disponibilidade de uma aplicação almejada. O teste de simulação de DDoS usa um ataque controlado de DDoS para permitir que o proprietário de uma aplicação avalie a resiliência dela e pratique a resposta a eventos.

Os clientes que querem executar um teste de simulação de DDoS devem consultar nossa Política de testes de simulação de DDoS. 

Phishing simulado é a simulação de uma tentativa de ataque de engenharia social que tenta obter informações confidenciais dos usuários. A meta é identificar usuários e educá-los sobre a diferença entre e-mails válidos e e-mails de phishing para aumentar a segurança organizacional.

Os clientes que buscam realizar campanhas de Phishing simulado devem enviar um formulário de Eventos simulados para análise. 

Os testes de malware são a prática de sujeitar arquivos ou programas mal-intencionados a aplicações ou programas antivírus para aumentar os recursos de segurança.

Os clientes que buscam realizar testes de malware devem enviar um formulário de Eventos simulados para análise. 

A AWS tem o compromisso de ser dinâmica e manter você informado sobre o nosso progresso. Envie um formulário de Eventos simulados para entrar em contato conosco diretamente. (Para os clientes que operam na Região AWS China (Ningxia e Pequim), use este formulário de Eventos simulados.)

Certifique-se de incluir datas, IDs das contas envolvidas, ativos envolvidos e informações de contato, incluindo número de telefone e a descrição detalhada dos eventos planejados. Você receberá uma resposta não automatizada ao contato inicial em 2 dias úteis confirmando o recebimento da sua solicitação.

Todas as solicitações de Eventos simulados devem ser enviadas à AWS com pelo menos 2 (duas) semanas de antecedência em relação à data de início.

Nenhuma ação adicional será necessária de sua parte depois de receber nossa autorização. Você poderá realizar seus testes até o período de conclusão que indicou.

A política da AWS a respeito do uso de ferramentas e serviços de avaliação permite flexibilidade considerável para a execução de verificações de segurança de seus ativos da AWS, além de proteger os outros clientes da AWS e garantir a qualidade de serviço em toda a AWS.

A AWS compreende que existe uma variedade de ferramentas e serviços públicos, privados, comerciais e/ou de código-fonte aberto disponíveis para realização de uma avaliação de segurança de seus ativos da AWS. O termo “avaliação de segurança” refere-se a todas as atividades executadas para determinar a eficácia ou a existência de controles de segurança entre ativos da AWS como, por exemplo, varredura de portas, varreduras/verificações de vulnerabilidades, teste de penetração, uso de exploits, varredura de aplicativos web, bem como qualquer atividade de injeção, falsificação ou envio de dados aleatórios realizada remotamente contra ativos da AWS, entre seus ativos da AWS ou localmente dentro dos próprios ativos virtualizados.

A sua escolha de ferramentas ou serviços para executar uma avaliação de segurança de seus ativos da AWS NÃO é limitada. No entanto, você ESTÁ proibido de utilizar qualquer ferramenta ou serviço de forma a gerar ataques ou simulações de negação de serviço (DoS) contra QUALQUER ativo da AWS, seu ou de outros. Os clientes que querem executar um teste de simulação de DDoS devem consultar nossa Política de testes de simulação de DDoS.

Uma ferramenta de segurança que realiza apenas uma consulta remota do seu ativo da AWS para determinar um nome e uma versão de software, como “apropriação de banner” para fins de comparação com uma lista de versões conhecidas como vulneráveis a DoS, NÃO viola esta política.

Além disso, uma ferramenta ou serviço de segurança que apenas causa falha em um processo em execução no seu ativo da AWS, temporária ou não, conforme necessário para exploit remoto ou local como parte da avaliação de segurança, NÃO viola esta política. No entanto, essa ferramenta NÃO pode realizar flood de protocolos ou solicitação de recursos, como mencionado acima.
 É expressamente proibida a utilização de ferramenta ou serviço de segurança que crie, determine a existência ou demonstre uma condição de DoS de QUALQUER outra maneira, real ou simulada.

Algumas ferramentas ou serviços incluem capacidades de DoS reais, conforme descrito acima, inerentes/silenciosas se usadas inadequadamente ou como teste, verificação ou recurso explícito da ferramenta ou serviço. Qualquer ferramenta ou serviço de segurança que tenha recursos de DoS deve ter a capacidade explícita de DESABILITAR, DESARMAR ou de outra forma TORNAR INOFENSIVO esse recurso de DoS. Caso contrário, essa ferramenta ou serviço NÃO pode ser utilizada para NENHUM aspecto da avaliação de segurança.

É da exclusiva responsabilidade do cliente da AWS: (1) assegurar que as ferramentas e os serviços utilizados para realizar uma avaliação de segurança estejam devidamente configurados e operem corretamente de forma a não executar ataques ou simulações de DoS e (2) validar de forma independente que a ferramenta ou o serviço utilizado não executa nem simula ataques de DoS ANTES da avaliação de segurança de qualquer ativo da AWS. Essa responsabilidade do cliente da AWS inclui garantir que terceiros contratados realizem avaliações de segurança de uma maneira que não viole esta política.

Além disso, você é responsável por quaisquer danos à AWS ou a outros clientes da AWS causados por suas atividades de testes ou avaliações de segurança.