Acesso restrito

Por que realizar um Pentest?

12:06 13 abril in Artigos
0 Comments

Atualmente, a prática de Pentest vem crescendo no ambiente corporativo devido à necessidade de se manter o negócio seguro e confiável e com o intuito de passar credibilidade para o cliente em relação aos requisitos de segurança, gerando, assim, diferenciais competitivos e evitando investimentos desnecessários na área de TI e que dão a falsa sensação de segurança.

O que é Pentest?

A palavra Pentest é uma abreviação de Penetration Test, também conhecido como Teste de Intrusão, ou seja um processo que simula, de forma controlada e programada, ataques à rede, sites e aplicações da empresa, com o objetivo de identificar vulnerabilidades nos sistemas e infraestrutura, a fim de mensurar potenciais riscos a serem tratados.

É recomendável realizar o Pentest em conjunto com as melhores práticas da norma ISO 27002, com o intuito de testar a segurança física e lógica do ambiente da empresa como um todo.

É importante salientar que há diferenças entre Pentest e Teste de Vulnerabilidade (Scanner de rede). De forma simplista, enquanto a realização de um Pentest depende da interação de um especialista que executa várias ferramentas, explora diferentes métodos e analisa de forma minuciosa os resultados que podem conter falsos-positivos, o Teste de Vulnerabilidade é realizado com a execução de uma ferramenta que irá apresentar um relatório  contendo todas as vulnerabilidades encontradas. Dependendo da necessidade da organização, qualquer um dos dois tipos de testes pode ser executado.

O que buscar nesse serviço?

Responsáveis pela TI de empresas que necessitam apresentar garantias aos seus clientes de que sua infraestrutura e seus sistemas está de acordo com os requisitos de segurança, seja para ter um diferencial competitivo no mercado ou atender solicitações de auditorias externas, evitando assim aquisição de soluções e serviços que darão uma falsa sensação de segurança.

Tipos de Pentest?

Existem diferentes formas de se executar um Pentest, sendo que todo o processo estará baseado em quais informações o especialista terá antes de iniciar o teste. Abaixo estão descritos os principais tipos de execução:

  • White Box
    O teste White Box, ou de “Caixa Branca”, é o Pentest mais completo, pois trata-se de uma análise mais minuciosa, que avalia toda a infraestrutura.
    No início do Pentest o profissional apto para a atividade possui conhecimento de todas informações essenciais da empresa, como topologia, credenciais, IPs e todos os outros dados que dizem respeito à rede, servidores e estrutura.
  • Black Box
    O teste Black Box, ou “Caixa Preta”, trata-se de um teste que possui pouca informação sobre a empresa, pois mesmo com o intuito de descobrir vulnerabilidades é o mais próximo de um ataque externo real praticado por hackers ou pessoas mal intencionadas.
  • Grey Box
    Definido como uma mistura dos dois tipos anteriores, o Grey Box – ou “Caixa Cinza” possui certas informações específicas para realizar o teste de intrusão. No entanto, essa quantidade de informações é pequena e não se compara a quantidade de dados disponibilizados em um Pentest de Caixa Branca.

Quais segmentos são verificados?

  • Web: Realiza testes de vulnerabilidades e exploração em ambientes e aplicações WEB, verificando a suscetibilidade a ataques de XSS e SQL Injection.
  • Mobile: Testa vulnerabilidades e exploração em aplicativos e sistemas operacionais para dispositivos móveis;
  • Rede Cabeada: Focado em explorar a infraestrutura de rede;
  • Rede Wireless: Nesse tipo de teste é examinada a rede sem fio utilizada no ambiente, focando em pontos de acessos, protocolos e credenciais administrativas;
  • Segurança Física: Os controles de acessos ao ambiente são testados, mapeando vulnerabilidades dos recursos físicos da empresa;
  • Engenharia Social: O foco será persuadir colaboradores, utilizando técnicas psicológicas para tentar induzi-los a passar informações importantes da empresa;

Metodologias:

  • PTES (Penetration Test Execution Standard): define e levanta a conscientização sobre o que um Pentest real pode significar, estabelece uma base de princípios fundamentais requeridos para a condução dele;
  • OSSTMM (Open Source Security Testing Methodology Manual): padrão internacional baseado em métodos científicos para auxiliar no processo de segurança, uma das metodologias mais completas e robustas;
  • ISSAF (Information System Security Assessment Framework): busca resultados da auditoria da forma mais rápida possível, é capaz de modelar os requisitos de controle internos para a segurança da informação;
  • OWASP (Open Web Application Security Project): é direcionada para testes em servidores e aplicações WEB.

Quais são os entregáveis?

O cliente receberá o relatório de Pentest contendo todas as atividades executadas e o resultados obtidos, conforme os itens descritos abaixo:

  • A metodologia adotada;
  • Tipo de teste executado;
  • Identificação das vulnerabilidades;

Recomendações para mitigar os riscos de exploração dos ativos, abordando soluções como por exemplo alterações nas regras e configurações do ambiente de rede, atualização de versões de software entre outras.

Pontos importantes?

Devido ao constante surgimento de novas ameaças e possíveis vulnerabilidades no ambiente, o Pentest de ser uma atividade inserida nos processos e rotinas da empresa, visando criar um mecanismo de aperfeiçoamento em busca da conformidade com as melhores práticas de segurança e a melhoria contínua.

Para mais informações sobre Pentest, ligue para (11) 4862-3500 ou clique aqui para nos contactar.

No Comments

Post A Comment