Atualmente, a prática de Pentest vem crescendo no ambiente corporativo devido à necessidade de se manter o negócio seguro e confiável e com o intuito de passar credibilidade para o cliente em relação aos requisitos de segurança, gerando, assim, diferenciais competitivos e evitando investimentos desnecessários na área de TI e que dão a falsa sensação de segurança.
O que é Pentest?
A palavra Pentest é uma abreviação de Penetration Test, também conhecido como Teste de Intrusão, ou seja um processo que simula, de forma controlada e programada, ataques à rede, sites e aplicações da empresa, com o objetivo de identificar vulnerabilidades nos sistemas e infraestrutura, a fim de mensurar potenciais riscos a serem tratados.
É recomendável realizar o Pentest em conjunto com as melhores práticas da norma ISO 27002, com o intuito de testar a segurança física e lógica do ambiente da empresa como um todo.
É importante salientar que há diferenças entre Pentest e Teste de Vulnerabilidade (Scanner de rede). De forma simplista, enquanto a realização de um Pentest depende da interação de um especialista que executa várias ferramentas, explora diferentes métodos e analisa de forma minuciosa os resultados que podem conter falsos-positivos, o Teste de Vulnerabilidade é realizado com a execução de uma ferramenta que irá apresentar um relatório contendo todas as vulnerabilidades encontradas. Dependendo da necessidade da organização, qualquer um dos dois tipos de testes pode ser executado.
O que buscar nesse serviço?
Responsáveis pela TI de empresas que necessitam apresentar garantias aos seus clientes de que sua infraestrutura e seus sistemas está de acordo com os requisitos de segurança, seja para ter um diferencial competitivo no mercado ou atender solicitações de auditorias externas, evitando assim aquisição de soluções e serviços que darão uma falsa sensação de segurança.
Tipos de Pentest?
Existem diferentes formas de se executar um Pentest, sendo que todo o processo estará baseado em quais informações o especialista terá antes de iniciar o teste. Abaixo estão descritos os principais tipos de execução:
- White Box
O teste White Box, ou de “Caixa Branca”, é o Pentest mais completo, pois trata-se de uma análise mais minuciosa, que avalia toda a infraestrutura.
No início do Pentest o profissional apto para a atividade possui conhecimento de todas informações essenciais da empresa, como topologia, credenciais, IPs e todos os outros dados que dizem respeito à rede, servidores e estrutura. - Black Box
O teste Black Box, ou “Caixa Preta”, trata-se de um teste que possui pouca informação sobre a empresa, pois mesmo com o intuito de descobrir vulnerabilidades é o mais próximo de um ataque externo real praticado por hackers ou pessoas mal intencionadas. - Grey Box
Definido como uma mistura dos dois tipos anteriores, o Grey Box – ou “Caixa Cinza” possui certas informações específicas para realizar o teste de intrusão. No entanto, essa quantidade de informações é pequena e não se compara a quantidade de dados disponibilizados em um Pentest de Caixa Branca.
Quais segmentos são verificados?
- Web: Realiza testes de vulnerabilidades e exploração em ambientes e aplicações WEB, verificando a suscetibilidade a ataques de XSS e SQL Injection.
- Mobile: Testa vulnerabilidades e exploração em aplicativos e sistemas operacionais para dispositivos móveis;
- Rede Cabeada: Focado em explorar a infraestrutura de rede;
- Rede Wireless: Nesse tipo de teste é examinada a rede sem fio utilizada no ambiente, focando em pontos de acessos, protocolos e credenciais administrativas;
- Segurança Física: Os controles de acessos ao ambiente são testados, mapeando vulnerabilidades dos recursos físicos da empresa;
- Engenharia Social: O foco será persuadir colaboradores, utilizando técnicas psicológicas para tentar induzi-los a passar informações importantes da empresa;
Metodologias:
- PTES (Penetration Test Execution Standard): define e levanta a conscientização sobre o que um Pentest real pode significar, estabelece uma base de princípios fundamentais requeridos para a condução dele;
- OSSTMM (Open Source Security Testing Methodology Manual): padrão internacional baseado em métodos científicos para auxiliar no processo de segurança, uma das metodologias mais completas e robustas;
- ISSAF (Information System Security Assessment Framework): busca resultados da auditoria da forma mais rápida possível, é capaz de modelar os requisitos de controle internos para a segurança da informação;
- OWASP (Open Web Application Security Project): é direcionada para testes em servidores e aplicações WEB.
Quais são os entregáveis?
O cliente receberá o relatório de Pentest contendo todas as atividades executadas e o resultados obtidos, conforme os itens descritos abaixo:
- A metodologia adotada;
- Tipo de teste executado;
- Identificação das vulnerabilidades;
Recomendações para mitigar os riscos de exploração dos ativos, abordando soluções como por exemplo alterações nas regras e configurações do ambiente de rede, atualização de versões de software entre outras.
Pontos importantes?
Devido ao constante surgimento de novas ameaças e possíveis vulnerabilidades no ambiente, o Pentest de ser uma atividade inserida nos processos e rotinas da empresa, visando criar um mecanismo de aperfeiçoamento em busca da conformidade com as melhores práticas de segurança e a melhoria contínua.