Com o aumento de ataques, as empresas têm buscado cada vez mais melhorar sua segurança e se antecipar na prevenção a possíveis riscos. Nessa perspectiva, o Pentest (abreviação de Penetration Testing), surge como uma alternativa para identificar e explorar fraquezas e vulnerabilidades de segurança, com o objetivo de medir o impacto delas para a organização.

Quando executado, o Penetration Testing oferece resultados eficientes à empresa, avaliando o nível de exposição do ambiente. Entre os principais benefícios é possível citar:

• Teste de Controles e implementações;
• Conformidade com normas de segurança (exemplo: PCI-DSS);
• Melhoria no atendimento a requisitos impostos pela lei da LGPD;
• Zelo pela reputação da empresa;
• Redução de riscos que podem gerar prejuízos.

Os resultados permitem:

• Comprovar o impacto do risco;
• Tomar melhores decisões e investir corretamente em segurança;
• Melhorar os controles e mecanismos de defesa;
• Se antecipar a ataques futuros.

Comparação: Análise de Vulnerabilidades x Pentest x Red Team

Para cada tipo de demanda existe uma abordagem de teste ou análise que é mais adequada. Por isso, é importante compreender os pontos fortes e fracos de algumas delas e quais são as situações que convém utilizá-las, para garantir o sucesso do projeto.

• Análise de Vulnerabilidades

Análises de vulnerabilidade identificam, quantificam e priorizam o que há de mais frágil nos sistemas, a fim de tornar sua segurança mais robusta. Este tipo de análise é indicado para testar uma grande quantidade de sistemas em um curto período de tempo.

Uma análise de vulnerabilidade é diferente de um Pentest porque seus objetivos são distintos. Enquanto o teste explora táticas específicas de invasão, a análise identifica todas as brechas existentes em um sistema. O profissional realiza os testes e pode fazer as PoC (provas de conceitos) com base nos resultados que a ferramenta apresenta.

Principais vantagens:

• Análises com ferramentas automatizadas;
• Identificação e mitigação de riscos;
• Redução da probabilidade de vazamento de dados;
• Normalmente não causa interrupções de serviços.

Desvantagens:

• Pode apresentar falsos positivos;
• Não explora a vulnerabilidade;
• Só encontra riscos já conhecidos (não reconhece Zero Day);
• O resultado pode conter erros.

• Pentest

O Penetration Test leva mais tempo de execução comparado a uma análise de vulnerabilidade, porém é mais preciso e eficaz, além de permitir uma visão real do risco e impacto para o negócio, possibilitando o encontro de vulnerabilidades não conhecidas.

Vantagens:

• Explora a vulnerabilidade e mede o impacto;
• Possibilita encontrar vulnerabilidades não conhecidas;
• Informações concretas através do relatório;
• Validar se a postura de segurança da corporação está adequada para lidar com ameaças atuais;
• Mistura testes automatizados com testes manuais.

Desvantagens:

• Leva mais tempo comparado a uma avaliação automatizada (Análise de Vulnerabilidade).

• Red Team

O serviço de Red Team tem uma abordagem mais ampla que um Pentest, normalmente com um objetivo específico e bem definido (Ex: Conseguir acesso às contas dos diretores da empresa, ou ao servidor principal da rede interna). Normalmente não existem regras e limitações de uso da engenharia social, ataques físicos, tempo, entre outros.

Vantagens:

• Possibilita uma visão real dos riscos;
• Permite testar o time de resposta a incidentes (Blue Team).

Desvantagens:

• Preço alto.

Quais são as modalidades de Pentest?

• White Box

Testes White Box são aqueles realizados para analisar aplicações web, onde a configuração do servidor e o próprio código-fonte são analisados abertamente em busca de falhas de segurança que possam comprometer o serviço.

Todas as informações do cliente sobre a rede, servidores, banco de dados e sistemas que estão inclusos no escopo do teste de invasão, e demais informações de acesso aos mesmos, são fornecidas para que possam ser realizados testes extensivos e com mais abrangência.

• Black Box

É o tipo de análise mais próximo de um ataque externo, pois nenhuma informação vinda do cliente é fornecida ao analista de teste. Sendo assim, todo e qualquer tipo de informação para a realização de um teste Black Box é adquirida através de técnicas específicas de hacking sobre os serviços disponíveis do alvo, identificando assim as vulnerabilidades e os possíveis danos causados por um ataque mal-intencionado.

• Gray Box

Um bom exemplo de teste Gray Box são aqueles direcionados para analisar possíveis falhas de segurança em uma aplicação vinda através de um usuário credenciado, como níveis de permissões de acesso e alterações não autorizadas. Esse tipo de análise pode ser considerado uma junção dos anteriores, pois o analista de teste recebe alguma informação do cliente, como dados da infraestrutura da rede ou acesso a determinado serviço web.

Qual tipo de Pentest devo escolher?

Essa definição é feita no escopo do trabalho. Existem diversos tipos de Pentest e vários deles podem ser utilizados em um mesmo procedimento:

• Web:  realiza testes de vulnerabilidades e exploração em ambientes e aplicações WEB;
• Mobile: testa vulnerabilidades e exploração em aplicativos e sistemas operacionais para dispositivos moveis;
• Rede: focado em explorar a infraestrutura de rede;
• Wireless: nesse tipo de teste é examinada a rede sem fio utilizada no ambiente, focando em pontos de acessos, protocolos e credenciais administrativas;
• Físico: os controles de acessos ao ambiente são testados, mapeando fraquezas aos recursos físicos da empresa;
• Engenharia Social: o foco é testar os próprios colaboradores, utilizando técnicas psicológicas para tentar induzi-los a passar informações importantes;
• Stress (DDos): verifica a disponibilidade de uma aplicação suportar uma demanda de requisições;
• Externo: realizado a partir da Internet;
• Interno: normalmente alocado no cliente.

Definindo uma metodologia

Há vários tipos de metodologias que podem ser aplicadas em um teste de intrusão, o que permite dividir o processo, que normalmente é complexo, em uma série de tarefas menores e mais administráveis. Essas metodologias são conhecidas como manuais de boas práticas em um Pentest:

• PTES (Penetration Test Execution Standard): define e levanta a conscientização sobre o que um Pentest real pode significar e estabelece uma base de princípios fundamentais requeridos para a condução dele;
• OSSTMM (Open Source Security Testing Methodology Manual): padrão internacional baseado em métodos científicos para auxiliar no processo de segurança, uma das metodologias mais completas e robustas;
• ISSAF (Information System Security Assessment Framework): busca resultados da auditoria da forma mais rápida possível, e é capaz de modelar os requisitos de controle internos para a segurança da informação;
• OWASP (Open Web Application Security Project): é direcionada para testes em servidores e aplicações WEB.

Entender o cliente é um passo primordial

Antes de realizar qualquer ação e até mesmo de definir um escopo, ouvir o cliente é primordial para dar no andamento ao processo de Pentest. Por isso, algumas perguntas são importantes para definir como atender às suas necessidades de forma clara e eficiente:

• O que se espera do Pentest?
• É o primeiro teste?
• O que é considerado valioso na organização?
• Quais as suas preocupações?
• O teste é feito para cumprir alguma Compliance? (ex: PCI-DSS)
• Existe algum sistema frágil?
• Qual o objetivo do Pentest?
• O que será considerado como sucesso no projeto?
• Existe alguma limitação?

A partir dessas respostas, é possível se estruturar um Pentest e outros procedimentos com foco em segurança e otimização da infraestrutura do ambiente. A Integratto conta com um time técnico e parceiros capazes de definir qual técnica é a mais adequada para a sua empresa e o timing correto para esses procedimentos. Para saber mais, entre em contato conosco aqui.

Autor:

Marcus Santos 

Analista de Segurança da Informação na Integratto Tecnologia