No mundo da segurança cibernética, estar um passo à frente dos possíveis atacantes à nossa infraestrutura pode ser o que definirá as nossas chances de sucesso na reação quando um ataque surgir. Existem diversas maneiras de testar a segurança de dados de sua empresa. Hoje trataremos de uma delas. Vamos entender o que é Pentest e como esse serviço pode auxiliar sua empresa a diminuir brechas em sua segurança.
O que é Pentest ou teste de intrusão?
O Pentest (ou teste de intrusão) é um exercício de segurança em que um especialista em segurança cibernética tenta encontrar e explorar vulnerabilidades em um sistema de computador. O objetivo desse ataque simulado é identificar os pontos fracos nas defesas de um sistema que os invasores poderiam aproveitar.
Isto é como um banco que contrata alguém para se vestir de ladrão e tentar invadir seu prédio e ter acesso ao cofre. Se o “ladrão” for bem-sucedido e entrar no banco ou no cofre, o banco obterá informações valiosas sobre como eles precisam reforçar suas medidas de segurança.
Quem realiza o pentest?
É melhor que um profissional da área, com pouco ou nenhum conhecimento prévio de como o sistema é protegido, realize o pentest, pois eles podem expor os pontos cegos perdidos pelos desenvolvedores que criaram o sistema ou a infraestrutura da empresa. Por esse motivo, as empresas de consultoria são contratadas para realizar os testes. Essas empresas costumam ter os chamados “hackers éticos”, já que estão sendo contratados para invadir um sistema com permissão e com o objetivo de aumentar a segurança.
O que é um Hacker Ético ou Ethical Hacker ?
É um especialista em segurança da informação contratado por uma organização para realizar testes de invasão em suas redes, computadores ou websites, usando os mesmos métodos que um hacker malicioso usaria. A intenção do hacker ético é identificar as vulnerabilidades que um invasor poderia explorar, permitindo que a organização tome medidas preventivas contra possíveis ataques.
Quais são os tipos de pentest?
Pentest White Box
Em um teste de White Box, o pentester receberá todas as informações com antecedência sobre a estrutura de segurança da empresa-alvo, como endereços IPs, nomes de servidores, topologia interna da rede do cliente entre outras informações.
Pentest Black Box
É o tipo de pentest que mais assegura a fidelidade de um ataque, onde o pentester, sem praticamente nenhuma informação da empresa-alvo, deverá realizar todo o mapeamento, descoberta e exploração a partir do zero. Esse é o cenário real de um atacante malicioso contra uma corporação.
Pentest Gray Box
O teste Gray Box é realizado tendo como informações da empresa-alvo o mínimo necessário, é na realidade um “meio termo” entre o White Box e o Black Box.
Pentest externo
Em um Pentest externo, o pentester enfrenta exclusivamente a tecnologia externa da empresa, como o site e os servidores da DMZ. Em alguns casos, o pentester não é autorizado a sequer entrar no prédio da empresa. Isso pode significar conduzir o ataque de um local remoto ou realizar o teste em um carro estacionado nas proximidades.
Pentest interno
No Pentest Interno, o pentester realiza o teste na rede interna da empresa. Esse tipo de teste é útil para determinar quanto dano um funcionário insatisfeito, chamado também de Insider, pode causar por trás do firewall da empresa e até mesmo atestar se os níveis de segurança da portaria da empresa-alvo estão corretamente dimensionados.
Fases do Pentest: como funciona a análise e correção de vulnerabilidades?
Podemos afirmar que o Pentest se subdivide em 6 etapas. Acompanhe abaixo o detalhamento de cada uma delas.
Coleta de Informações
Todas as informações sobre a empresa-alvo são coletadas: ramo de atuação, existência de filiais ou empresa associadas a ela, serviços prestados, endereço físico (se houver), além de nome e e-mails de profissionais que ocupam cargos altos, como gerentes e diretores. Estas informações permitem que o pentester saiba se a empresa utiliza VPN (Virtual Private Network) e colete endereços dos servidores DNS (Domain Name Service).
Mapeamento de Rede/ Varredura
Já com a informação de DNS, o pentester começa a mapear a rede, fazendo uma varredura no sistema. A simulação de invasão avança e ele consegue descobrir a topologia da rede, o IP que é utilizado, servidores existentes, sistemas operacionais, quantidade de computadores na rede interna e portas abertas.
Enumeração de Serviços
Após a varredura dos computadores e sistemas utilizados pela empresa-alvo, o pentester começa a analisar os serviços que estão sendo executados bem como as portas de acesso ao sistema.
Obtenção de acesso e busca por vulnerabilidades
Após reunir todas as informações anteriores, o pentester inicia a busca por vulnerabilidade no software. Por meio de técnicas específicas, ele faz uma tentativa para encontrar os serviços que estão vulneráveis e identificar que tipo de informações, controle e falhas ele consegue obter por meio daquele endereço.
Exploração da vulnerabilidade
As vulnerabilidades são exploradas, assim que o software é invadido, podendo executar ataques SQL, interromper o serviço ou mesmo executar outro programa que recebe comandos remotamente.
Evidência e reporte
Após identificar todas as vulnerabilidades, o pentester coleta as evidências das falhas e gera um relatório reportando todos os pontos da aplicação que apresentam brechas, como má configuração de softwares, falta de atualização do sistema, falhas na rede etc. Além disso, são apontados todos os danos que cada falha pode causar à empresa. Com isso, é preciso prosseguir com as etapas de correção dos problemas.
Qual a diferença entre o Pentest e uma invasão real?
Ao contrário de uma invasão real, a simulação do pentester não causa nenhum dano à empresa contratada. Ela tem total ciência da varredura que será feita em seu site e concede autorização para tal. O objetivo é que ela tenha acesso ao que representa um risco de segurança da informação em sua rede e que os problemas sejam corrigidos. Com isso, ela evita ataques e danos reais.
De que outras formas eu posso manter o meu ambiente prevenido contra ataques cibernéticos?
Agora que descobrimos o que é pentest e seus diferentes formatos é possível compreender a importância desse teste, a fim de descobrir brechas e assim otimizar a segurança das informações. Existem ações complementares que auxiliam e muito a prevenção de ataques cibernéticos ao ambiente, dentre eles, a utilização de times de ataque-defesa chamados de Red Teams e Blue Teams, mas isso, é assunto para o próximo artigo.
Enquanto isso, sugiro a leitura de um artigo que publicamos recentemente, onde abordamos uma solução fundamental de Segurança que foca na Prevenção da perda de dados.
Até a próxima.
Comments