O lema do escotismo “Be Prepared” (esteja preparado) poderia facilmente ser emprestado ao mundo corporativo quando o quesito é segurança cibernética. No ritmo que os crimes virtuais crescem já podemos pensar neles como o adversário número um de qualquer negócio.
Quando uma empresa levanta questões sobre o que pode fazer para se proteger e corrigir suas vulnerabilidades, qualquer recomendação de melhoria passa sempre pela necessidade de encontrar lacunas de segurança.
Com a ajuda de ferramentas de testes de intrusão, profissionais de segurança certificados podem identificar pontos fracos nas defesas de uma organização. O objetivo é simular um ataque cibernético legítimo procurando qualquer brecha. Usando as armas do inimigo, o especialista vasculha todos os sistemas tentando violar servidores, romper a segurança de aplicativos, da rede e obter acesso aos ativos críticos da empresa ou ainda identificar pontos fracos de segurança em usuários com o chamado teste social.
A partir dessa simulação, a empresa consegue avaliar sua capacidade de proteger suas redes (infraestrutura) e aplicativos (software) de tentativas externas ou internas de burlar controles de segurança e obter acesso não autorizado a ativos protegidos.
Por ser uma avaliação ética, o teste de intrusão ou Pentest como também é chamado ajuda a equipe de TI a identificar:
Configurações erradas;
Falhas em ativos de hardware ou software;
Processos ou contramedidas técnicas inadequadas;
Disposição de funcionários a ataques de engenharia social.
Não existem sistemas impenetráveis. É por isso que o relatório de um teste de intrusão oferece a oportunidade de uma empresa encontrar os riscos aos quais está exposta e compreender as consequências dessa exposição.
Se você está pensando em conduzir um teste de intrusão para avaliar a eficácia de seus controles de segurança e encontrar pontos exploráveis, você pode começar determinando qual camada do seu ambiente de TI você quer avaliar e qual o melhor teste para o seu negócio. A Kaspersky coloca testes de penetração externos e internos e avaliação de segurança de redes sem fio como primordiais, mas também podemos acrescentar testes de engenharia social como essenciais, já que a robustez da política de segurança passa também pela consciência dos funcionários.
Em relação aos métodos do Pentest as abordagens mais disseminadas são:
Teste de intrusão de caixa preta: nessa abordagem o testador não tem absolutamente nenhum conhecimento do ambiente que vai tentar penetrar, desta forma é possível testar o comportamento de um invasor sem privilégios, do acesso inicial até a exploração.
Teste de intrusão de caixa branca: nessa abordagem o testador tem conhecimento completo do ambiente;
Teste de intrusão de caixa cinza: nessa abordagem o testador tem acesso a informações limitadas, como credenciais de login por exemplo. O teste de caixa cinza simula o nível de acesso que um usuário tem ao sistema e os danos que pode causar a partir de seu nível de privilégios.
Qual a diferença entre Pentest e varredura de vulnerabilidade?
Teste de intrusão e varredura de vulnerabilidade são frequentemente confundidos. Embora ambos sejam componentes essenciais de um gerenciamento de vulnerabilidades, é necessário que seja feita a diferenciação entre os dois serviços pois cada um tem sua importância em seus respectivos níveis, objetivos e resultados.
As varreduras de vulnerabilidade são processos automatizados que procuram vulnerabilidades conhecidas em ativos de rede. O teste de intrusão é um esforço manual conduzido por um especialista ou equipe de especialistas certificados que usam técnicas diversificadas para simular a exploração de pontos fracos dos mecanismos de defesa.
Vamos colocar da seguinte forma: varredura de vulnerabilidade é como caminhar até uma porta, verificar se ela está aberta e reportar para quem for de interesse um “sim, está aberta” ou “não, não está aberta”. Um teste de intrusão não apenas verifica se a porta está aberta, mas também procura todas as maneiras de abrir a porta e explorar as possibilidades que a porta aberta oferece.
É importante que o teste de intrusão seja realizado com um certo nível de frequência para que se obtenha resultados mais consistentes. O recomendado é que sejam realizados a cada vez que um novo recurso de rede ou aplicativos sejam adicionados ou atualizados, patches de segurança sejam aplicados ou políticas de controle de acesso sejam modificadas.
Os relatórios de teste de intrusão dão uma visão detalhada dos métodos usados no processo de investigação e também sugestões para correção de possíveis lacunas. Tudo usando a perspectiva de um invasor real. Isso auxilia as equipes de TI a implementarem atualizações de segurança totalmente voltadas para as necessidades reais da organização, minimizando consideravelmente a possibilidade de ataques bem-sucedidos.
Gostaria de uma avaliação da segurança da sua empresa? Fale com o time da Tecnews.NET.
Referências:
https://www.kaspersky.com.br/enterprise-security/penetration-testing
https://www.tecmundo.com.br/seguranca/151275-ele-ganha-dinheiro-hackeando-conheca-pentest.htm
