Conheça os diferentes tipos de Teste de Invasão (Pentest)

O PENTEST, ou teste de intrusão, é um processo que visa mostrar o panorama real do nível de maturidade de uma Corporação com relação à segurança da informação em face de ameaças reais.

Trata-se de um importante instrumento para testar as vulnerabilidades de segurança da informação frente a ameaças reais, podendo ter várias abordagens para proteger ainda mais os dados sensíveis e estratégicos de uma organização.

No mundo todo, os sistemas de informação digital são constantemente atacados por diversos motivos, sendo certo que há brechas nas tecnologias que se renovam todos os dias. Por isso, políticas de segurança e ações básicas acabam não sendo tão eficientes para proteger as informações da sua empresa. Mesmo que uma empresa utilize variados recursos de segurança digital, sempre há chance de existirem falhas nos seus sistemas, as quais, passando despercebidas, geram o ambiente propício para ataques e violações de segurança.

Desse modo, a fim de preencher essas lacunas, existe o teste de intrusão, ou de invasão, também conhecido como Pentest. Ele é definido com uma combinação de técnicas, manuais ou automatizadas, que tem como objetivo procurar pontos fracos na segurança de um sistema. Nele, uma equipe simula os métodos e técnincas usadas por invasores reais, mediante simulação de diferentes pontos de vista (ou diferentes tipos de invasores).

A auditoria do tipo Pentest visa detectar e explorar vulnerabilidades existentes nos sistemas ou aplicações, com a finalidade de avaliar se os mecanismos de defesa existentes estão de fato protegendo os ativos dentro do ambiente corporativo, frente a um ataque iminente, podendo resultar em sugestões de melhorias, permitindo que a organização faça correções proativas, tornando os sistemas mais seguros. No fim, são apontadas as vulnerabilidades encontradas, além de métodos de fortalecimento dessa rede, sistema ou aplicação.

Utilizado como um importante método na tomada de decisões quanto aos investimentos em segurança e tecnologia, o Pentest permite que gestores tenham a visão dos principais impactos que um ataque direcionado pode ocasionar em seu ambiente, visto que são avaliadas as consequências que as falhas de segurança possam apresentar sobre os sistemas auditados. Os resultados são passados à equipe de segurança da organização testada para que as providências sejam tomadas.

Qual a frequência mínima recomendada para realizar os testes? O recomendado é que o Pentest seja realizado, no mínimo, duas vezes ao ano, e em cada teste sejam feitos diferentes tipos de abordagens para garantir maior proteção. Algumas organizações, como as ligadas ao sistema financeiro, são obrigadas a realizar esses testes periodicamente, justamente pela sua reconhecida importância para o reforço da segurança das operações dos negócios.

Quem realiza o teste? O teste é realizado por um analista de segurança da informação especializado como Ethical Hacker, especialista em segurança ofensiva. Também chamado de Pentester, esse profissional deve possuir um vasto conhecimento em sistemas operacionais e redes de computadores, e, baseado nisso, utilizar-se de técnicas, ferramentas e softwares para efetuar suas análises, buscando identificar que tipos de informações podem ser obtidas por meio das falhas identificadas.

O teste funciona como uma simulação de um ataque real, portanto, em tese, terá a capacidade de capturar logins, senhas, acessar contas e sistemas, acessar bancos de dados, dentre outras atividades que poderiam causar prejuízos se praticadas um invasor.

Tipos mais comuns de Pentest:

Black Box - O tipo de análise que mais se aproxima de um ataque cibernético externo, já que neste caso o cliente não fornece quaisquer dados ao responsável pelo teste. Considera-se o sistema como uma caixa preta, e o Pentester simulará um ataque de um agente externo sem conhecimento algum do alvo, realizando uma pesquisa sobre as características da empresa, existência de filiais, os principais diretores, os serviços prestados, qual a arquitetura da rede, os softwares utilizados etc. É a forma mais demorada, mas simula mais fielmente um ataque de um agente externo.

White Box - Neste tipo de teste de intrusão, avalia-se a estrutura da organização, como configuração de servidores e outros detalhes organizacionais e de infraestrutura, a fim de buscar pontos vulneráveis. Neste caso, o cliente fornece ao Pentester informações sobre os servidores, redes, sistemas, bancos de dados e meios de acesso, normalmente uma conta de e-mail que é utilizada por um funcionário da companhia. Uma vez que o auditor possui todas as informações, o risco de que algum serviço não seja percebido e devidamente analisado é menor. O foco, neste caso, é simular principalmente um ataque interno, de quem conhece a infraestrutura da organização, como, por exemplo, por parte de um funcionário mal intencionado.

Grey Box - Este é um tipo intermediário entre o White e o Black Box, pois são fornecidas apenas algumas informações ao Pentester, como por exemplo a permissão de acesso. Assim, o objetivo do Grey Box é avaliar se usuários podem fazer alterações não autorizadas e se o sistema também apresenta falhas que facilitam a invasão de agentes mal intencionados.

Alguns tipos de ataques comumente avaliados

Simulação de Ataques internos: Nesse caso, o propósito é identificar ameaças que surgem localmente. A partir de um invasor interno (insider ou intruder), apenas com acesso físico, ou a partir de uma falha em um aplicativo de uso da empresa, por meio da qual um atacante pode explorar o sistema.

Simulação de Ataques externos: Essa avaliação de segurança é realizada por meio da Internet, que simula um invasor sem conhecimento preliminar de seu sistema. Tem como objetivo descobrir vulnerabilidades e lacunas na infraestrutura de rede. Os testadores devem ter como alvo áreas como configurações do firewall, DNS, aplicatições WEB, plugins, APIs, Servidor e outros.

Testes de Engenharia social: A invasão que acontece com o uso da engenharia social é caracterizada pela manipulação e persuasão de pessoas para acessar informações confidenciais. Portanto, esse tipo de teste visa avaliar a consciência de segurança dos funcionários, simulando ataques como phishing, intimidação por ligações telefônicas, anexos suspeitos e links maliciosos.

Redes sem fio: Os especialistas analisarão os controles de segurança wireless. Esses testes ajudarão a descobrir vulnerabilidades em equipamentos, criptografia, identificacar acessos indevidos na rede WiFi e seu nível de comprometimento.

Precisa de apoio para entender mais sobre a aplicação desses testes na sua organização? Entre em contato conosco!