O que é Pentest?
Um teste de penetração, também chamado de pentest ou hacking ético, é uma técnica de segurança cibernética que as organizações usam para identificar, testar e destacar vulnerabilidades em sua postura de segurança. Esses testes de penetração geralmente são realizados por hackers éticos. Esses funcionários internos ou terceirizados imitam as estratégias e ações de um invasor para avaliar a hackabilidade dos sistemas de computador, rede ou aplicativos da Web de uma organização. As organizações também podem usar testes de penetração para avaliar sua adesão aos regulamentos de conformidade.
O teste de penetração é considerado uma medida proativa de segurança cibernética porque envolve melhorias consistentes e autoiniciadas com base nos relatórios gerados pelo teste. Isso difere das abordagens não proativas, que não corrigem as fraquezas à medida que surgem. Uma abordagem não proativa para segurança cibernética, por exemplo, envolveria uma empresa atualizando o seu firewall após a ocorrência de uma violação de dados. O objetivo das medidas proativas, como o teste de penetração, é minimizar o número de atualizações retroativas e maximizar a segurança de uma organização.
Quais são os tipos de pentest?
Existem três estratégias principais de teste de penetração, cada uma oferecendo um certo nível de informação necessária para quem está conduzindo o teste realizar seu ataque.
White box – O teste fornece aos testadores todos os detalhes sobre o sistema de uma organização ou rede de destino e verifica o código e a estrutura interna do produto que está sendo testado. Esse teste também é conhecido como caixa-branca, vidro aberto (open glass), teste transparente (transparente test), ou teste baseado em código (code-based testing).
Black box – O teste é um tipo de teste comportamental e funcional em que os testadores não recebem nenhum conhecimento do sistema. As organizações normalmente contratam hackers éticos para testes de caixa preta (Black box), onde um ataque do mundo real é realizado para ter uma ideia das vulnerabilidades do sistema.
Gray box – O teste é uma combinação de técnicas dos testes de caixa branca e caixa preta. Ele fornece aos testadores conhecimento parcial do sistema, como credenciais de baixo nível, fluxogramas lógicos e mapas de rede. A ideia principal por trás do teste de caixa cinza (gray box) é encontrar possíveis problemas de código e funcionalidade.
Quais são as etapas do pentest?
O pentest pode ser dividido em seis etapas:
- Reconhecimento e planejamento. Os testadores coletam todas as informações relacionadas ao sistema de destino de fontes públicas e privadas. As fontes podem incluir pesquisas anônimas, engenharia social, recuperação de informações de registro de domínio e rede não intrusiva e verificação de vulnerabilidades. A informação é vital para os testadores, pois fornece pistas sobre a superfície de ataque do sistema alvo e vulnerabilidades abertas, como componentes de rede, detalhes do sistema operacional, portas abertas e pontos de acesso.
- Varredura. Com base nos resultados da fase inicial, os testadores podem usar várias ferramentas de varredura para explorar ainda mais o sistema e seus pontos fracos. Ferramentas de pentest – incluindo dialers de guerra, scanners de porta, scanners de vulnerabilidade de segurança e mapeadores de rede – são usadas para detectar o máximo possível de vulnerabilidades e brechas. As vulnerabilidades são selecionadas para exploração.
- Obtenção de entrada. Durante esta fase, os testadores exploram as vulnerabilidades avaliadas na fase anterior, fazendo uma conexão com o alvo. Os testadores conduzem ataques comuns de segurança de aplicativos da web – incluindo um ataque de negação de serviço (DoS), injeções de SQL e backdoors, ataques de sessão hijacking e cross-site scripting – para expor as vulnerabilidades do sistema, que são então exploradas por meio de escalonamento de privilégios, interceptação de tráfego ou técnicas de roubo de dados.
- Manutenção do acesso. Este estágio garante que os testadores de penetração permaneçam conectados ao alvo pelo maior tempo possível e explorem as vulnerabilidades para infiltração máxima de dados. Este estágio imita uma ameaça persistente avançada, que pode permanecer ativa em um sistema por períodos prolongados para roubar dados confidenciais e causar mais danos.
- Análise. Os testadores analisam os resultados obtidos no teste de penetração e os compilam em um relatório. O relatório detalha cada etapa realizada durante o processo de teste, incluindo o seguinte: • as vulnerabilidades que os testadores exploraram;
• os tipos de dados confidenciais que os testadores acessaram; e
• a quantidade de tempo que os testadores permaneceram conectados ao alvo. - Limpeza e correção. Após a conclusão do teste, os testadores devem remover todos os vestígios de ferramentas e processos usados durante os estágios anteriores para evitar que um agente de ameaça do mundo real os use como âncora para infiltração no sistema. Durante esse estágio, as organizações devem começar a corrigir quaisquer problemas encontrados em seus controles de segurança e infraestrutura.