Pentest – O Check-up Tecnológico

Seis trilhões de dólares, ou US $6.000.000.000.000 !!!!!

Esse é o valor previsto para prejuízos globais causados por ataques cibernéticos  para o ano de 2021, segundo estimativas do Cybercrime Magazine

O valor por si só já é absurdo, e fica ainda mais chocante se comparado com o gasto global em saúde previsto para o ano de 2021, que, segundo a IHS, será aproximado de US $8.8 trilhões. 

Se isso tudo não fosse suficiente, o descaso com a segurança cibernética contribui negativamente para termos um incremento neste números. A chegada da COVID-19 catapultou milhões de pessoas para o “home office” do dia para a noite. Existe o estigma de que o “home office” nunca foi bem aceito em terra brasilis e vimos pouquíssimas companhias absorverem esta metodologia de trabalho com suavidade e segurança. O fato é que a grande maioria dos novos trabalhadores remotos não recebeu nenhum treinamento ou ferramenta de segurança para blindar seu trabalho. 

Esses dados são chocantes, mas, em ambos os cenários, grande parte destas brechas  poderiam ser evitadas com prevenção.

(Algumas analogias usadas neste artigo podem não ser tecnicamente precisas e aderentes a realidade, mas o intuito é a passar o entendimento básico do tema ao leitor)

Você vive uma vida regrada, realiza atividades físicas e se alimenta muito bem. Tem o hábito da leitura, da meditação e suas próprias técnicas para harmonizar a mente sã, em um corpo são. Para manter essa máquina em perfeitas condições você certamente faz check-ups frequentes com o seu médico de confiança. Um bom checkup, acompanhado de exames específicos, revela seus pontos fracos, que ocasionalmente podem se tornar um problema futuro, e lhe permite tomar as devidas providências para corrigir problemas que você nem sabia que tinha.

O processo de Pentest (ou teste de penetração) é o conjunto de ferramentas e técnicas utilizadas para diagnosticar a segurança e as vulnerabilidades existentes em uma aplicação ou estrutura, do ponto de vista do atacante, empregando metodologias científicas de análise, adaptadas a cada cenário.

Ou seja, seguindo a analogia inicial, um Pentest é um checkup de saúde tecnológica bastante profundo, feito por especialistas em segurança da informação, e adaptado aos “sintomas” apresentados pelo cliente.  Desta bateria de exames se produz um conjunto bastante rico de informações de diagnóstico que recomendam as ações e cuidados para que o “paciente” siga levando uma vida plena e saudável, sem surpresas negativas.

Na prática, existem dezenas de metodologias para Pentests, cada uma adequada a realidades e alvos diferentes, que podem ser conduzidas internamente, por um Red Team de segurança, ou externamente através de consultorias “neutras”. Embora existam metodologias e padronizações, cinco passos essenciais em qualquer Pentest devem ser conduzidos, invariavelmente:

  • Discovering: Etapa de mapeamento da superfície de ataque, onde possíveis alternativas de corrupção do alvo são elencadas. (tecnologias empregadas, portas em uso, usuários, endereços IPs, etc)
  • Scanning: Etapa onde cada um dos possíveis pontos de ataque são analisados frente a suas vulnerabilidades e fragilidades. 
  • Enumeration: Etapa de definição de estratégias e alvos a serem explorados.
  • Gaining Access: Exploração das vulnerabilidades e alvos.
  • Report: A sumarização de todo o processo, evidenciando minuciosamente cada ponto explorado para que as devidas correções tomem lugar.

Além das metodologias, os Pentests podem ser classificados em três tipos, que buscam simular o ambiente de onde a ameaça pode vir:

Whitebox: Pentests Whitebox, ou testes autenticados, visam a análise de vulnerabilidade com total conhecimento do departamento de TI do alvo. São compartilhadas todas as informações necessárias com o pentester (como diagramas de rede, serviços disponíveis, etc). Testes Whitebox permitem que o pentester execute provas baseadas em função, atuando como um funcionário da empresa, com conhecimento de muitas informações sobre o alvo.

Blackbox: Pentests Blackbox são testes contratados para serem executados sem que o pentester tenha acesso a nenhuma informação do alvo. Este tipo de teste simula exatamente o modus operandi de um atacante, tentando obter acesso ao ambiente alvo. Nesta concepção, o departamento de TI pode ou não estar ciente do acontecimento do teste, assim como ataques de engenharia social podem ou não ser usados, dependendo do acordo firmado entre as partes antes do início do teste.

Greybox: Testes Greybox são um meio termo entre whitebox e blackbox. O pentester receberá apenas algumas informações (como o endereço IP da rede alvo) a serem acordadas previamente. Testes desta natureza podem economizar tempo durante as fases de discovery, já que algumas informações estarão disponíveis ao pentester. Aqui o uso de engenharia social também deve ser discutido previamente. 

Tal como exames médicos, os testes de penetração devem ser rotineiros e acompanhar o ciclo de vida dos sistemas informáticos.  O nascimento de uma nova aplicação merece uma bateria de testes profunda antes de ganhar o mercado, assim como uma estrutura de rede legada, com seus bons anos de vida, também precisa de cuidados especiais para seguir performando com segurança.

A dinâmica de um ambiente tecnológico é exatamente a mesma de um ciclo de vida humano . Como um “organismo vivo”, ele necessita ser bem alimentado, e esta questão é senso comum, afinal sempre estamos em busca de agregar tecnologias novas ao nosso card tecnológico. Mas você tem feito check-ups frequentes de sua estrutura tecnológica, ou você procura um especialista apenas quando está doente ? 

Além do intuito de apresentar conhecimento básico sobre pentest, o objetivo deste artigo é convidar você a exercer a reflexão sobre a segurança de suas aplicações e estrutura tecnológica. Converse com seus colegas e gestores e compartilhe suas impressões sobre o tema nos comentários abaixo, para guiarmos nossa série de artigos sobre pentests e segurança.

PS. No exato momento em que finalizava este artigo, recebi a triste notícia de um dos maiores vazamentos de informações que o Brasil já presenciou. As causas do escoamento estão em averiguação no momento. Detalhes em: SyHunt.

Compartilhe este insight:

Comentários

Participe deixando seu comentário sobre este artigo a seguir:

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments

AUTOR

Wendel Siota
Mais de 25 anos de experiência em cyber security em grandes corporações.

SOLUÇÕES EXIMIACO

Infraestrutura e Nuvem

ESTRATÉGIA & EXECUÇÃO EM TI

Simplificamos, potencializamos 
aceleramos resultados usando a tecnologia do jeito certo.

INSIGHTS EXIMIACO

Confira outros insights de nossos consultores relacionados a esta solução de negócio:

15/07/2021
15/07
2021

COMO PODEMOS LHE AJUDAR?

Vamos marcar uma conversa para que possamos entender melhor sua situação e juntos avaliar de que forma a tecnologia pode trazer mais resultados para o seu negócio.

COMO PODEMOS LHE AJUDAR?

Vamos marcar uma conversa para que possamos entender melhor sua situação e juntos avaliar de que forma a tecnologia pode trazer mais resultados para o seu negócio.

+55 51 3049-7890
[email protected]

+55 51 3049-7890 |  [email protected]

0
Queremos saber a sua opinião, deixe seu comentáriox
()
x

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

O seu insight foi excluído com sucesso!

O seu insight foi excluído e não está mais disponível.

O seu insight foi salvo com sucesso!

Ele está na fila de espera, aguardando ser revisado para ter sua publicação programada.