Pentesting: o que é, e onde é beneficio ao negócio

Publicado em Por

Pentesting, pode ser classificado como método de auditoria de segurança, os pentester que são profissionais especializados em realizar teste de intrusão. Simulam ataques com o intuito de mensurar o impacto caso seja bem-sucedido. Desta forma é possível descobrir e validar todo o âmbito de toda a infraestrutura, processos, aplicações de modo a serem descobertas falhas ou vulnerabilidade, (http://www.vlogdeti.com/o-que-e-pentest/).

Dentro os vários motivos para realizar um ataque a um software, se destaca as invasões por questões financeiras, pessoais, cometer fraudes, sabotagem, crimes ou guerra.

Invasor é uma pessoa com alto nível de conhecimento técnico, seus ataques são minuciosamente planeados. É importante que esteja presente o estudo do comportamento do alvo, descobrirá desta forma uma brecha na segurança dando início ao seu objetivo depois de passar por várias etapas ou fases.

As etapas de estudo dividem-se em:

  1. Reconhecimento: toda e qualquer informação sobre a empresa a ser atacada é indispensável, como o ramo de atuação, se existem filiais ou empresas coligadas, endereços de e-mails, nomes dos principais cargos, do mesmo modo podem ser utilizado “phishing” de modo a ultrapassar alguns obstáculos tecnológicos.
  2. Mapeamento: Mapear toda a estrutura de endereços e dos equipamentos associados.
  3. Identificação dos serviços: depois de conhecer as máquinas da rede, essa etapa consiste em descobrir e identificar os serviços que estão sendo executados em cada equipamento
  4. Pesquisa de vulnerabilidades: fase em que o software é examinado com intuito de encontrar alguma vulnerabilidade e se é explorável.
  5. Exploração das vulnerabilidades: após a busca das vulnerabilidades, é realizado a invasão ao software, podendo interromper o serviço, atacar o SQL ou dar início à execução de um outro programa que recebe comandos remotamente.
  6. Criação de pivôs: Implementação de backdoor e rootkists como exemplo; o invasor deixa instalado um programa que facilita o seu retorno ao software. Esses tipos de programas são chamados de backdoors (“portas dos fundos”) e rootkits (programas que se mantêm em baixo do SO e, portanto, difíceis de serem localizados ou eliminados).
  7. Eliminação de vestígios: as invasões são registradas através do histórico (logs) ou de arquivos temporários. Para apagar os rastros o invasor terá que apagar esses registros, podendo tornar impossível ser identificado.
  8. Relatório: deve constar toda a informação recolhida e metodologia efectuada.

Características

Estes tipos de “auditorias de segurança” são referenciadas como de RED TEAM, ou no caso de profissionais ambivalentes: PURPLE TEAM (a soma de conhecimentos de RED e de BLUE).

Devido a questões legais (em alguns países é proibido e em outros é limitado), é obrigatório um forte contrato legal onde serão bem definidos os objectivos, limitações, prazos e regras a serem utilizadas.

Apesar de muito conhecido, nota-se que o nome é utilizado de forma abusiva, pois é referido em partes parciais e incompletas.

É dividido em 3 formas básicas (conforme a informação conhecida inicialmente):

         – Black Box: – É totalmente desconhecida informação prévia,

         – Gray Box: – É conhecida a informação básica mas não completa,

         – White Box: -É conhecida de forma completa a informação.

As ferramentas utilizadas são obviamente as mesmas que qualquer atacante com más intenções utiliza, por isso, para própria defesa do pentester, deve a sua acção ser fortemente validada por um forte e robusto contrato legal com o cliente e com forte auto-rastreio.

Na BLACK BOX, tem de ser sempre considerado que este tipo de auditoria tem custo elevado se não for bem definido o âmbito, pois implica normalmente, técnicos altamente diferenciados e com uma duração temporal de várias semanas ou meses.

Advento da PURPLE TEAM

Com a existência de técnicos que dominam ambas as metodologias de segurança. Vai sendo transposto para a BLUE TEAM ferramentas automáticas de monitorização com acções especificas de pentesting, A saber:

         1 Reconhecimento

         3 Identificação de serviços

         4 Identificação de vulnerabilidades

Onde os programas efectuam varrimentos agendados periodicamente de modo a determinar e alertar do estado as equipas de segurança e de risco.

Muitas vezes estes serviços e funcionalidades são vendidos erradamente como “pentesting”.

Vantagens e desvantagens ao Negócio

Quando implementado (https://defenselifecycle.com/testes-penetracao/) tem as carecteristicas no retorno:

É um grande benefício a utilização de pentesting em:

         – Organizações com SGSI implementado e de preferência “maduro”

         – Utilização de WHITE BOX em aplicações e componentes de infraestrutura

         – Testes de “phishing” (reconhecimento) de modo a testar a maturidades dos elementos humanos da organização

Nas condições anteriores o custo da auditoria é bastante reduzido tendo em face os objectivos do negócio.

Não é recomendada a utilização de pentesting em:

         – Organizações sem implementação de SGSI ou estado inicial.

Neste caso, o custo é altamente elevado em relação aos benefícios e o relatório não vai introduzir informação relevante.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *