A internet representa liberdade e ao mesmo tempo perigo. Representa prosperidade e ao mesmo tempo ameaça de perdas. Por que essas comparações? Porque um mundo obscuro e invisível existe para invadir a privacidade de pessoas e empresas. Longe de ser ficção, a realidade traz boas noticias. A ciência sempre avança também a favor do bem. É disso que vamos falar hoje. A ciência de dados, que existe para proteger os ataques criminosos. Vamos falar das fases de um processo de testes de segurança da informação conhecido como Pentest. Aproveite para ampliar seus conhecimentos e a segurança de suas informações! Ao final, faça seu comentário.
Teste de invasão ou pentest é a simulação de ataques virtuais reais a fim de avaliar os riscos associados. Nele, diferente do teste de vulnerabilidade, o técnico, além de descobrir as vulnerabilidades que podem ser usadas pelos atacantes, também as exploram, a fim de avaliar o que os atacantes ganhariam após uma exploração ou invasão bem-sucedida.
São bem conhecidas as notícias de grandes empresas que tiveram informações vazadas devido a ciberataques. Na maioria das vezes, os atacantes não usam as vulnerabilidades mais recentes ou zero-day (vulnerabilidades sem patch de correção publicada pelo fabricante do software). As invasões geralmente se dão através de SQL Injection (SQLi) em seus sites, ataques aos funcionários através de engenharia social, serviços expostos na internet com senhas fracas e outros meios.
Resumindo, as empresas estão perdendo dados devido a brechas de segurança que poderiam se evitadas e o pentest aponta todas as brechas pelas simulações, evitando a vulnerabilidade e as perdas reais.
O escopo do pentest depende do perfil da empresa a ser testada. Enquanto algumas têm uma postura excelente em segurança da informação, outras terão grande vulnerabilidade. Uma vez compreendida a estrutura, os testes poderão ser aplicados. Eles podem incluir aplicações web, ataques de engenharia social, acesso através de uma rede interna.
Alguns pentests requerem uma atuação insider, ou seja, funcionário fraudador ou um atacante que já tenha invadido o perímetro, enquanto se realizam os testes internos de invasão.
Alguns clientes precisam de um teste de invasão externo, onde você simulará um ataque via Internet. Outros precisam de uma avaliação da segurança das redes wireless da empresa. Em alguns casos, será necessário avaliar os controles físicos de segurança.
Conheça Agora o Método de Trabalho e as Fases do Pentest
Pré-compromisso: envolve uma conversa com o cliente sobre os objetivos do pentest, a definição do escopo, e assim por diante. Após esses passos os testes começam.
Coleta de informações: nessa fase, o técnico busca por informações públicas disponíveis sobre o cliente e identifica possíveis meios para se conectar aos seus sistemas.
Modelagem das ameaças: baseando –se nas informações obtidas na fase de coleta de informações, o técnico passa para a modelagem das ameaças. Assim, são desenvolvidos planos de ataque de acordo com o perfil da empresa cliente e sua estrutura, seus serviços. Para exemplificar, se uma empresa possui uma plataforma de serviços online como proprietária, um invasor poderia devasta-la por obter acesso a rede interna do desenvolvimento e vender as informações a um concorrente ou futuro concorrente.
Assim, a modelagem depende em muito das informações que são passadas e buscadas, do perfil do cliente e do escopo.
Antes do pentester iniciar os ataques aos sistemas, ele realiza uma análise de vulnerabilidade. Nesta , ele tentará descobrir vulnerabilidades nos sistemas que podem ser úteis na fase de exploração. Uma exploração de sucesso poder levar a fase de pós-exploração, onde o resultado desta levar a informações adicionais e sensíveis, acesso a outros sistemas, e assim por diante.
Relatório: onde o pentester descreve o que foi encontrado, detalha a experiência, indica os principais pontos de vulnerabilidade mas também se a empresa está com pontos fortes na questão da segurança da informação. O técnico é cuidadoso na linguagem, a fim de que seja entendido na forma técnica e ao mesmo tempo não pareça invasivo mesmo tendo conseguido ler e-mails, por exemplo. O relatório procura descrever o máximo de detalhes tanto na visão executiva, como na técnica.
Quer saber o que acontece Depois?
