Aprendizado e descoberta 4min de Leitura - 07 de junho de 2018

Pentest: o que é e quais são os principais tipos?

Homem de negócios digitando em notebook.

This post is also available in: Português English Español

Pentest

A crescente incidência de ataques virtuais assombra empresas e pessoas pelo mundo todo. Em um levantamento feito pela (ISC)², foi concluído que 44% dos profissionais de TI apontam ransomware como o maior medo em relação à segurança corporativa em 2018.

Como prevenção, certas medidas devem ser tomadas. A grande dúvida de analistas e gestores de tecnologia, no entanto, é: onde estão as fragilidades e vulnerabilidades? Ao ter esta informação, certamente o processo de aprimoramento das defesas é mais efetivo e certeiro.

O Pentest é uma ótima opção para alcançar esse objetivo e é exatamente sobre ele que iremos conversar nesse blog post. Caso tenha interesse, é só continuar a leitura para compreender seu conceito, seus tipos e benefícios.

O que é o Pentest?

Pentest é a abreviação de Penetration Test (Teste de Penetração, em tradução literal). É também conhecido como Teste de Intrusão, pois faz a detecção minuciosa com técnicas utilizadas por hackers éticos – especialistas em segurança da informação contratados por corporações para realizar tais testes, sem exercer atividades que prejudiquem a empresa ou tenham efeito criminoso.

O teste de intrusão visa encontrar potenciais vulnerabilidades em um sistema, servidor ou, de forma geral, em uma estrutura de rede. Mas, mais do que isso, o Pentest usa ferramentas específicas para realizar a intrusão que mostram quais informações ou dados corporativos podem ser roubados por meio da ação.

Dessa forma, analistas de tecnologia terão a possibilidade de conhecer mais a fundo suas fraquezas e onde precisam melhorar. Os esforços e investimentos em Segurança da Informação passarão a ser focados nas debilidades da corporação, blindando a estrutura contra qualquer gargalo de segurança em potencial.

Pentests de Caixa Branca, Preta e Cinza

Existem algumas maneiras de realizar testes de intrusão, sendo que cada uma delas terá uma eficiência diferenciada. Entre elas, podemos destacar a White Box, a Black Box e a Grey Box.

White Box

O teste White Box, ou de “Caixa Branca”, é o Pentest mais completo. Isso porque parte por uma análise integral, que avalia toda a infraestrutura de rede. Isso é possível pois, ao iniciar o Pentest, o hacker ético (ou pentester, nome dado aos profissionais que atuam com esses testes) já possui conhecimento de todas informações essenciais da empresa, como topografia, senhas, IPs, logins e todos os outros dados que dizem respeito à rede, servidores, estrutura, potenciais medidas de segurança, firewalls etc.

Com essas informações preliminares, o teste poderá direcionar certeiramente seu ataque e descobrir o que precisa ser aprimorado e reorientado. Por ser um volume alto de informações preliminares, geralmente esse tipo de Pentest é realizado por membros da própria equipe de TI da empresa.

Black Box

O teste Black Box, ou “Caixa Preta”, é quase como um teste às cegas, pois segue a premissa de não possuir grande quantidade de informação disponível sobre a corporação. Embora seja direcionado, pois atingirá a empresa contratante e descobrirá as vulnerabilidades dela, o Pentest de Caixa Preta é o mais próximo de seguir as características de um ataque externo.

Pentest

Dada essas características, sem grande mapeamento de informações, ele atuará de forma extremamente similar à de cibercriminosos – o que é uma experiência e tanto, caso não parta de forma maliciosa e sirva apenas como um método de reconhecer fragilidades na estrutura de rede.

Grey Box

Definido como uma mistura dos dois tipos anteriores, o Grey Box – ou “Caixa Cinza” – já possui certas informações específicas para realizar o teste de intrusão. No entanto, essa quantidade de informações é baixa e não se compara a quantidade de dados disponibilizados em um Pentest de Caixa Branca.

Dada essa forma, o teste de Caixa Cinza investirá tempo e recursos para identificar tais vulnerabilidades e ameaças, se baseando na quantidade de informações específicas que tem. É o tipo de Pentest mais recomendado, caso exista a necessidade de contratação de algum desses serviços.

Os tipos de Pentest

Agora que você já sabe as maneiras que os testes de intrusão podem ser realizados, além da quantidade de informação que cada um deles requer para atingir determinada eficiência, faremos uma rápida abordagem nos tipos de Pentest disponíveis.

  • Teste em Serviços de Rede: são realizadas análises na infraestrutura de rede da corporação, em procura de fragilidades que podem ser solidificadas. Neste quesito, é avaliado a configuração do firewall, testes de filtragem stateful etc.
  • Teste em Aplicação Web: é um mergulho profundo no teste de intrusão, pois toda a análise é extremamente detalhada e vulnerabilidades são mais facilmente descobertas por basear-se na busca em aplicações web.
  • Teste de Client Side: neste tipo de teste, é possível explorar softwares, programas de criação de conteúdo e Web browsers (como Chrome, Firefox, Explorer etc) em computadores dos usuários.
  • Teste em Rede Sem Fio: examina todas as redes sem fio utilizadas em uma corporação, assim como o próprio nome afirma. São feitos testes em protocolos de rede sem fio, pontos de acessos e credenciais administrativas.
  • Teste de Engenharia Social: informações e dados confidenciais são passíveis de roubo por meio de manipulação psicológica, uma tentativa de induzir o colaborador a repassar itens que devem ser sigilosos.

Benefícios do Teste de Intrusão

Embora seja um teste ainda visto com maus olhares por muitas pessoas, em especial por utilizar o hack como forma de angariar os benefícios propostos, a prática do Pentest apresenta inúmeros benefícios, sendo os principais:

  • Auxiliar empresas a testarem a capacidade de sua cibersegurança;
  • Descobrir fragilidades no sistema de segurança antes que um cibercriminoso o faça;
  • Permitir que empresas adotem novas posturas em relação à Segurança da Informação, assim como apresentar justificativa para investimentos na área;
  • Zelar pela reputação da sua empresa, uma vez que um teste de intrusão mostra o comprometimento em assegurar a continuidade do negócio e manter uma relação efetiva com a segurança corporativa.

Caso você queira mais informações sobre os procedimentos que devem ser seguidos para a realização do Pentest, clique logo abaixo e leia nosso blog post “Pentest: como fazer o Teste de Intrusão”.

This post is also available in: Português English Español