Um pentest é uma avaliação de segurança que simula as atividades maliciosas de invasores do mundo real para identificar brechas de segurança nos sistemas ou aplicativos de sua empresa. O objetivo de conduzir um pentest é entender quais são as vulnerabilidades em seus sistemas de negócios, como elas podem ser exploradas e quais seriam os impactos nos negócios se um invasor fosse bem-sucedido.
Um dos primeiros tipos de pentest que as organizações geralmente realizam é o externo. O pentest externo é uma avaliação de segurança dos sistemas de perímetro de uma organização. Seu perímetro compreende todos os sistemas que podem ser acessados diretamente pela Internet. Por natureza, eles são os sistemas mais expostos, pois ficam a céu aberto e, portanto, os mais fácil e regularmente atacados.
O objetivo de um pentest externo é encontrar maneiras de comprometer seus sistemas e serviços acessíveis (externos), obter acesso a informações confidenciais e descobrir métodos que um invasor pode usar para atacar seus clientes ou usuários. Em um teste externo de qualidade, os profissionais de segurança que conduzem a avaliação replicarão as atividades de hackers reais, incluindo a execução de exploits para tentar obter o controle dos sistemas. Eles também testarão a extensão de quaisquer fraquezas descobertas para ver até que ponto um invasor mal-intencionado pode invadir sua rede e qual seria o impacto comercial de um ataque bem-sucedido.
O pentest externo geralmente testa a partir da perspectiva de um invasor, sem acesso prévio aos seus sistemas ou redes. Isso é diferente de outro tipo comum, o pentest interno. Em vez disso, o interno testa o cenário em que um invasor já tem um ponto de apoio em uma máquina comprometida ou está fisicamente no prédio. Geralmente faz sentido cobrir primeiro os fundamentos e considerar o teste interno apenas depois que a varredura de vulnerabilidade regular e o pentest externo estiverem sendo realizados.
Como realizar o pentest externo
Então, como uma organização faz para solicitar um pentest externo?
Agendar um pentest externo geralmente é tão simples quanto envolver-se com sua consultoria de segurança cibernética escolhida e apontá-los para seus sistemas de perímetro (uma lista de domínios e endereços / intervalos IP). Um pen test externo normalmente é executado em uma base de “caixa preta”, o que significa que nenhuma informação privilegiada (como credenciais de aplicativo, diagramas de infraestrutura ou código-fonte) é fornecida aos testadores. Isso é semelhante a onde um hacker real visando sua organização iria começar, depois de descobrir uma lista de seus IPs e domínios.
Existem algumas dicas importantes e etapas de devida diligência que vale a pena ter em mente ao organizar seu pentest externo:
- Pergunte sobre o testador de penetração realizando seu teste. Eles são um testador de penetração qualificado?
- As cotações são normalmente baseadas em uma taxa diária, e o escopo de seu trabalho é baseado no número de dias que levará para concluir a avaliação. Cada um deles pode variar entre as empresas de pentesting, por isso pode valer a pena pesquisar para comparar a cotação e o que está sendo oferecido.
- Verifique o que está incluído. As consultorias respeitáveis devem oferecer a você uma proposta ou declaração de trabalho que descreve o trabalho a ser realizado. Procure o que está dentro e o que está fora do escopo.
- Recomenda-se a escolha de um provedor que inclua a verificação de seus serviços expostos quanto à reutilização de credenciais violadas, ataques de espalhamento de senha e teste de aplicativos da Web em aplicativos acessíveis ao público.
- A engenharia social pode ser um bom valor agregado, embora esse tipo de teste quase sempre seja bem-sucedido quando tentado por um invasor com determinação suficiente, portanto, não deve ser um requisito difícil se seu orçamento for limitado.
Pentest externo ou varredura de vulnerabilidade?
Aqueles de vocês que já estão familiarizados com a varredura de vulnerabilidade externa notarão que um pentest externo compartilha algumas semelhanças. Então, qual é a diferença?
Normalmente, um pentest externo inclui uma varredura de vulnerabilidade externa completa, mas é apenas onde começa. Todas as saídas das ferramentas de varredura serão investigadas manualmente por um pentester para remover falsos positivos, executar exploits para verificar a extensão / impacto da fraqueza e “encadear” várias fraquezas para produzir exploits mais impactantes. Onde um scanner de vulnerabilidade simplesmente relataria que um serviço tem uma fraqueza crítica, um pentest procuraria explorar essa fraqueza e obter o controle do servidor. Se for bem-sucedido, o pentester usará seu acesso recém-adquirido para girar ainda mais e comprometer outros sistemas e serviços.
Embora os scanners de vulnerabilidade frequentemente identifiquem problemas potenciais, um testador de penetração os exploraria completamente e relataria se a fraqueza precisa de atenção ou não. Por exemplo, os scanners de vulnerabilidade relatam rotineiramente na “Listagem de diretórios”, que é onde os servidores da web oferecem uma lista de todos os arquivos e pastas no servidor. Isso não é necessariamente uma vulnerabilidade por si só, mas precisa ser investigada. Se um arquivo confidencial (por exemplo, um arquivo de configuração de backup contendo credenciais) for exposto e listado por lista de diretórios, um simples problema informativo (conforme relatado por um scanner de vulnerabilidade) pode ser rapidamente transformado em um risco de alto impacto para sua organização. O trabalho do testador de penetração inclui revisar cuidadosamente os resultados de uma gama de ferramentas, para se certificar de que nenhuma pedra foi deixada sobre pedra.
Algumas atividades adicionais que um invasor real executaria e que não são executadas por verificadores de vulnerabilidade também podem ser incluídas, mas variam de consultoria para consultoria. Verifique a proposta ou faça perguntas antes de agendar o teste se quiser que eles estejam no escopo. Por exemplo:
- Ataques sustentados de adivinhação de senha (pulverização, força bruta) para tentar comprometer contas de usuário em VPNs expostos e outros serviços
- Raspar a dark web e violar bancos de dados em busca de credenciais de violação conhecidas de seus funcionários e colocá-las em painéis e serviços administrativos
- Teste de aplicativo da Web onde um mecanismo de autorregistro está disponívelAtaques de engenharia social, como phishing em seus funcionários
Finalmente, é importante lembrar que novas vulnerabilidades críticas são descobertas diariamente, e os invasores geralmente exploram as fraquezas mais sérias dentro de uma semana de sua descoberta. Embora um pentest externo seja uma avaliação importante para analisar profundamente a segurança de seus sistemas expostos, é melhor usá-lo como um serviço adicional para complementar a varredura de vulnerabilidade regular que já deve estar em vigor.
