Se você está pensando em realizar um pentest em sua organização, pode estar interessado em aprender sobre os diferentes tipos de teste disponíveis. Com esse conhecimento, você estará mais bem equipado para definir o escopo de seu projeto, contratar o especialista certo e, por fim, atingir seus objetivos de segurança.
O que é um Pentest?
O Pentest, comumente referido como “teste de caneta”, é uma técnica que simula ataques da vida real em seus sistemas de TI para encontrar pontos fracos que podem ser explorados por hackers. Seja para cumprir as regulamentações de segurança, como ISO 27001, obter a confiança do cliente e de terceiros ou obter sua própria paz de espírito, o pentest é um método eficaz usado por organizações modernas para fortalecer sua postura de segurança cibernética e evitar violações de dados.
Leia sobre os diferentes tipos existentes para descobrir de qual tipo você pode se beneficiar mais:
Pentest de rede
Como o nome sugere, um pentest de rede visa identificar pontos fracos em sua infraestrutura de rede, seja no local ou em ambientes de nuvem. É um dos testes mais comuns e cruciais para garantir a segurança de seus dados críticos de negócios. O pentest de rede cobre uma ampla gama de verificações, incluindo configurações inseguras, vulnerabilidades de criptografia e patches de segurança ausentes para determinar as etapas que um hacker pode realizar para atacar sua organização. Os profissionais de segurança costumam categorizar esse teste em duas perspectivas diferentes: externa e interna.
O pentest externo envolve a busca de vulnerabilidades que possam ser exploradas por qualquer invasor com acesso à Internet. Nesse cenário, os testadores de invasão estão tentando obter acesso aos seus sistemas e dados críticos de negócios para determinar como um invasor sem qualquer acesso ou conhecimento prévio seria capaz de atingir sua organização. Você pode pensar neste teste como sendo executado da perspectiva de um “estranho”.
Em contraste, o pentest interno se preocupa com o teste de seu ambiente corporativo interno. Esse tipo de teste considera cenários em que um invasor conseguiu obter uma posição inicial dentro de sua rede corporativa, por exemplo, explorando uma vulnerabilidade em um de seus sistemas voltados para a Internet ou por meio do uso de engenharia social. Nesse caso, o teste é realizado a partir de uma perspectiva “interna”, com o objetivo de encontrar uma forma de roubar informações confidenciais ou interromper as operações de uma organização.
De um modo geral, as fraquezas externas são consideradas uma ameaça mais séria do que a interna. Por um lado, um hacker precisa superar uma barreira de segurança externa antes de acessar suas redes internas e rodar para outros sistemas. Se você não realizou nenhum tipo de pentest antes, um teste externo ou de “perímetro” é muitas vezes o melhor lugar para começar, pois o perímetro é a coisa mais fácil para os invasores chegarem. Se você tiver vulnerabilidades triviais em sua infraestrutura voltada para a Internet, é aí que os hackers vão começar.
Pentest de aplicativos da web
O pentest de aplicativos da Web tenta descobrir vulnerabilidades em sites e aplicativos da Web, como plataformas de comércio eletrônico, sistemas de gerenciamento de conteúdo e software de gerenciamento de relacionamento com o cliente. Este tipo de teste lida com a revisão de toda a segurança do aplicativo da web, incluindo sua lógica subjacente e funcionalidades personalizadas, para evitar violações de dados.
Algumas das vulnerabilidades comuns detectadas durante um pentest de aplicativo da web incluem injeções de banco de dados, script entre sites (XSS) e autenticação interrompida. Se você estiver interessado em aprender mais sobre os diferentes tipos de fraquezas de aplicativos da web, sua gravidade e como você pode evitá-los, o Open Web Application Security Project (OWASP) Top 10 é um ótimo lugar para começar. A cada poucos anos, o OWASP publica informações sobre as falhas mais frequentes e perigosas de aplicativos da web, baseando suas descobertas nos dados coletados de milhares de aplicativos.
Considerando a prevalência de aplicativos da web em organizações modernas e as informações valiosas que eles transmitem e armazenam, não é surpreendente que sejam um alvo atraente para criminosos cibernéticos. De acordo com o “2020 Data Breach Investigations Report” da Verizon, a proporção de violações de dados vinculadas a vulnerabilidades de aplicativos da web dobrou ano a ano, atingindo 43% em 2019. Por esse motivo, as organizações que estão desenvolvendo ou gerenciando seus próprios aplicativos voltados para a Internet devem considerar seriamente a realização de pentest de aplicativos da web.
Pentest automatizado
O objetivo de um pentest automatizado é encontrar pontos fracos de segurança por meio da automação de rede manual ou processos de pentest de aplicativo da web. Um pentest automatizado normalmente implica o uso de scanners de vulnerabilidade, que têm milhares de verificações para sondar sistemas e identificar problemas de segurança que podem ser explorados por um hacker.
Os pentestes manuais são normalmente realizados uma ou duas vezes por ano devido à sua complexidade e custo. No entanto, com mais de 10.000 vulnerabilidades detectadas a cada ano, há um alto risco de violação do sistema no período entre os testes. Para obter proteção contínua, é benéfico complementar os pentestes manuais com testes automatizados, que geralmente são mais baratos e podem ser programados para serem executados periodicamente ou sob demanda.
Enquanto os humanos se destacam na detecção de falhas de segurança altamente complexas que podem não ser encontradas pelas máquinas, as ferramentas automatizadas podem ajudá-lo a detectar algumas vulnerabilidades muito sérias. Um exemplo são os bancos de dados expostos, que podem levar a violações de dados prejudiciais se não forem corrigidos prontamente. Nossa própria pesquisa mostra que pode levar apenas 9 minutos para alguém violar um banco de dados não seguro, por isso é importante agir rapidamente se você deseja permanecer protegido. Com a ajuda de ferramentas automatizadas, você pode reagir assim que novas ameaças forem descobertas, mantendo um olho nos seus sistemas 24 horas por dia, 7 dias por semana.
Engenharia social
Em comparação com os tipos de teste pentest descritos anteriormente, que se concentram em encontrar pontos fracos na tecnologia, a engenharia social tenta comprometer a segurança de uma organização explorando a psicologia humana. Pode assumir uma variedade de formas e pode ser executado remotamente, por exemplo, tentando obter informações confidenciais de usuários por meio de e-mails de phishing ou chamadas telefônicas, ou no local, caso em que um pentester tentará obter acesso físico a uma instalação. Em todos os casos, o objetivo deste pentest é manipular indivíduos, geralmente funcionários da empresa, para fornecer informações valiosas.
O sucesso de um pentest de engenharia social depende em grande parte das informações coletadas na fase de “reconhecimento”, que envolve a pesquisa de indivíduos ou uma organização com acesso público à inteligência de código aberto (OSINT). Depois de construir uma imagem mais precisa de seu alvo, um pentester pode usar as informações descobertas para prosseguir com a criação de uma estratégia de ataque personalizada. Um dos vetores de ataque mais comuns em engenharia social é um ataque de phishing, geralmente entregue por e-mail. Ao realizar um ataque de phishing, um pentester não para necessariamente quando um funcionário desavisado clica em um link malicioso, mas pode ir além, tentando roubar credenciais do usuário e obter acesso ao laptop de um funcionário. Esses ataques podem ser extremamente bem-sucedidos, especialmente quando realizados por pentester experiente.
O pentest de engenharia social não é tão amplamente adotado quanto o teste de rede ou aplicativo da web. No entanto, se a sua organização já está fazendo treinamento regular de conscientização de segurança, conduzir um teste de engenharia social dedicado pode ser um ótimo complemento ao seu arsenal para identificar e corrigir problemas de segurança em suas operações.
Red Team
Essa técnica avançada tem origem em exercícios de treinamento militar. Ele é projetado para desafiar a segurança, os processos, as políticas e os planos de uma organização, adotando uma mentalidade adversária. Em contraste, a formação de Blue Team, também conhecida como “segurança defensiva”, envolve a detecção e resistência a ataques da Red Team, bem como adversários da vida real.
O Red Team combina domínios digitais, sociais e físicos para implementar cenários de ataque abrangentes na vida real. Como tal, o Red Team pode ser considerado uma operação distinta do pentest, mas como suas tarefas abrangem todos os tipos de pentestes descritos acima, achamos que valeria a pena mencioná-lo neste artigo.
Um objetivo de um pentest padrão é encontrar tantas vulnerabilidades quanto possível dentro de um determinado período de tempo. A respiração deste teste é naturalmente limitada pelo escopo do trabalho; mas adversários da vida real não têm essas restrições artificiais a seguir. Como resultado, mesmo que uma organização execute regularmente pentestes e varreduras de vulnerabilidade, ela ainda pode ser exposta a ataques mais sofisticados, como quando a engenharia social e os pontos fracos da rede interna são encadeados. É aqui que entra o Red Team. Ele avalia o ambiente de uma organização como um todo, entendendo como todas as partes funcionam juntas. Em seguida, ele aplica o pensamento crítico para descobrir novas vulnerabilidades que os invasores podem explorar, ajudando a organização a avaliar sua resposta aos ataques do mundo real.
Em comparação com o pentest padrão, que dura vários dias ou semanas, as avaliações do Red Team geralmente levam muito mais tempo, em alguns casos vários meses para serem concluídas. Devido à sua natureza complexa, é uma operação bastante rara, normalmente realizada por organizações maiores ou por contratados do governo com programas de segurança bem estabelecidos.
Conclusão
O pentest é uma disciplina ampla que abrange diferentes técnicas, portanto, é importante entender os riscos relativos que sua organização está enfrentando para escolher o tipo mais apropriado.
