PenTest: o que é e pra quê serve um Teste de Invasão?

Voltar
Teste de Invasão Rastek Soluções em TI
Autor: Alexandre Bertolazi Categoria: Arquivos Segurança da Informação Comentários: 0

PenTest: o que é e pra quê serve um Teste de Invasão?

A Segurança de TI é, cada vez mais, um fator estratégico para empresas de todos os portes. Os avanços tecnológicos, aliados à digitalização dos negócios e às novas legislações de proteção de dados como a LGPD exigem que as empresas adotem uma postura ativa neste sentido. Por isso, hoje vamos falar sobre PenTest: o que é e pra quê serve um Teste de Invasão?

O que é um Teste de Invasão?

Os Testes de Invasão – também conhecidos como Testes de Penetração ou apenas PenTests – integram uma série de práticas denominadas como “ethical hacking”, ou “hackeamento ético”. O objetivo de um Teste de Invasão é simular ataques hacker dos mais diversos tipos a fim de testar a robustez da segurança de sistemas, servidores ou redes. Em geral, é estabelecido um objetivo estratégico a ser alcançado – a invasão de uma rede, servidor, banco de dados, engenharia social, enfim – que será perseguido pelas equipes atacantes

O processo envolve uma série de análises nas atividades dos sistemas para avaliar como estes reagem às tentativas de invasão que buscam brechas de segurança nas configurações de sistemas, falhas de software ou hardware, deficiências nos sistemas operacionais ou ainda problemas ou ineficácia de contramedidas de segurança.

O que significa “hackeamento ético”?

Os “hackers éticos” são especialistas em segurança da informação que possuem domínio das técnicas e tecnologias utilizadas pelos criminosos digitais, também conhecidas como “técnicas black hat”.

Porém, o grande diferencial é que estes profissionais utilizam seus conhecimentos de forma ética, de modo a testar e desafiar as medidas de Segurança da Informação adotadas pelas empresas com o objetivo de ajudá-las a mapear e superar estas dificuldades. Isso torna-os, portanto, “hackers white hat”,  o que poderíamos traduzir livremente como “hackers do bem”.

Os “hackers éticos” dispõem, portanto, das mesmas ferramentas, conhecimentos e habilidades utilizadas pelos hackers black hat, os cibercriminosos. Porém, diferença crucial é a de que sua atuação visa o fortalecimento das medidas de defesa das empresas sem prejuízos, infrações ou delitos cometidos durante o processo apesar de utilizarem as mesmas ferramentas.

Pra quê serve um Teste de Invasão?

Diferentemente da Análise de Vulnerabilidades – sobre a qual já falamos neste post aqui – o Teste de Invasão tem como principal objetivo realizar auditorias de segurança. A partir da simulação dos mais variados formatos de ataques hacker, os pentesters visam mensurar a qualidade da resposta das contramedidas de segurança, além de localizar, identificar e explorar falhas e brechas, expondo o impacto que teriam sobre a operação da empresa caso fossem vítimas de um ataque real.

A partir dos resultados desta auditoria, é possível identificar de modo claro e objetivo as debilidades, ineficiências, brechas e gargalos encontrados a fim de corrigi-los e saná-los o mais rápido possível. Desta forma é possível otimizar os orçamentos e investimentos em Segurança da Informação a partir das prioridades elencadas a partir deste processo.

Caixa branca, caixa preta e caixa cinza

Existem diferentes maneiras de realizar Testes de Invasão, cada qual fazendo uso de técnicas diferentes e, portanto, oferecendo resultados distintos. Eles são conhecidos como white box, black box e grey box, ou caixa branca, caixa preta e caixa cinza em português. Vamos a eles:

White box / Caixa Branca

Os testes de penetração white box / caixa branca são considerados os pentests mais completos. Isso acontece porque nesta modalidade os pentesters – profissionais que realizam os testes de invasão – recebem uma análise prévia da infraestrutura a ser “invadida”. Isso inclui informações essenciais da empresa como topografia de rede, logins, senhas, IPs, firewall e as principais medidas de segurança utilizadas pela empresa.

De posse destes dados, os “hackers do bem” possuem todas as informações de que precisam para bombardear as defesas de modo a garantir sua eficácia sob condições extremas, identificando brechas e gargalos que poderiam ser explorados por criminosos digitais com as mesmas técnicas.

Porém, por dispor de um grande volume de dados sensíveis da Segurança de TI das empresas, em geral os testes white box são realizados pelos membros da própria equipe de TI da empresa.

Black Box / Caixa preta

Esta modalidade de teste de invasão é o extremo oposto da apresentada anteriormente. Os testes black box também podem ser considerados “testes às cegas”, pois os pentesters não dispõem de informações prévias sobre a estrutura de TI da empresa. Por conta desta particularidade, os testes desta modalidade são os que mais se aproximam de ataques externos reais.

Ainda trata-se de um ataque direcionado, e que vai testar duramente as defesas das empresas de forma muito similar às táticas utilizadas por criminosos digitais. Por conta da natureza deste tipo de teste, ele fornece dados valiosíssimos sobre como a Segurança de TI se comportaria diante de um ataque externo sem as inconveniências e prejuízos causados pela invasão caso o ataque seja bem sucedido.

Grey box / Caixa cinza

Os testes de invasão grey box / caixa cinza, como o nome já sugere, são uma mescla das duas modalidades anteriores. Os pentesters serão munidos com algumas informações sobre a empresa, porém em quantidade muito abaixo do volume fornecido para um teste white box, por exemplo.

Os testes de invasão caixa cinza tentarão realizar as invasões com base nas poucas informações de que dispõem, porém sem abrir mão das tentativas “às cegas” utilizadas nos testes caixa preta.

Por sua natureza, os testes grey box são os mais recomendados para empresas que ainda não tenham realizado nenhum tipo de teste de invasão anteriormente.

Tipos de PenTest

Agora que já sabemos que é possível realizar testes “no escuro”, com alguns dados ou com dados completos da empresa, é chegado o momento de analisarmos quais os tipos de testes de invasão que podem ser realizados. Citamos abaixo as seis principais modalidades:

  • Invasão de Rede Externa: este tipo de teste se baseia na riqueza de informações públicas fornecidas pela empresa na Internet. Os pentesters visam burlar as medidas de segurança dos patrimônios digitais externos como e-mails corporativos, aplicações web ou o próprio site da empresa;
  • Invasão de Rede Interna: já nesta modalidade, o pentester assume o papel de “funcionário malicioso”, alguém com acesso legítimo às redes e sistemas internos com o intuito de roubo ou vazamento de dados, espionagem industrial, etc;
  • Invasão por Engenharia Social: este tipo de teste mira em avaliar a suscetibilidade dos colaboradores em expor ou compartilhar dados sigilosos da empresa. O phishing é uma das armas mais comuns da engenharia social embora haja diversas outras técnicas para ludibriar / ganhar a confiança das pessoas e induzi-las ao compartilhamento indevido de informação;
  • Invasão de Estrutura Física: nem sempre as invasões hacker precisam ser digitais. Nesta modalidade, os pentesters simulam uma invasão à estrutura física da empresa, presencialmente, explorando brechas na segurança de circulação de pessoas disfarçados como empresa de delivery, por exemplo, e inserir um pendrive com malware em um computador;
  • Invasão de Redes Sem Fio: como o nome sugere, este tipo de teste de penetração visa quebrar as defesas das redes wireless da empresa e bisbilhotar o tráfego de informações. Como agravante, existem ferramentas avançadas que permitem que hackers praticamente leigos consigam invadir redes wi-fi com facilidade.
  • Invasão de Aplicação Web: por fim, este tipo de teste visa invadir aplicações web da empresa através de brechas e falhas nos protocolos de segurança por erros de design, programação ou até mesmo pela ausência das mais recentes atualizações de segurança. Este tipo de ataque evolui a cada dia, e é muito importante realizar testes de tempos em tempos a fim de manter uma avaliação constante para novas possíveis brechas.

Conte conosco

A Rastek Soluções em TI é referência no mercado gaúcho de Tecnologia e Segurança da Informação. Com profissionais capacitados e certificados pelas maiores empresas de tecnologia do mundo como Google e Microsoft, a Rastek oferece uma série de opções de avaliação, otimização e testes de segurança para garantir a inviolabilidade e proteção dos dados e ativos digitais da empresa. Se você está em busca de um parceiro confiável para avaliar a Segurança de TI da sua empresa, basta preencher o formulário abaixo e aguardar o contato de nosso time!

 

Compartilhar Post

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Voltar