Segurança da Informação

Penetration testing (pentest): o que é e como funciona o teste de intrusão?

Posted on by Backup Garantido

Se você conhece a área de Ethical Hacking, é provável que já esteja familiarizado com o termo penetration testing ou pentest – na tradução, o “teste de intrusão” ou invasão. Trata-se de uma espécie de “ação hacker do bem”, que testa sistemas de computadores, redes ou aplicações web em busca de vulnerabilidades de segurança (que podem ser exploradas por cibercriminosos). 

O processo pode tanto ser realizado manualmente quanto automatizado via softwares. De toda forma, o pentest envolve o levantamento de informações sobre o alvo do teste, identificando possíveis pontos de entrada e brechas que possam ser utilizadas para ataques. 

A seguir, esclarecemos as principais dúvidas sobre a prática, incluindo seus objetivos, tipos e vantagens para as empresas! 

Aprofundando o conceito: o que é penetration testing? 

Quando falamos sobre penetration testing, estamos nos referindo a um conjunto de ferramentas e técnicas aplicadas para detectar falhas de segurança em redes e sistemas corporativos. Nesse sentido, o profissional responsável pela prática (o pentester) visa identificar e explorar as vulnerabilidades encontradas na arquitetura da empresa. 

Vale destacar que o processo também permite testar e validar a eficácia dos mecanismos de proteção do negócio, além de avaliar as possíveis consequências das falhas, apontar soluções e estudar quais desafios podem surgir a partir de intervenções da TI. 

Tudo isso é elaborado e descrito em um relatório, que é entregue à empresa para que medidas de correção sejam implementadas. Como busca encontrar as fraquezas em redes e sistemas, ou seja, detectar “portas de entrada” para invadir e atuar, o penetration testing pode ser considerado uma espécie de “simulação de ataque hacker” – mas os objetivos são nobres, é claro!  

Objetivos do pentest 

De maneira geral, os objetivos centrais do procedimento são: 

  • identificar vulnerabilidades e brechas de segurança no sistema testado;
  • recomendar ações e estratégias para solucionar, minimizar ou remover as fraquezas detectadas no teste. 

As técnicas utilizadas, como já é possível inferir, são as mesmas utilizadas pelos hackers “black hat (ou seja, as mesmas aplicadas em ataques maliciosos). 

A ideia, porém, é fornecer uma avaliação detalhada dos mecanismos de segurança, revelando à empresa quais são as chances de sucesso de uma tentativa de cibercrime em um dado sistema. Trata-se, assim, dos chamados white hat attacks, os “ataques do bem”

É importante acrescentar que os penetration tests também podem ser aplicados com o objetivo de analisar a política de segurança das empresas, investigando se elas atendem às regras de compliance e se são de fato eficientes. 

É possível, ainda, que eles busquem testar os conhecimento dos colaboradores acerca das melhores práticas de segurança, ou mesmo determinar se (e como) a organização está sujeita a desastres na área. 

A essa altura, é interessante mencionar que a execução de testes de intrusão é umas das áreas com maior abertura para novos profissionais que desejam atuar no segmento da Segurança da Informação. 

Os 3 principais tipos de penetration testing 

Há diferentes tipos ou estratégias de testes de intrusão ou pentests. Entre eles, 3 se destacam: o teste white box, o grey box e o black box (caixa branca, caixa cinza e caixa preta). Saiba mais a seguir: 

White Box 

Esse é o teste mais completo, promovendo uma análise de toda a infraestrutura da rede. É importante ressaltar que essa investigação global só é possível porque os profissionais responsáveis pelo teste (os pentesters) contam com um amplo conhecimento prévio das informações da empresa, a exemplo de IPs, logins, senhas, dados relativos a servidores, redes, firewalls e possíveis soluções de proteção. 

Com todos esses dados, é possível fazer um “ataque de teste” mais direcionado e certeiro, analisando aquilo que pode ser incrementado e reestruturado para garantir mais segurança. 

Vale mencionar que os testes white box geralmente são executados pelo próprio time de TI da empresa (o que explica o acesso a um volume tão alto de informações corporativas). 

Black Box 

O teste black box é praticamente um procedimento às cegas, tendo em vista que a equipe envolvida no processo tem acesso a bem menos informações sobre a infraestrutura de rede do negócio em questão. 

Justamente por esse motivo, esse tipo de pentest é o mais próximo de um ataque hacker real, ou seja, com finalidades criminosas. Afinal de contas, os profissionais não dispõem de muitos dados e, de certa forma, atuam “no escuro” para identificar as fragilidades dos sistemas. 

Grey Box 

Assim como a própria tonalidade cinza (grey), o pentest grey box é uma mistura de características dos testes white box e black box. Nesse caso, os pentesters contam com um nível mediano de informações corporativas relevantes para o teste – mas esse volume nem se compara com o que é disponível nos testes de caixa branca. 

A grey box é a modalidade de teste de intrusão mais indicada para os casos em que a organização vai terceirizar o procedimento de penetration testing.  

Conheça as etapas de um teste de intrusão 

Ainda que existam diferentes modalidades e formas de aplicação dos testes de intrusão, como vimos acima, há certas etapas que costumam marcar presença em todos os processos. Confira: 

  1. Fase de reconhecimento do alvo: é a busca de informações relevantes sobre a rede ou sistema em questão para facilitar a “invasão”. É quando se tenta entender o cenário geral do alvo e suas fragilidades;
  1. Técnicas de scan: nessa fase, são rastreadas ainda mais informações sobre o alvo, com técnicas e ferramentas mais avançadas de escaneamento; 
  1. Conquista do acesso: na terceira etapa, são realizadas as tentativas de efetivamente acessar a rede ou sistema em questão. Assim, são levantadas formas de fazer o ataque (para isso, os dados conseguidos nas fases anteriores são essenciais); 
  1. Sustentação do acesso: não basta conseguir o acesso, é preciso sustentá-lo. Isso acontece porque os sistemas podem apresentar camadas de proteção que dificultam (ou mesmo bloqueiam) a continuidade do acesso; 
  1. Ocultando os rastros: em um ciberataque real, essa fase final é utilizada para “apagar as pegadas” da ação criminosa, ocultando as evidências. No penetration test, a etapa visa assegurar o acesso ao sistema ou rede. 

Com qual frequência o pentest deve ser aplicado? 

Por fim, esta é uma dúvida bastante frequente sobre o assunto: a periodicidade dos pentests. Pois bem, não há uma frequência certa – a resposta varia conforme as necessidades de cada negócio. 

Entretanto, vale frisar que é importante que os pentests sejam feitos de forma regular, ao menos uma vez ao ano. A prática, afinal, colabora para a eficiência do gerenciamento de TI e a consistência da segurança da infraestrutura de rede. 

Há, ainda, outras situações em que a realização de pentests é aconselhável: 

  • quando a empresa adiciona novas aplicações ou nova infraestrutura de rede;
  • quando há a aplicação de patches de segurança; 
  • quando o escritório/sede da empresa muda de endereço;
  • quando há mudanças ou atualizações significativas nas aplicações e/ou infraestrutura. 

E então, gostou do conteúdo? O penetration testing é uma ferramenta de grande relevância na proteção de sistemas, redes e aplicações corporativas em geral, devendo se aliar a outras práticas essenciais do segmento. Esperamos que tenha tirado suas dúvidas! 

Para prosseguir no assunto, sugerimos a leitura do nosso post sobre os principais riscos de segurança da informação nos negócios – e como combatê-los! 

Créditos da imagem: freepik

Backup Garantido

Deixe um comentário

×