Pentest, ou Teste de Intrusão, refere-se ao teste realizado em uma rede, ou sistema de computadores, com a finalidade de descobrir vulnerabilidades dos mesmos. Além das vulnerabilidades, através deste teste, é possível descobrir qual o tamanho do dano que uma invasão causaria aos computadores e à rede.

O Pentest é utilizado em ambientes empresariais, pois, por se tratar de um recurso da segurança da informação, tem finalidade de encontrar vulnerabilidades e riscos. Existem profissionais especializados em executar esses testes, que realizam uma série de avaliações seguindo as recomendações da OWASP (órgão que estuda as vulnerabilidades de aplicações web).

E, como nós estamos sempre conversando com você aqui no blog, ações que visam a segurança da informação são cada dia mais urgentes para a saúde das empresas. A cada dia surgem novos ataques, novas vulnerabilidades são exploradas, mostrando que os dados e informações estão em risco.

Na última sexta-feira, o blog da kaspersky publicou o artigo: Botnet Smominru infecta 4,7 mil computadores por dia, mostrando como as máquinas estão em risco diariamente. Esse tipo de malware de computador tornou-se aquele com mais rápida expansão, de acordo com dados deste relatório.

Em 2019, ele conseguiu infectar um total de 90 mil computadores apenas no mês de agosto, reforçando a necessidade das empresas, não só conhecerem, mas, estarem sempre em alertas com as vulnerabilidades exploradas, bem como os novos ataques que surgem diariamente.

Tendo isso em vista, e dando continuidade à nossa série sobre as ferramentas de proteção, preparei para você esse artigo sobre Pentest. Nele, você irá descobrir o que é um pentest, como funciona, os tipos de pentest, algumas ferramentas, e, como ele é fundamentalmente atuante para sua empresa.

Nossa! Quanta coisa, ein?! Você está pronto para conferir?

Então vamos lá!

Como funciona

O pentest baseia-se em um teste de invasão manual, feito em uma aplicação web, ou em uma rede, para identificar vulnerabilidades e falhas de segurança.

Por referir-se a um teste manual, ele acaba reconhecendo vulnerabilidades mais complexas, que as ferramentas automáticas não conseguem reconhecer.

No ambiente de redes, uma das técnicas executadas no teste de intrusão é o escaneamento de todas as portas TCP e UDP existentes, para examinar se não existem portas, sem filtros, abertas.

Vale lembrar: ainda que a empresa faça uso de ferramentas da segurança da informação, como um firewall por exemplo, ainda assim é indicado realizar testes de intrusão para evitar problemas de portas que não são lembradas durante a implantação, e, também,  pelo surgimento diário de novas vulnerabilidades, como foi dito na introdução.

Além de testar portas abertas e fechadas, no pentest também são realizados verificações de vulnerabilidade com base em portas abertas e serviços que estejam rodando no servidor.

Um servidor web, como o apache (http / 80), obrigatoriamente, precisa ter a porta 80 aberta, por isso, se a porta 80 for fechada por um firewall, o serviço não irá funcionar. Então, o jeito é deixar a porta aberta para que o servidor seja acessado, mas, é claro que, nem por isso, as vulnerabilidades do servidor web (apache) devem ser deixadas de lado.

O servidor deve ser testado para verificar e fechar possíveis vulnerabilidades.

Formas de ser executado

De uma forma bem simples, podemos afirmar que o pentest é a aplicação de vários métodos e tentativas de invadir um sistema ou rede, que possui políticas de segurança com o intuito de evitar que um real invasor encontre vulnerabilidades e realize um ataque.

Esses testes podem ser executados de várias formas, separamos as seguintes: White Box, a Black Box e a Grey Box.

  • White Box
    Um dos teste mais completos é o White Box (Caixa Branca). Ele executa uma análise total, avaliando toda a infraestrutura da rede. Isso se dá, pois, ao dar início ao Pentest, o hacker ético (ou pentester, nome dado aos profissionais que atuam com esses testes) já possui conhecimento de todas informações essenciais da empresa, como topografia, senhas, IPs, logins e todos os outros dados que dizem respeito à rede, servidores, estrutura, potenciais medidas de segurança, firewalls etc.
  • Tendo essas informações elementares, o teste poderá direcionar precisamente seu ataque e descobrir o que precisa ser aprimorado e reorientado. Por ser um volume alto de informações preliminares, geralmente esse tipo de Pentest é realizado por membros da própria equipe de TI da empresa.
  • Black Box
    O teste da “Caixa Preta” é quase como um teste às cegas, pois, segue a alegação de não possuir grande quantidade de informação disponível sobre a corporação.
    Embora seja direcionado, pois, atingirá a empresa contratante e descobrirá as vulnerabilidades dela, o Pentest de Caixa Preta é o mais próximo de seguir as características de um ataque externo.
  • Devido à essas características, sem grande mapeamento de informações, ele atuará de forma extremamente similar à de cibercriminosos, o que pode ser bastante útil, caso não parta de forma maliciosa, e sirva apenas como um método de reconhecer fragilidades na estrutura de rede.
  • Grey Box
    O último teste pode ser apresentando como uma mistura dos dois tipos anteriores, por isso o nome Grey Box (Caixa Cinza), pois possui algumas informações específicas para realizar o teste de intrusão.
    Porém, é uma quantidade de informações baixa, não se equiparando à quantidade de informações no teste de Caixa Branca. Esse teste é realizado, baseando-se na quantidade de informações específicas que se tem.

Os tipos de pentests

Uma vez que esclarecemos como funciona o pentest, vejamos agora de uma maneira simples os tipos de pentest.

Teste em Serviços de Rede: são realizadas análises na infraestrutura de rede da corporação, em procura de fragilidades que podem ser solidificadas. Neste quesito, é avaliado a configuração do firewall, testes de filtragem stateful, etc.

Teste em Aplicação Web: é um mergulho profundo no teste de intrusão, pois, toda a análise é extremamente detalhada, e vulnerabilidades são mais facilmente descobertas por basear-se na busca em aplicações web.

Teste de Client Side: neste tipo de teste, é possível explorar softwares, programas de criação de conteúdo e Web browsers (como Chrome, Firefox, Explorer etc) em computadores dos usuários.

Teste em Rede Sem Fio: examina todas as redes sem fio utilizadas em uma corporação, assim como o próprio nome afirma. São feitos testes em protocolos de rede sem fio, pontos de acessos e credenciais administrativas.
Teste de Engenharia Social: informações e dados confidenciais são passíveis de roubo, por meio de manipulação psicológica, numa tentativa de induzir o colaborador a repassar itens que devem ser sigilosos.

A importância das Ferramentas de Segurança da Informação

Imagine uma casa sem proteção, sem um muro ou uma cerca, com um portão bem baixo e de fácil entrada. Mas, é uma casa pequena, simples. Talvez você seja levado pela ilusão de que, por não ser uma casa de grande porte, uma mansão, os criminosos não irão olhar para ela como um possível alvo.

É aí que mora o engano. Toda casa, que possua minimamente algum bem, é um alvo para um ladrão. A mesma coisa ocorre com as empresas.

Por mais que estejamos sempre falando da importância de cuidar e proteger as informações de uma empresa, tem sempre aqueles que acreditam que somente as grandes empresas são alvos dos atacantes.

Mas, as notícias mais recentes sempre nos mostram o contrário. Por terem essa mentalidade, as pequenas e médias empresas são as presas mais fáceis, e, consequentemente, as mais exploradas.

Por essa razão, estamos aqui sempre reforçando o uso das ferramentas de segurança da informação. Ferramentas, como: o firewall, antivírus, web filter, IDS/IPS, VPN entre outras. E o pentest é mais um dos recursos de grande importância para identificar as vulnerabilidades, possibilitando uma  a proteção mais segura.

Ele irá atuar garantindo o conhecimento dessas vulnerabilidades, apontando os riscos existentes, possibilitando, assim, o planejamento, bem como a execução de um plano que garanta o uso das ferramentas de segurança de uma forma mais efetiva e eficaz.

Conclusão

Mediante todas essas informações, podemos concluir que o pentest é um recurso de fundamental importância na manutenção e cuidado com as informações e dados, que deve ser usado como uma das medidas de segurança e proteção para a saúde da rede de qualquer empresa.

É importante lembrar a você que o cuidado com essa saúde começa com a conscientização dos riscos existentes e a necessidade de mitigação dos mesmo.

Por isso, nós da Starti, temos esse compromisso de levar a você materiais que ajudem nessa jornada de conhecimento, bem como oferecer soluções para proteção da sua rede.

Pensando nisso, separamos outros conteúdos que serão úteis para sua jornada, confira:

Firewall UTM: Gerenciando ameaças e cuidando das suas informações!

Conheça o detector e o bloqueador de invasões: IDS e IPS!

Balanceamento de Links: Tudo que você precisa saber!