Aos olhos de cibercriminosos, toda organização é um alvo tentador. Sequestro de dados, espionagem industrial, expansão de botnets… Mas como agir neste cenário? Reforçar a própria segurança é a resposta óbvia, que logo vem acompanhada de outra pergunta: como?
O pentesting é, justamente, uma das melhores respostas a essa questão.
Ataque controlado
“Pentesting” é uma abreviatura de “penetration testing” (o uso de “teste de penetração”), que consiste em tentar romper as barreiras de segurança de uma organização, em busca de brechas a serem corrigidas.
Existem várias abordagens dentro desta prática, que normalmente são classificadas em 3 categorias:
Black-box
Aqui, o pentester não tem qualquer conhecimento prévio sobre o sistema que será “invadido”. Por isso, é talvez a abordagem que mais se aproxima de um cenário real.
White-box
Este aqui é o oposto do black-box: o pentester tem acesso irrestrito ao sistema e tem carta branca para inspecionar cada elemento durante a “invasão”.
Gray-box
Como o nome sugere, esta abordagem é um misto de black-box com white-box: o pentester tem acesso a algumas informações (como documentos de design de rede) e credenciais de acesso do sistema-alvo.
Naturalmente, cada abordagem tem suas vantagens e desvantagens.
- A Black-box é a mais “realista”, mas também é a que tem mais chances de deixar escapar falhas, já que tem uma cobertura limitada pela falta de informações sobre o alvo;
- A White-box é a mais ampla, e seu maior desafio está no grande volume de dados a serem analisados;
- E a Gray-box, por ser um meio-termo, é a mais “equilibrada”, mas não tem o realismo da Black-box e nem a amplitude da White-box.
De modo geral, é recomendado começar pela White-box, pela sua amplitude. E, depois, usar as outras duas abordagens, conforme os objetivos da organização no momento.
O que nos leva ao próximo tópico.
Por que fazer pentesting?
O objetivo de “elevar a segurança da organização” pode ter três motivações:
- Simulação de cenários reais: Uma das razões mais comuns para a realização de pentests. A ideia é garantir que, em caso de invasões, os profissionais de cibersegurança sejam capazes de responder com precisão e agilidade;
- Compliance: Garantir que a empresa esteja em conformidade com normas de segurança de dados, como a LGPD, é crucial. Falhas podem colocar dados sensíveis em risco, gerar multas e punições, e prejudicar seriamente a reputação da marca;
- Mitigação de riscos: Muitos gestores decidem tomar uma postura mais proativa depois de saber de ataques a outras empresas do mesmo setor.
A falta de clareza em relação aos objetivos é um dos maiores enganos que gestores cometem ao planejar um pentesting. Ela atrapalha a distribuição das tarefas, a comunicação entre as equipes e o monitoramento dos resultados.
Em contrapartida, os gestores que têm essa clareza conseguem organizar as ações com muito mais eficiência. O processo flui melhor e gera resultados melhores.
Extraindo o potencial
As recomendações básicas podem ser resumidas facilmente: tenha objetivos bem definidos; documente todas as ações; mantenha uma comunicação eficiente; adote ferramentas de qualidade; compile os resultados de maneira objetiva; e organize as recomendações de melhoria.
Mas como ir além?
- Priorize cenários mais prováveis da sua indústria: Na hora de planejar os testes, considere ameaças típicas relacionadas à indústria da sua organização, e não apenas cenários gerais;
- Foque na escalada de privilégios: Dê atenção especial às brechas que permitem ao invasor obter mais privilégios de acesso (como, por exemplo, o excesso de usuários com poder administrativo);
- Teste elementos de terceiros: Não limite o escopo do teste apenas ao sistema ou aplicativo principal – inclua as dependências de terceiros (bibliotecas, frameworks, plugins), pois eles também podem apresentar vulnerabilidades;
- Explore falhas na lógica de negócios: Vá além das vulnerabilidades técnicas e investigue falhas potenciais na lógica de negócios do aplicativo – como cenários em que autorização inadequada, erros transacionais ou fluxos de trabalho comerciais defeituosos;
- Teste configurações incorretas: Verifique as configurações do sistema (incluindo dispositivos de rede, configurações de servidor e serviços em nuvem). Configurações incorretas podem expor dados sensíveis ou criar lacunas de segurança;
- Use técnicas de engenharia social: Considere a incorporação de técnicas como phishing ou pretexting, para avaliar as vulnerabilidades humanas da organização. Isso ajuda a avaliar a eficácia do treinamento de conscientização de segurança e políticas;
- Teste capacidades de resposta a incidentes: Simule incidentes de segurança durante o teste para avaliar as capacidades de resposta a incidentes da organização – isso inclui testar a detecção, resposta e recuperação para identificar áreas de melhoria;
- Examine a segurança física: Se for relevante, analise também os controles de segurança física, (como sistemas de controle de acesso, vigilância ou controles ambientais). Há vulnerabilidades que ficam fora do mundo digital, mas que também são perigosas para o sistema;
- Cuidado com dados residuais: Avalie o sistema em busca de dados residuais que possam permanecer mesmo depois de operações regulares ou processos de remoção de dados. Informações sensíveis deixadas para trás, como arquivos temporários, backups ou dados em cache, podem representar riscos de segurança;
- Valide a gestão de correções: Verifique as práticas de gestão de correções (patching) da organização, procurando por softwares não atualizados ou vulnerabilidades conhecidas.
Com uma abordagem estratégica e uma visão que vai além do convencional, você consegue realizar pentests com mais eficiência e obter resultados valiosos.
Eleve a um novo patamar a cibersegurança da sua organização: clique aqui e agende uma conversa com um especialista Prime Control.