Tipos de Pentest
Se você está pensando em realizar um pente em sua organização, pode estar interessado em aprender sobre os diferentes tipos de teste disponíveis. Com esse conhecimento, você estará mais bem equipado para definir o escopo de seu projeto, contratar o especialista certo e, por fim, atingir seus objetivos de segurança.
O que é um Pentest?
O Pentest, comumente referido como “teste de caneta”, é uma técnica que simula percorrer a vida real em seus sistemas de TI para encontrar pontos fracos que podem ser explorados por hackers. Seja para cumprir como regulamentações de segurança, como ISO 27001, obter a confiança do cliente e de terceiros ou obter sua própria paz de espírito, o pentest é um método eficaz usado por associações modernas para melhorar sua capacidade de segurança cibernética e evitar violações de dados .
Leia sobre os diferentes tipos existentes para descobrir qual tipo você pode se beneficiar mais:
Pentest de rede
Como o nome necessário, um pentest de rede visa identificar pontos fracos em sua infraestrutura de rede, seja no local ou em ambientes de nuvem. É um dos testes mais comuns e cruciais para garantir a segurança de seus dados básicos de negócios. O pentest de rede cobre uma ampla gama de verificações, incluindo configurações inseguras, vulnerabilidades de criptografia e patches de segurança ausentes para determinar como etapas que um hacker pode realizar para atacar sua organização. Os profissionais de segurança costumam categorizar esse teste em duas perspectivas diferentes: externa e interna.
O pentest externo envolve uma busca de vulnerabilidades que podem ser exploradas por qualquer invasor com acesso à Internet. Nesse cenário, os testadores de invasão estão tentando obter acesso aos seus sistemas e dados obrigatórios de negócios para determinar como um invasor sem qualquer acesso ou conhecimento prévio capaz de atingir sua organização. Você pode pensar neste teste como sendo da perspectiva de um “estranho”.
Em contraste, o pentest interno se preocupa com o teste de seu ambiente corporativo interno. Esse tipo de teste considera cenários em que um invasor conseguiu obter uma posição inicial dentro de sua rede corporativa, por exemplo, explorando uma vulnerabilidade em um de seus sistemas voltados para a Internet ou por meio do uso de engenharia social. Nesse caso, o teste é realizado a partir de uma perspectiva “interna”, com o objetivo de encontrar uma forma de roubar informações confidenciais ou interromper as operações de uma organização.
De um modo geral, as fraquezas externas são consideradas uma ameaça mais séria do que a interna. Por um lado, um hacker precisa superar uma barreira de segurança externa antes de acessar suas redes internas e rodar para outros sistemas. Se você não realizou nenhum tipo de pentest antes, um teste externo ou de “perímetro” é muitas vezes o melhor lugar para começar, pois o perímetro é a coisa mais fácil para os invasores chegarem. Se você tiver vulnerabilidades triviais em sua infraestrutura voltada para a Internet, é aí que os hackers vão começar.
Pentest de aplicativos da web
O pentest de aplicativos da Web tenta descobrir vulnerabilidades em sites e aplicativos da Web, como plataformas de comércio eletrônico, sistemas de gerenciamento de conteúdo e software de gerenciamento de relacionamento com o cliente. Este tipo de teste lida com uma revisão de toda a segurança do aplicativo da web, incluindo sua lógica subjacente e funcionalidades personalizadas, para evitar violações de dados.
Algumas das vulnerabilidades comuns detectadas durante um pentest de aplicativo da web incluem injeções de banco de dados, script entre sites (XSS) e autenticação interrompida. Se você estiver interessado em aprender mais sobre os diferentes tipos de fraquezas de aplicativos da web, sua gravidade e como você pode evitá-los, o Open Web Application Security Project (OWASP) Top 10 é um ótimo lugar para começar. A cada poucos anos, o OWASP publica informações sobre as falhas mais frequentes e perigosas de aplicativos da web, baseando suas descobertas nos dados coletados de milhares de aplicativos.
Except a prevalência de aplicativos da web em associações modernas e como informações valiosas que eles transmitem e armazenam, não é surpreendente que sejam um alvo atraente para criminosos cibernéticos. De acordo com o “2020 Data Breach Investigations Report” da Verizon, a proporção de violações de dados vinculadas a vulnerabilidades de aplicativos da web dobrou ano a ano, atingindo 43% em 2019. Por esse motivo, as associações que estão desenvolvendo ou gerenciando seus aplicativos próprios voltados para a Internet devem considerar seriamente a realização de aplicativos da web.
Pentest automatizado
O objetivo de um pentest automatizado é encontrar pontos fracos de segurança por meio da automação de rede manual ou processos de pentest de aplicativo da web. Um pentest automatizado normalmente implica o uso de scanners de vulnerabilidade, que têm números de verificações para sistemas sondar e identificar problemas de segurança que podem ser explorados por um hacker.
Os pentestes manuais são normalmente realizados uma ou duas vezes por ano devido à sua complexidade e custo. No entanto, com mais de 10.000 vulnerabilidades detectadas a cada ano, há um alto risco de violação do sistema no período entre os testes. Para obter proteção contínua, é benéfico complementar os pentestes manuais com testes automatizados, geralmente são mais baratos e podem ser programados para serem superiores periodicamente ou sob demanda.
Enquanto os humanos se destacam na detecção de falhas de segurança altamente complexas que podem não ser encontradas pelas máquinas, as ferramentas automatizadas podem ajudá-lo a detectar algumas vulnerabilidades muito sérias. Um exemplo são os bancos de dados expostos, que podem levar a violações de dados prejudiciais se não principais corrigidos prontamente. Nossa própria pesquisa mostra que pode levar apenas 9 minutos para alguém violar um banco de dados não seguro, por isso é importante agir rapidamente se você deseja permanecer protegido. Com a ajuda de ferramentas automatizadas, você pode reagir assim que novas curtas descobertas, mantendo um olho nos seus sistemas 24 horas por dia, 7 dias por semana.
Engenharia social
Em comparação com os tipos de teste pentest anterior anterior, que se concentram em encontrar pontos fracos na tecnologia, uma engenharia social tenta comprometer a segurança de uma organização explorando a psicologia humana. Pode assumir uma variedade de formas e pode ser eliminado remotamente, por exemplo, tentando obter informações confidenciais de usuários por meio de e-mails de phishing ou chamadas telefônicas, ou não local, caso em que um pentester tentará obter acesso físico uma instalação. Em todos os casos, o objetivo deste objetivo é manipular, geralmente funcionários da empresa, para fornecer informações valiosas.
O sucesso de um pentest de engenharia social depende em grande parte das informações coletadas na fase de “reconhecimento”, que envolve a pesquisa de alguém ou uma organização com acesso público à inteligência de código aberto (OSINT). Depois de construir uma imagem mais precisa de seu alvo, um pentester pode usar as informações descobertas para prosseguir com a criação de uma estratégia de ataque personalizada. Um dos vetores de ataque mais comuns em engenharia social é um ataque de phishing, geralmente entregue por e-mail. Ao realizar um ataque de phishing, um pentester não necessariamente necessariamente quando um funcionário desavisado clica em um link malicioso, mas pode ir além, tentando roubar credenciais do usuário e obter acesso ao laptop de um funcionário. Esses podem ser extremamente bem-sucedidos,
O pentest de engenharia social não é tão amplamente adotado quanto o teste de rede ou aplicativo da web. No entanto, se uma organização já está fazendo treinamento regular de conscientização de segurança, conduza um teste de engenharia social dedicado ser um ótimo complemento ao seu arsenal para identificar e corrigir problemas de segurança em suas operações.
Equipa vermelha
Essa técnica avançada tem origem em exercícios de treinamento militar. Ele é projetado para desafiar a segurança, os processos, as políticas e os planos de uma organização, adotando uma mentalidade adversária. Em contraste, a formação de Blue Team, também conhecida como “segurança defensiva”, envolve a detecção e resistência da Red Team, bem como adversários da vida real.
O Red Team combina domínios digitais, sociais e físicos para implementar cenários de ataque abrangentes na vida real. Como tal, o Red Team pode ser considerado uma operação distinta do pentest, mas como suas tarefas abrangem todos os tipos de pentestes acima, achamos que valeria a pena mencioná-lo neste artigo.
Um objetivo de um pentesto padrão é encontrar tantas vulnerabilidades quanto possível dentro de um determinado período de tempo. A respiração teste é naturalmente limitada pelo escopo deste trabalho; mas adversários da vida real não têm essas restrições artificiais a seguir. Como resultado, mesmo que uma organização execute regularmente pentestes e varreduras de vulnerabilidade, ela ainda pode ser exposta a mais sofisticados, como quando a engenharia social e os pontos fracos da rede interna são encadeados. É aqui que entra o Red Team. Ele avalia o ambiente de uma organização como um todo, entendendo como todas as partes funcionais juntas. Em seguida, ele aplica o pensamento crítico para descobrir novas vulnerabilidades que os invasores podem explorar, ajudando a organização a avaliar sua resposta aos avanços do mundo real.
Em comparação com o padrão padrão, que dura várias dias ou semanas, como as avaliações do Red Team geralmente levam muito mais tempo, em alguns casos vários meses para serem concluídas. Tornado à sua natureza complexa, é uma operação bastante rara, normalmente realizada por associações maiores ou por contratados do governo com programas de segurança bem tomada.
Conclusão
O pentest é uma disciplina ampla que abrange diferentes técnicas, portanto, é importante entender os riscos relativos que sua organização está enfrentando para escolher o tipo mais apropriado.?
Fonte: Baymetrics