Wed. May 18th, 2022
Cyber attack concept illustration Free Vector

O que é pentesting?
É um ataque cibernético simulado contra o seu sistema de computador para verificar vulnerabilidades exploráveis. No contexto da segurança de aplicativos da Web, o teste de penetração é comumente usado para aumentar um firewall de aplicativos da Web (WAF).

O teste de caneta pode envolver a tentativa de violação de qualquer número de sistemas de aplicativos (por exemplo, interfaces de protocolo de aplicativos (APIs), servidores front-end/back-end) para descobrir vulnerabilidades, como entradas não higienizadas que são suscetíveis a ataques de injeção de código.

Os insights fornecidos pelo pentesting podem ser usados para ajustar suas políticas de segurança WAF e corrigir vulnerabilidades detectadas.

Etapas de teste de penetração
O processo de teste de caneta pode ser dividido em cinco etapas.

Cinco estágios do pentesting:

  1. Planejamento e reconhecimento
    A primeira etapa envolve:

Definir o escopo e os objetivos de um teste, incluindo os sistemas a serem abordados e os métodos de teste a serem usados.
Coleta de inteligência (por exemplo, nomes de rede e domínio, servidor de e-mail) para entender melhor como um alvo funciona e suas possíveis vulnerabilidades.

  1. Scanning
    A próxima etapa é entender como o aplicativo de destino responderá a várias tentativas de invasão. Isso geralmente é feito usando:

Análise estática – Inspecionando o código de um aplicativo para estimar como ele se comporta durante a execução. Essas ferramentas podem escanear todo o código em uma única passagem.
Análise dinâmica – Inspecionando o código de um aplicativo em estado de execução. Essa é uma maneira mais prática de varredura, pois fornece uma visão em tempo real do desempenho de um aplicativo.

  1. Obtendo acesso
    Esse estágio usa ataques de aplicativos da Web, como scripts entre sites, injeção de SQL e backdoors, para descobrir as vulnerabilidades de um alvo. Os testadores tentam explorar essas vulnerabilidades, geralmente aumentando privilégios, roubando dados, interceptando tráfego etc., para entender os danos que podem causar.
  2. Mantendo o acesso
    O objetivo deste estágio é verificar se a vulnerabilidade pode ser usada para obter uma presença persistente no sistema explorado — tempo suficiente para que um agente mal-intencionado obtenha acesso profundo. A ideia é imitar ameaças persistentes avançadas, que geralmente permanecem em um sistema por meses para roubar os dados mais confidenciais de uma organização.
  3. Análise
    Os resultados do teste de penetração são então compilados em um relatório detalhando:
  • Vulnerabilidades específicas que foram exploradas
  • Dados confidenciais que foram acessados
  • A quantidade de tempo que o pen tester conseguiu permanecer no sistema sem ser detectad

Essas informações são analisadas pela equipe de segurança para ajudar a definir as configurações de WAF de uma empresa e outras soluções de segurança de aplicativos para corrigir vulnerabilidades e proteger contra ataques futuros.

Métodos de pentesting
Testes externos

Os testes de penetração externos visam os ativos de uma empresa que são visíveis na Internet, por exemplo, o próprio aplicativo da web, o site da empresa e servidores de e-mail e nomes de domínio (DNS). O objetivo é obter acesso e extrair dados valiosos.

Testes internos
Em um teste interno, um testador com acesso a um aplicativo por trás de seu firewall simula um ataque de um insider malicioso. Isso não está necessariamente simulando um funcionário desonesto. Um cenário inicial comum pode ser um funcionário cujas credenciais foram roubadas devido a um ataque de phishing.

Teste cego
Em um teste cego, um testador recebe apenas o nome da empresa que está sendo direcionada. Isso dá à equipe de segurança uma visão em tempo real de como ocorreria um ataque real a um aplicativo.

Teste duplo-cego
Em um teste duplo cego, o pessoal de segurança não tem conhecimento prévio do ataque simulado. Como no mundo real, eles não terão tempo para reforçar suas defesas antes de uma tentativa de violação.

Teste direcionado
Nesse cenário, tanto o testador quanto o pessoal de segurança trabalham juntos e se mantêm informados sobre seus movimentos. Este é um exercício de treinamento valioso que fornece a uma equipe de segurança feedback em tempo real do ponto de vista de um hacker.

Pentesting e firewalls de aplicativos da web
Pentesting e WAFs são medidas de segurança exclusivas, mas mutuamente benéficas.

Para muitos tipos de testes de caneta (com exceção de testes cegos e duplos cegos), o testador provavelmente usará dados WAF, como logs, para localizar e explorar os pontos fracos de um aplicativo.

Por sua vez, os administradores do WAF podem se beneficiar dos dados de teste de caneta. Após a conclusão de um teste, as configurações do WAF podem ser atualizadas para proteger contra os pontos fracos descobertos no teste.

Por fim, o pen testing atende a alguns dos requisitos de conformidade para procedimentos de auditoria de segurança, incluindo PCI DSS e SOC 2. Certos padrões, como PCI-DSS 6.6, podem ser atendidos apenas com o uso de um WAF certificado. Fazer isso, no entanto, não torna o teste de caneta menos útil devido aos benefícios mencionados acima e à capacidade de melhorar as configurações do WAF.

Obtenha uma visão do mundo real de como os invasores podem explorar suas vulnerabilidades – e orientação sobre como detê-los – com nossos serviços de pentesting.

Muito mais do que especialistas em segurança
A melhor maneira de parar os invasores é pensar e agir como um invasor. É por isso que, ao contrário de muitas empresas de segurança, não contratamos recém-formados ou pessoas com mais experiência em TI do que segurança como pen testers. Em vez disso, encontramos pessoas boas que sabem sobre coisas ruins. Coisas como hacking de caixa eletrônico, exploração de impressora multifuncional, ataques de entrada sem chave em automóveis, técnicas de desvio de proteção de endpoint, clonagem de RFID, desvio de sistema de alarme de segurança… você entendeu. E esse tipo de gente? Eles são muito mais do que especialistas em segurança – são hackers genuínos.

Para ficar sempre um passo à frente dos invasores – e ajudar os outros a fazerem o mesmo – nossos pentesters dedicam 25% de seu tempo a realizar pesquisas e contribuir com a comunidade de segurança, publicando artigos, apresentando em conferências, desenvolvendo e lançando ferramentas de teste de código aberto e escrevendo módulos Metasploit populares.

O que corrigir e quando e como corrigi-lo
O melhor que você pode esperar da maioria dos testes de penetração é uma longa lista de problemas com pouco contexto sobre como corrigi-los ou por onde começar. Útil, certo? O Rapid7 fornece uma lista priorizada de problemas, com base na capacidade de exploração e no impacto de cada descoberta usando um processo de classificação padrão do setor.

O que você pode esperar? Uma descrição detalhada e prova de conceito para cada descoberta, bem como um plano de remediação acionável. E como entendemos que a gravidade do risco é apenas um fator na priorização dos esforços de remediação, também forneceremos informações sobre o nível de esforço necessário para remediar as descobertas. Além disso, você receberá:

Um storyboard de ataque que orienta você através de ataques encadeados sofisticados.

Scorecards que comparam seu ambiente com as práticas recomendadas da perspectiva de um invasor
Descobertas positivas que indicam quais controles de segurança você tem que são eficazes.

O compliance é um subproduto de uma boa segurança
Acreditamos que uma boa segurança gera uma boa conformidade. É por isso que tudo o que fazemos — desde nosso investimento e compromisso no Metasploit até nossos novos produtos de análise de invasores — está focado em ajudar você a entender melhor os invasores e como se defender deles. Isso se estende aos nossos serviços de teste de penetração; a rede e os desafios de cada empresa são únicos, por isso nossos testadores de penetração adaptam seus métodos e vetores de ataque para cada compromisso. Também realizamos testes de penetração em nossa própria rede e produtos regularmente, para garantir que eles estejam sempre atualizados na detecção de ataques do mundo real.

Nossos serviços de pentest
A Cataclysm Inc. oferece uma variedade de serviços de teste de penetração para atender às suas necessidades. Não consegue encontrar o que procura? Entre em contato para conhecer nossas soluções personalizadas.

Leave a Reply

Your email address will not be published. Required fields are marked *