Falando sobre Teste de Intrusão (ou PenTest)

Vamos falar um pouco sobre PenTest (ou Teste de Intrusão), um tipo de teste de segurança, alguns detalhes sobre o que é, suas variações e como é realizado.

 

Quando construímos uma casa, geralmente pensamos em colocar uma porta com tranca, janelas com grades e até mesmo uma garagem coberta, cerca elétrica, câmeras de vigilância, a fim de evitar que pessoas não autorizadas consigam entrar na casa. Mas será que quando pensamos em software também pensamos em formas de proteger a “nossa casa”? Pois bem, resolvi trazer um assunto que geralmente não é muito discutido: Segurança, responsável pela proteção das informações que representam algum valor para um indivíduo ou organização (Segurança da informação). E baseado em proteção, vamos falar um pouco sobre PenTest (“Penetration Test” ou “Teste de Intrusão”).
Em um outro post aqui no blog comentamos um pouco sobre o processo de teste de segurança.

 

Penetration Test

 

O QUE É PENTEST

É composto por um conjunto de técnicas e ferramentas para identificação e exploração de vulnerabilidades de segurança em sistemas ou redes (ProfissãoHacker); após a identificação, geralmente é submetido uma avaliação informando seu impacto e uma possível solução (Tableless).
Ou seja, a ideia deste tipo de teste é simular como seria um ataque real e identificar em que pontos o sistema ou a rede está vulnerável e que tipo de ações devem ser realizadas para evitar isto (Rapid7).
A principal intenção não é a de causar danos à organização, mas sim de prover informações a fim de ajudar, e geralmente os profissionais responsáveis também são chamados de Ethical Hackers (Ou “Hackers do bem”) (ProfissãoHacker).

 

TIPOS DE PENTEST

Existem vários tipos de Teste de intrusão, e para definir qual abordagem trabalhar é necessário alinhar quais os objetivos desejados em relação a resultados. Se é desejável simular um ataque de invasão via rede interna ou externo, por algum usuário interno, falhas de criptografia de senhas e outros. Sendo assim, existem 3 tipos de teste de intrusão (Guru99):

Black Box Testing: geralmente simula um ataque externo, é realizado por um Pen Tester que não conhece nada da infraestrutura ou da empresa (SecForce).

White Box Penetration testing: é o inverso do Black Box Testing, neste caso o Pen Tester possui acesso a informações de infraestrutura, sistema, código-fonte, entre outras informações (SecForce).

Grey Box Penetration testing: é uma pequena junção dos dois tipos anteriores, neste caso o Pen Tester simula um ataque externo mas possui algumas informações internas do sistema ou rede (Guru99).

 

COMO É REALIZADO

Para a realização do PenTest existe um padrão para realizá-lo denominado de PTES (Penetration Testing Execution Standard), separado em 5 fases, sendo: Pré-acordo de interação; Fase de reconhecimento; Fase de Varredura; Fase de obtenção de acesso a Exploração e Fase de obtenção de evidências e relatório, mais informações podem ser encontradas na referência (NinjaDoLinux), neste mesmo link também é citado informações relacionadas a ferramentas.

Agora que falamos um pouco sobre Teste de intrusão e algum desses tipos, podemos dizer que é importante pensar em formas de prevenir falhas de segurança e começar a introduzir estes tipos de validação em nossos testes, pois, deixar informações confidenciais nas mãos de pessoas erradas pode provocar um dano sério. Lembrando que este tipo de teste sempre é importante alinhar a “expectativa x o que será realizado”.

Que tal começarmos a proteger a “nossa casa”?

Por JACQUELINE COSTA

Analista de Testes da MATERA, atuando na área desde 2013. MBA em Engenharia de Software Orientada para Serviços. Apaixonada por tudo o que faz!

Postado em: 03 de abril de 2018

Confira outros artigos do nosso blog

Introdução ao Dev-Test Pairing

13 de junho de 2018

Caio Rizolli

Protractor – Testes automáticos end-to-end para aplicações em Angular

07 de dezembro de 2017

Jacqueline Costa

Testes em Node.js

04 de dezembro de 2017

Alan Cesar Elias

Automatizando Testes de Contrato API REST – Parte 1

30 de novembro de 2017

Monise Costa

Deixe seu comentário