Falando sobre Teste de Intrusão (ou PenTest)

Vamos falar um pouco sobre PenTest (ou Teste de Intrusão), um tipo de teste de segurança, alguns detalhes sobre o que é, suas variações e como é realizado.

 

Quando construímos uma casa, geralmente pensamos em colocar uma porta com tranca, janelas com grades e até mesmo uma garagem coberta, cerca elétrica, câmeras de vigilância, a fim de evitar que pessoas não autorizadas consigam entrar na casa. Mas será que quando pensamos em software também pensamos em formas de proteger a “nossa casa”? Pois bem, resolvi trazer um assunto que geralmente não é muito discutido: Segurança, responsável pela proteção das informações que representam algum valor para um indivíduo ou organização (Segurança da informação). E baseado em proteção, vamos falar um pouco sobre PenTest (“Penetration Test” ou “Teste de Intrusão”).
Em um outro post aqui no blog comentamos um pouco sobre o processo de teste de segurança.

 

Penetration Test

 

O QUE É PENTEST

É composto por um conjunto de técnicas e ferramentas para identificação e exploração de vulnerabilidades de segurança em sistemas ou redes (ProfissãoHacker); após a identificação, geralmente é submetido uma avaliação informando seu impacto e uma possível solução (Tableless).
Ou seja, a ideia deste tipo de teste é simular como seria um ataque real e identificar em que pontos o sistema ou a rede está vulnerável e que tipo de ações devem ser realizadas para evitar isto (Rapid7).
A principal intenção não é a de causar danos à organização, mas sim de prover informações a fim de ajudar, e geralmente os profissionais responsáveis também são chamados de Ethical Hackers (Ou “Hackers do bem”) (ProfissãoHacker).

 

TIPOS DE PENTEST

Existem vários tipos de Teste de intrusão, e para definir qual abordagem trabalhar é necessário alinhar quais os objetivos desejados em relação a resultados. Se é desejável simular um ataque de invasão via rede interna ou externo, por algum usuário interno, falhas de criptografia de senhas e outros. Sendo assim, existem 3 tipos de teste de intrusão (Guru99):

Black Box Testing: geralmente simula um ataque externo, é realizado por um Pen Tester que não conhece nada da infraestrutura ou da empresa (SecForce).

White Box Penetration testing: é o inverso do Black Box Testing, neste caso o Pen Tester possui acesso a informações de infraestrutura, sistema, código-fonte, entre outras informações (SecForce).

Grey Box Penetration testing: é uma pequena junção dos dois tipos anteriores, neste caso o Pen Tester simula um ataque externo mas possui algumas informações internas do sistema ou rede (Guru99).

 

COMO É REALIZADO

Para a realização do PenTest existe um padrão para realizá-lo denominado de PTES (Penetration Testing Execution Standard), separado em 5 fases, sendo: Pré-acordo de interação; Fase de reconhecimento; Fase de Varredura; Fase de obtenção de acesso a Exploração e Fase de obtenção de evidências e relatório, mais informações podem ser encontradas na referência (NinjaDoLinux), neste mesmo link também é citado informações relacionadas a ferramentas.

Agora que falamos um pouco sobre Teste de intrusão e algum desses tipos, podemos dizer que é importante pensar em formas de prevenir falhas de segurança e começar a introduzir estes tipos de validação em nossos testes, pois, deixar informações confidenciais nas mãos de pessoas erradas pode provocar um dano sério. Lembrando que este tipo de teste sempre é importante alinhar a “expectativa x o que será realizado”.

Que tal começarmos a proteger a “nossa casa”?

Por JACQUELINE COSTA

Analista de Testes da MATERA, atuando na área desde 2013. MBA em Engenharia de Software Orientada para Serviços. Apaixonada por tudo o que faz!

Postado em: 03 de abril de 2018

Confira outros artigos do nosso blog

O que foi primeiro Test Girls em Campinas

17 de outubro de 2018

Ariane Ferreira Izac

Como foi o 9º Meetup DevTests HST com apoio da Matera

24 de setembro de 2018

Ariane Ferreira Izac

Matera participa da 9ª edição do meetup DevTests Campinas

03 de setembro de 2018

Ariane Ferreira Izac

Teste de mutação com PITest

24 de agosto de 2018

Julio Cesar Consolini

Deixe seu comentário