Guia dos testes de invasão

As empresas hoje enfrentam uma série de desafios em relação à segurança de seus dados, incluindo o aumento da sofisticação das ameaças e da superfície de ataque. Diante deste cenário, cada vez mais organizações estão investindo na segurança da informação para garantir a continuidade e a rentabilidade do negócio. Os testes de invasão (ou pentests) são importantes ferramentas para validar essa estratégia de segurança no mundo real.

No caso das auditorias de segurança e compliance, os testes de invasão se diferenciam principalmente porque foram feitos para responder a pergunta: “Qual é a efetividade dos meus controles de segurança da informação no mundo real contra um hacker dotado de altos níveis de conhecimento e motivação?”. Enquanto as auditorias apenas checam a existência de controles e suas configurações ou sua ausência. Uma empresa 100% adequada às exigências dos padrões da indústria e da legislação ainda pode estar vulnerável contra um humano altamente motivado.

Além disso, um teste de invasão permite checar múltiplos vetores de ataque contra um mesmo alvo, pois é a combinação de informações ou vulnerabilidades em diferentes sistemas que permite ao hacker ser bem-sucedido.

Neste Guia do Teste de Invasão reunimos informações que vão te ajudar a escolher o melhor serviço de pentest para o seu negócio.

Para evitar a confusão, podemos dividir os teste de invasão em alguns tipos descritos abaixo. Para saber mais sobre os testes realizados pela IBLISS acesse a página Hacker as a Service.

Mas afinal, o que é e quais são as modalidades dos testes de segurança?

Análise de Vulnerabilidades

Avaliação de todos os ativos da organização, classificando-os de acordo com seu valor e potencial impacto para o negócio, bem como identificando vulnerabilidades associadas a cada um. Como não inclui atividades manuais, exigem um nível médio de habilidade.

Teste de Invasão Compliance PCI-DSS

Teste focado na identificação e validação de todas as vulnerabilidades dentro do escopo do PCI-DSS. Além do escaneamento e da validação de vulnerabilidades, inclui análises manuais, que exigem um alto nível de habilidade.

Teste de Invasão Standard

Serviço com um objetivo específico e com foco na modelagem de ameaças. Além de incluir análises manuais para identificar vulnerabilidades, inclui ainda a exploração das falhas para avaliar sua extensão, também exigindo um alto nível de habilidade.

Teste de Invasão Advanced

Além de identificar e explorar falhas de segurança, inclui atividades para testar aspectos relacionados à conscientização do usuário interno, como phishing e engenharia social (por telefone), tarefas manuais que também exigem um alto nível de expertise.

Red Team – in loco

Realizado apenas localmente, tem como foco a modelagem de ameaças e além das atividades inclusas na versão remota inclui a execução de testes wireless e físicos, atividades manuais que também exigem profissionais experientes e com alto nível de expertise.

Red Team – remoto

Realizado apenas remotamente, exige profissionais experientes e com um alto nível de conhecimento. Além de incluir as atividades de pentests e standard e advanced, também foca na obtenção de informações adicionais por diferentes meios.

Qual é o melhor teste de invasão para você?

Os testes de invasão são medidas proativas que servem para validar a eficácia de seus controles de segurança contra os métodos triviais ou avançados utilizados pelos cibercriminosos. Pensando nisso, a IBLISS desenvolveu um quiz para tirar suas dúvidas sobre qual é a modalidade de teste de invasão que mais se adequa às suas necessidades. Responda as perguntas do teste que fizemos, confira o resultado e entre em contato conosco para pedir um diagnóstico do seu ambiente:

Principais vantagens de um teste de invasão

Um teste de invasão permite determinar o nível de exposição do ambiente tecnológico, descobrir possíveis fraudes e prevenir ameaças cibernéticas antes que elas possam causar danos ao negócio.

De maneira mais específica, os testes de invasão são importantes, pois ajudam a determinar a viabilidade de um determinado conjunto de vetores de ataque contra determinados alvos e a identificar vulnerabilidades de alto risco ao negócio. Especialmente aquelas que resultam da combinação de vulnerabilidades de baixo risco exploradas em uma sequência particular – algo que as ferramentas de varredura de vulnerabilidades dificilmente são capazes de identificar.

Ao testar as capacidades da empresa de detectar e responder a ataques, os testes de invasão também podem avaliar a magnitude de potenciais impactos ao negócio no caso de ataques bem-sucedidos. Os resultados podem servir como evidência para obter suporte, junto ao C-Level, aos investidores, aos clientes e também para priorizar investimentos em segurança, incluindo a contratação de funcionários, empresas fornecedoras e tecnologias.

Os testes de invasão também são ferramentas essenciais para atender requisitos de padrões da indústria como o PCI-DSS, ISO/IEC 27001 e vários outros que exigem conformidade de acordo com o mercado em que a empresa atua.

A definição do escopo e da natureza do teste de invasão depende amplamente das necessidades da empresa, que vão determinar os objetivos do pentest.

Conheça os diferentes tipos de testes de invasão

Independente da natureza do pentest, seu principal objetivo é obter acesso restrito ou irrestrito a sistemas de informação.

Por sistema de informação entendemos o ambiente de TI, servidores, estações, documentos e informações confidenciais, caixas de e-mail e aplicações web.

Saiba mais sobre os possíveis alvos de um teste de invasão e as principais metodologias de teste no infográfico completo Hacker as a Service: Modalidades de testes

HAAS IBLISS - Hacker as a Service - Teste de Invasão - o que e como testar

Entenda as metodologias

Nos testes de invasão podem ser adotadas uma de três abordagens diferentes: Blackbox, GreyBox e WhiteBox. Conheça cada uma delas:

Blackbox

A principal característica desta abordagem é ser um teste cego, em que não há necessidade de contar com conhecimento prévio do ambiente de TI ou credenciais de acesso a sistemas e aplicações. A empresa contratante apenas precisa fornecedor o domínio a ser avaliado ou o acesso a um ponto da rede.

Como simula uma situação real, em que um invasor realiza ataques sem contar com nenhuma facilidade de acesso, é a abordagem mais requisitada.

GreyBox

Na abordagem GreyBox, a empresa fornece aos analistas de teste apenas as credenciais de um operador ou um terceiro. Com isso, o teste será executado para descobrir o que aquele perfil de usuário pode acessar dentro da empresa.

O GreyBox serve, principalmente, para identificar inconsistências nas permissões de acesso do usuário, mas também se aplica a testes de aplicação web, em que o objetivo é identificar se as permissões de acesso e autorização de transações estão em conformidade com a especificação ou a necessidade do negócio.

WhiteBox

Na abordagem WhiteBox, a equipe de pentests tem todas as informações sobre a topologia de rede e também conta com credenciais de acesso a sistemas e aplicações para avaliar as vulnerabilidades em todo o ambiente tecnológico.

Essa abordagem serve para executar testes mais extensivos e com resultados mais abrangentes que os anteriores. No caso das aplicações web, o teste seria realizado com base no código-fonte da aplicação.

O que testar?

Existem várias modalidades de Pentest que usam de maneira diferente alguma das três abordagens de execução (BlackBox, GreyBox e WhiteBox). Que tipo de teste você precisa para o seu negócio?

Depois de entender a importância de contar com testes de invasão e os diferentes modos pelos quais podem ser executados, é preciso avaliar o que você precisa testar.

Na primeira edição do Relatório de Ameaças, publicada em 2016 pela IBLISS Digital Security, a empresa encontrou quase 18.500 vulnerabilidades em um estudo que envolveu dados de mais de 70 organizações de diversos setores da indústria (cartões, esportes, e-commerce, finanças, indústria, internet, logística, seguros, tecnologia, telecomunicações e varejo).

Um dos dados notáveis foi a constatação de que 95% das brechas de segurança identificadas correspondem a vulnerabilidades de infraestrutura, enquanto apenas 5% respondiam pelas vulnerabilidades de aplicação. Isso acontece porque a quantidade de IPs analisados nas empresas brasileiras geralmente é muito maior do que a quantidade de aplicações analisadas. Isso se deve a um foco do mercado nacional em testes de infraestrutura em detrimento dos testes de aplicações web.

Como escolher um fornecedor de testes de invasão

Os testes de invasão são uma parte importante do fortalecimento e da manutenção da rede. No entanto, contratar esse serviço não é tarefa fácil, mesmo depois de entender melhor sua importância, seu processo de execução e as áreas em que focar. Os pentests envolvem dar aos analistas de teste autorização para testar e verificar sistemas, redes e aplicações da empresa, o que pode gerar certa desconfiança.

De fato, os fornecedores de serviços de teste de invasão no mercado podem variar desde as organizações mais prestativas e com alto nível de expertise até prestadores irresponsáveis e negligentes. Por isso, é importante estar atento a uma série de fatores ao sair em busca de um fornecedor.

Confira a seguir os principais fatores para analisar antes de contratar um fornecedor de pentests:

1. Busque boas habilidades de comunicação

Os melhores serviços de pentest contam com profissionais com alto nível de expertise e conhecimento do negócio, permitindo que eles possam facilmente variar de uma linguagem profundamente técnica até conceitos de alto nível, dependendo da audiência. Afinal, os resultados dos testes de invasão só são úteis se a empresa puder tomar as medidas cabíveis para melhorar sua estratégia, e uma comunicação clara dos resultados é uma das habilidades mais importantes para isso.

Profissionais com um alto nível de capacidade técnica e a habilidade de converter resultados de maneira não técnica para que o time de gestão possa entender são bem mais úteis do que contar apenas com relatórios cheios de métricas incompreensíveis, em que os líderes do negócio dificilmente vão conseguir enxergar quais são os maiores riscos à empresa.

2. Dê valor a empresas que contam com uma metodologia transparente

O mais importante em um teste de invasão não são as tecnologias usadas, mas a metodologia e o nível de expertise da equipe. Diferente de uma análise de vulnerabilidades, em que as máquinas fazem a maior parte do trabalho, em um teste de invasão, é o analista que fará o mais importante, que é pensar como um hacker.

Isso, no entanto, não significa que o processo não siga uma série de procedimentos e padrões. É preciso entender claramente todas as etapas de contratação, execução e entrega do trabalho. Portanto, é importante sempre buscar fornecedores que entreguem relatórios com informações claras das vulnerabilidades identificadas, mostrando como recriar o problema e apresentando recomendações de como mitigar o risco associado a ele.

3. Fique atento à comunidade de segurança da informação

É em eventos como conferências hackers que os melhores profissionais se reúnem para discutir as últimas grandes violações de dados e as ameaças em ascensão. Envolver-se nesse cenário é importante antes de começar a buscar uma empresa fornecedora de testes de invasão.

Eventos locais de segurança da informação e notícias de organizações como a OWASP são importantes para ganhar insights dos principais profissionais e fornecedores de serviços desse tipo.

4. Pesquise sobre a reputação dos fornecedores

Permitir que uma empresa invada seus sistemas pode parecer algo extremamente perigoso, por isso, reputação é tudo. As conferências de segurança da informação são a melhor oportunidade de pesquisar isso. Os melhores fornecedores dificilmente aparecem “do nada”, e a empresa ou seus profissionais certamente já têm alguma reputação no mercado.

É importante checar se a empresa fornecedora está envolvida na comunidade de segurança da informação, se já participou de conferências importantes no Brasil e no mundo, se contribui para projetos do tipo open source, se seus profissionais escrevem sobre segurança em blogs e se publica vulnerabilidades de maneira responsável.

5. Estude as experiências do fornecedor

Experiência é essencial na execução de pentests. Ninguém vai sugerir que você contrate alguém que acabou de sair da faculdade para invadir sua empresa. Além de experiência técnica, é importante que os profissionais tenham experiências administrativas em seu passado.

A partir do momento em que é dada permissão para dar início ao trabalho de pentest, ninguém da empresa deve precisar ficar dando ideias para os profissionais do que tentar em seguida. Portanto, é essencial que a equipe tenha experiência e um alto nível de conhecimento técnico.

6. Conheça as capacidades técnicas

Treinamento extensivo e experiência são fatores importantes que a maioria dos bons fornecedores de pentests tem em comum. Portanto, a empresa escolhida para executar testes de invasão deve ter algumas certificações importantes que garantem treinamento e experiência, como CISSP, CEH, OSCP, entre outras.

Outras credenciais adicionais incluem a experiência da empresa em áreas específicas, como redes, gestão de sistemas ou desenvolvimento de aplicações.

7. Atente-se à precificação

Você deve obter cotações e recomendações de pelo menos três fornecedores de testes de invasão, com informações completas sobre seus serviços. Isso vai ajudá-lo a determinar se o preço do pacote de entregas oferecido trará um retorno de investimento aceitável.

Nem todas as empresas de testes de invasão são iguais em termos de serviço ou certificações, portanto, optar pela que tem o menor preço não vai agregar nada ao seu negócio além de profissionais inexperientes e entregas de baixa qualidade.

Perguntas a fazer para um possível fornecedor

Confira algumas perguntas importantes para facilitar seu processo de escolha:

  • Com quantos profissionais conta a equipe de testes de invasão? Quais são suas qualificações?
  • Que tipo de assistência você pode oferecer na definição do escopo dos testes?
  • Quais são as modalidades de teste oferecidas pela empresa? Existem as opções de testes engenharia social?
  • Como é realizado o pentest? E em quanto tempo?
  • Quais são os passos para minimizar possíveis efeitos no negócio?
  • Haverá relatórios e recomendações depois do teste? Como esses dados serão entregues?

Conheça os diferenciais da IBLISS

Os testes de invasão da IBLISS são executados manualmente por uma equipe de profissionais com alto nível de expertise que se mantém atualizada de todas as metodologias e usa como referência padrões de mercado, como NIST SP, 800-115, OWASP, OSSTM e ISSAF.

Os resultados são entregues no GAT, primeira plataforma SOAR do Brasil, que mantém à disposição da equipe o detalhamento técnico de cada vulnerabilidade, recomendações específicas para a correção, suporte e indicadores para acompanhar o processo de remediação das falhas encontradas.

Com isso, é possível determinar o nível de exposição de seu ambiente tecnológico, descobrir possibilidades de vazamento de informação e fraudes, e saber como se prevenir das ameaças cibernéticas antes que elas prejudiquem o negócio.

Saiba mais sobre como a IBLISS pode fazer a diferença nos seus testes de invasão. Saiba mais sobre o serviço de testes de invasão da IBLISS.

Como está a Segurança Digital da sua empresa?

Converse com nossos especialistas.