Tudo o que você precisa saber sobre testes de invasão

As empresas hoje enfrentam uma série de desafios em relação à segurança de seus dados, incluindo o aumento da sofisticação das ameaças e da superfície de ataque – o que só torna os testes de invasão ainda mais essenciais.

Os testes de invasão (ou pentests) são importantes ferramentas para validar a estratégia de segurança da informação em sua empresa e prepará-la para enfrentar os desafios cibernéticos do mundo real.

Neste Guia sobre Testes de Invasão reunimos informações que vão ajudar a escolher o melhor serviço de pentest para sua empresa. Então siga na leitura e descubra como isso pode garantir a continuidade e a rentabilidade do negócio.

O que são os testes de invasão (ou pentests)?

Pentests envolvem o uso de ferramentas automatizadas e processos manuais em uma tentativa de encontrar e explorar vulnerabilidades nos sistemas de uma organização, simulando possíveis ataques do mundo real.

A empresa fornecedora de pentests vai adotar o papel de um hacker para descobrir formas de invadir a rede de sua empresa ou tentar violar seu (s) aplicativo (s). Se a busca  for bem-sucedida, o hacker do bem informará os pontos falhos existentes que podem comprometer sua segurança e oferecerá soluções para impedir que um ataque real ocorra.

Como resultado, sua empresa saberá com precisão como seus sistemas estão seguros no momento do teste, permitindo adaptações de acordo com a situação.

Um teste de invasão lhe dará um resumo das vulnerabilidades encontradas em sua rede, juntamente com conselhos relevantes de correção.

É recomendável que sua empresa realize pentests pelo menos uma vez por ano, pois as ameaças à segurança cibernética estão sempre evoluindo.

Hackers estão sempre encontrando novas maneiras de violar um perímetro de rede ou aplicativo e você precisa atualizar constantemente as defesas em sua empresa. Um bom fornecedor de testes de invasão está permanentemente atualizado sobre todas as vulnerabilidades e novas técnicas exploradas pelos hackers assim que forem conhecidas pelo setor.

Fases de um pentest

O pentest pode ser dividido em várias fases – isso pode variar de acordo com a organização e do tipo de teste realizado (interno ou externo). Entenda cada uma delas a seguir:

1) Fase de acordo

Nesta primeira fase, existe um acordo mútuo entre as partes: ele abrange detalhes de alto nível – métodos seguidos e os níveis de exploração.

O pentester não pode desativar o servidor de produção, mesmo que o teste tenha sido feito fora do horário de pico. Tampouco poderá alterar as informações contidas no banco de dados. Por isso um contrato de confidencialidade deve ser assinado entre as partes antes do início do teste.

2) Planejamento e reconhecimento

Nesta etapa, o pentester reúne o máximo possível de informações sobre o alvo. As informações podem ser:

  • Endereços IP;
  • Verificação do uso de VPN (Virtual Private Network);
  • Coleta de endereços dos servidores DNS (Domain Name Service);
  • Detalhes de domínio;
  • Servidores de e-mail;
  • Topologia de rede, entre outros.

Em uma situação real, um hacker experiente passa a maior parte do tempo nesta etapa, pois isso dará suporte às outras fases do ataque.

3) Digitalização

Este é o momento em que o pentester interage com o alvo, buscando identificar as vulnerabilidades.

Um pentester fará testes de invasão e registrará a resposta do alvo em várias entradas. Essa fase inclui a varredura da rede através de ferramentas, identificação de unidades de compartilhamento abertas, portais FTP abertos, serviços em execução e muito mais.

No caso de um aplicativo da Web, a parte de digitalização pode ser dinâmica ou estática. Na varredura estática, o código do aplicativo é varrido por um YTool ou por um analista de vulnerabilidade de aplicativo especialista.

O objetivo é identificar as funções vulneráveis, bibliotecas e lógica implementadas. Na análise dinâmica, o pentester passará várias entradas para o aplicativo e registrará as respostas; várias vulnerabilidades, como injeção, script entre sites e execução remota de código podem ser identificadas nessa fase.

4) Acesso

Depois que as vulnerabilidades são identificadas, a próxima etapa é explorar as vulnerabilidades com o objetivo de obter acesso ao destino. O destino pode ser um sistema, firewall, zona segura ou servidor.

5) Manutenção do acesso

O próximo passo é garantir que o acesso seja mantido, mesmo se o sistema for reinicializado, redefinido ou modificado.

Esse tipo de estratégia é usada por hackers que vivem no sistema e adquirem conhecimento sobre eles durante um período de tempo, explorando o ambiente sempre que podem – e causando diversos danos à organização.

6) Exploração

Esta é a fase em que o dano real é feito, mas sempre com total domínio sobre a ocorrência para evitar problemas reais ao ambiente. Um pentester tentará violar os dados, comprometer o sistema, iniciar ataques, entre outros.

Como já foi dito, essa fase é controlada em testes de invasão, para impedir que haja um caos na rede.

7) Recolha de provas e geração de relatórios

Uma vez concluído o teste de invasão, o objetivo final é coletar as evidências das vulnerabilidades exploradas e reportá-las à gerência executiva para revisão e ação.

Agora a empresa deve decidir como esse risco tem que ser resolvido: ele pode ser aceito, transferido ou ignorado (opção menos provável).

Benefícios dos testes de invasão para a sua empresa

No caso das auditorias de segurança e compliance, os testes de invasão se diferenciam principalmente porque são realizados para responder à pergunta: “Qual é a efetividade dos meus controles de segurança da informação no mundo real contra um hacker dotado de altos níveis de conhecimento e motivação? ”.

Já as auditorias apenas checam a existência de controles e suas configurações ou sua ausência. Uma empresa 100% adequada às exigências dos padrões da indústria e da legislação ainda pode estar vulnerável diante de um cibercriminoso altamente motivado e capaz de provocar estragos.

Além disso, um teste de invasão permite checar múltiplos vetores de ataque contra um mesmo alvo, pois é a combinação de informações ou vulnerabilidades em diferentes sistemas que permite ao hacker ser bem-sucedido.

Para facilitar a compreensão, listamos a seguir os principais tipos de testes de invasão para saber mais sobre os testes realizados pela IBLISS acesse a página Hacker as a Service.

Principais modalidades dos testes de segurança

Análise de Vulnerabilidades

Avaliação de todos os ativos da organização, classificando-os de acordo com seu valor e potencial impacto para o negócio, bem como identificando vulnerabilidades associadas a cada um. Como não inclui atividades manuais, exigem um nível médio de habilidade.

Teste de Invasão Compliance PCI-DSS

Teste focado na identificação e validação de todas as vulnerabilidades dentro do escopo do PCI-DSS. Além do escaneamento e da validação de vulnerabilidades, inclui análises manuais, que exigem um alto nível de habilidade.

Teste de Invasão Standard

Serviço com um objetivo específico e com foco na modelagem de ameaças. Além de incluir análises manuais para identificar vulnerabilidades, inclui ainda a exploração das falhas para avaliar sua extensão, também exigindo um alto nível de habilidade.

Teste de Invasão Advanced

Além de identificar e explorar falhas de segurança, inclui atividades para testar aspectos relacionados à conscientização do usuário interno, como phishing e engenharia social (por telefone), tarefas manuais que também exigem um alto nível de expertise.

Red Team – in loco

Realizado apenas localmente, tem como foco a modelagem de ameaças e além das atividades inclusas na versão remota inclui a execução de testes wireless e físicos, atividades manuais que também exigem profissionais experientes e com alto nível de expertise.

Red Team – remoto

Realizado apenas remotamente, exige profissionais experientes e com um alto nível de conhecimento. Além de incluir as atividades de pentests e standard e advanced, também foca na obtenção de informações adicionais por diferentes meios.

Qual é o melhor teste de invasão para a sua empresa?

Os testes de invasão são medidas proativas que servem para validar a eficácia de seus controles de segurança contra os métodos triviais ou avançados utilizados pelos cibercriminosos.

Pensando nisso, a IBLISS desenvolveu um quiz para tirar suas dúvidas sobre qual é a modalidade de teste de invasão que mais se adequa às suas necessidades.

Responda as perguntas do teste que fizemos, confira o resultado e entre em contato conosco para pedir um diagnóstico do seu ambiente:

Entra código quiz teste de invasão

Principais vantagens de um teste de invasão

Testes de invasão permitem determinar o nível de exposição do ambiente tecnológico, descobrir possíveis fraudes e prevenir ameaças cibernéticas antes que elas possam causar danos ao negócio.

De maneira mais específica, os testes de invasão são importantes porque ajudam a determinar a viabilidade de um determinado conjunto de vetores de ataque contra determinados alvos e a identificar vulnerabilidades de alto risco ao negócio. Especialmente aquelas que resultam da combinação de vulnerabilidades de baixo risco exploradas em uma sequência particular – algo que as ferramentas de varredura de vulnerabilidades dificilmente são capazes de identificar.

Ao testar as capacidades da empresa de detectar e responder a ataques, os testes de invasão também podem avaliar a magnitude de potenciais impactos ao negócio no caso de ataques bem-sucedidos. Os resultados podem servir como evidência para obter suporte, junto ao C-Level, aos investidores, aos clientes e também para priorizar investimentos em segurança, incluindo a contratação de funcionários, empresas fornecedoras e tecnologias.

Os testes de invasão também são ferramentas essenciais para atender requisitos de padrões da indústria como o PCI-DSS, ISO/IEC 27001 e vários outros que exigem conformidade de acordo com o mercado em que a empresa atua.

A definição do escopo e da natureza do teste de invasão depende amplamente das necessidades da empresa, que vão determinar os objetivos do pentest.

Conheça os diferentes tipos de testes de invasão

Independente da natureza do pentest, seu principal objetivo é obter acesso restrito ou irrestrito a sistemas de informação.

Por sistema de informação entendemos o ambiente de TI, servidores, estações, documentos e informações confidenciais, caixas de e-mail e aplicações web.

Saiba mais sobre os possíveis alvos de um teste de invasão e as principais metodologias de teste acessando nosso infográfico completo: Hacker as a Service: Modalidades de testes.

Conheça o infográfico completo sobre testes de invasão no site da IBLISS

Entenda as metodologias

Os testes de invasão podem adotar uma entre três abordagens diferentes: Blackbox, GreyBox e WhiteBox. Conheça cada uma delas:

Blackbox

A principal característica desta abordagem é ser um teste cego, em que não há necessidade de contar com conhecimento prévio do ambiente de TI ou credenciais de acesso a sistemas e aplicações. A empresa contratante apenas precisa fornecedor o domínio a ser avaliado ou o acesso a um ponto da rede.

Como simula uma situação real, em que um pentester realiza ataques sem contar com nenhuma facilidade de acesso, é a abordagem mais requisitada.

GreyBox

Na abordagem GreyBox, a empresa fornece aos analistas de teste apenas as credenciais de um operador ou um terceiro. Com isso, o teste será executado para descobrir o que aquele perfil de usuário pode acessar dentro da empresa.

O GreyBox serve, principalmente, para identificar inconsistências nas permissões de acesso do usuário, mas também se aplica a testes de aplicação web, em que o objetivo é identificar se as permissões de acesso e autorização de transações estão em conformidade com a especificação ou a necessidade do negócio.

WhiteBox

Na abordagem WhiteBox, a equipe de pentests tem todas as informações sobre a topologia de rede e também conta com credenciais de acesso a sistemas e aplicações para avaliar as vulnerabilidades em todo o ambiente tecnológico.

Essa abordagem serve para executar testes mais extensivos e com resultados mais abrangentes que os anteriores. No caso das aplicações web, o teste seria realizado com base no código-fonte da aplicação.

O que testar?

Depois de entender a importância de contar com testes de invasão e os diferentes modos pelos quais podem ser executados é preciso avaliar o que você precisa testar em sua empresa.

Na primeira edição do Relatório de Ameaças, publicada em 2016 pela IBLISS Digital Security, a empresa encontrou quase 18.500 vulnerabilidades em um estudo que envolveu dados de mais de 70 organizações de diversos setores da indústria (cartões, esportes, e-commerce, finanças, indústria, internet, logística, seguros, tecnologia, telecomunicações e varejo).

Um dos dados notáveis foi a constatação de que 95% das brechas de segurança identificadas correspondem a vulnerabilidades de infraestrutura, enquanto apenas 5% respondiam pelas vulnerabilidades de aplicação.

Isso acontece porque a quantidade de IPs analisados nas empresas brasileiras geralmente é muito maior do que a quantidade de aplicações analisadas. Isso se deve a um foco do mercado nacional em testes de infraestrutura em detrimento dos testes de aplicações web.

Como escolher um fornecedor de testes de invasão?

Os testes de invasão são uma parte importante do fortalecimento e da manutenção da rede. No entanto, contratar esse serviço não é tarefa fácil, mesmo depois de entender melhor sua importância, seu processo de execução e as áreas em que focar.

Os pentests envolvem dar aos analistas de teste autorização para testar e verificar sistemas, redes e aplicações da empresa, o que pode gerar certa desconfiança.

De fato, os fornecedores de serviços de teste de invasão no mercado podem variar desde as organizações mais prestativas e com alto nível de expertise até prestadores irresponsáveis e negligentes. Por isso, é importante estar atento a uma série de fatores ao sair em busca de um fornecedor.

Confira a seguir os principais fatores para analisar antes de contratar um fornecedor de pentests:

1) Busque boas habilidades de comunicação

Os melhores serviços de pentest contam com profissionais com alto nível de expertise e conhecimento do negócio, permitindo que eles possam facilmente variar de uma linguagem profundamente técnica até conceitos de alto nível, dependendo da audiência.

Afinal, os resultados dos testes de invasão só são úteis se a empresa puder tomar as medidas cabíveis para melhorar sua estratégia, e uma comunicação clara dos resultados é uma das habilidades mais importantes para isso.

Profissionais com um alto nível de capacidade técnica e a habilidade de converter resultados de maneira não técnica para que o time de gestão possa entender são bem mais úteis do que contar apenas com relatórios cheios de métricas incompreensíveis, em que os líderes do negócio dificilmente vão conseguir enxergar quais são os maiores riscos à empresa.

2) Dê valor a empresas que contam com uma metodologia transparente

O mais importante em um teste de invasão não são as tecnologias usadas, mas a metodologia e o nível de expertise da equipe.

Diferente de uma análise de vulnerabilidades, em que as máquinas fazem a maior parte do trabalho, em um teste de invasão, é o analista que fará o mais importante: pensar como um hacker.

Isso, no entanto, não significa que o processo não siga uma série de procedimentos e padrões. É preciso entender claramente todas as etapas de contratação, execução e entrega do trabalho. Portanto, é importante sempre buscar fornecedores que entreguem relatórios com informações claras das vulnerabilidades identificadas, mostrando como recriar o problema e apresentando recomendações de como mitigar o risco associado a ele.

3) Fique atento à comunidade de segurança da informação

É em eventos como conferências hackers que os melhores profissionais se reúnem para discutir as últimas grandes violações de dados e as ameaças em ascensão.

Envolver-se nesse cenário é importante antes de começar a buscar uma empresa fornecedora de testes de invasão.

Eventos locais de segurança da informação e notícias de organizações como a OWASP são importantes para obter insights dos principais profissionais e fornecedores de serviços desse tipo.

4) Pesquise sobre a reputação dos fornecedores

Permitir que uma empresa invada seus sistemas pode parecer algo extremamente perigoso, por isso, reputação é tudo.

As conferências de segurança da informação são a melhor oportunidade de pesquisar isso. Os melhores fornecedores dificilmente aparecem “do nada” – a empresa ou seus profissionais certamente já têm alguma reputação no mercado.

É importante checar se a empresa fornecedora está envolvida na comunidade de segurança da informação, se já participou de conferências importantes no Brasil e no mundo, se contribui para projetos do tipo open source, se seus profissionais escrevem sobre segurança em blogs e se publica vulnerabilidades de maneira responsável.

5) Estude as experiências do fornecedor

Experiência é essencial na execução de pentests. Ninguém vai sugerir que sua empresa contrate alguém que acabou de sair da faculdade para invadir sua empresa. Além de experiência técnica, é importante que os profissionais tenham experiências administrativas em seu passado.

A partir do momento em que é dada permissão para dar início ao trabalho de pentest, ninguém da empresa deve precisar ficar dando insights para os profissionais sobre o que devem tentar em seguida. Portanto, é essencial que a equipe tenha experiência e um alto nível de conhecimento técnico.

6) Conheça as capacidades técnicas

Treinamento extensivo e experiência são fatores importantes que a maioria dos bons fornecedores de pentests tem em comum. Portanto, a empresa escolhida para executar testes de invasão deve ter algumas certificações importantes que garantem treinamento e experiência, como CISSP, CEH, OSCP, entre outras.

Outras credenciais adicionais incluem a experiência da empresa em áreas específicas, como redes, gestão de sistemas ou desenvolvimento de aplicações.

7) Atente-se à precificação

Você deve obter cotações e recomendações de pelo menos três fornecedores de testes de invasão, com informações completas sobre seus serviços. Isso vai ajudá-lo a determinar se o preço do pacote de entregas oferecido trará um retorno de investimento aceitável.

Nem todas as empresas de testes de invasão são iguais em termos de serviço ou certificações, portanto, optar pela que tem o menor preço não vai agregar nada ao seu negócio além de profissionais inexperientes e entregas de baixa qualidade.

Perguntas a fazer para um possível fornecedor

Confira algumas perguntas importantes para facilitar seu processo de escolha:

  • Com quantos profissionais conta a equipe de testes de invasão? Quais são suas qualificações?
  • Que tipo de assistência você pode oferecer na definição do escopo dos testes?
  • Quais são as modalidades de teste oferecidas pela empresa? Existem as opções de testes engenharia social?
  • Como é realizado o pentest? E em quanto tempo?
  • Quais são os passos para minimizar possíveis efeitos no negócio?
  • Haverá relatórios e recomendações depois do teste? Como esses dados serão entregues?

Descubra os diferenciais da IBLISS

Os testes de invasão da IBLISS são executados manualmente por uma equipe de profissionais com alto nível de expertise que se mantém atualizada de todas as metodologias e usa como referência padrões de mercado, como NIST SP, 800-115, OWASP, OSSTM e ISSAF.

Os resultados são entregues no GAT, primeira plataforma SOAR do Brasil, que mantém à disposição da equipe o detalhamento técnico de cada vulnerabilidade, recomendações específicas para a correção, suporte e indicadores para acompanhar o processo de remediação das falhas encontradas.

Com isso, é possível determinar o nível de exposição de seu ambiente tecnológico, descobrir possibilidades de vazamento de informação e fraudes, e saber como se prevenir das ameaças cibernéticas antes que elas prejudiquem o negócio.

Conheça a opinião de quem viu os resultados da IBLISS na prática:

“A IBLISS faz um trabalho bastante direcionado e focado na área de testes de invasão, com uma apresentação de resultados que nos ajudou a atuar, no sentido de resolver o que estava exposto.

A empresa conta com profissionais bastante gabaritados. São pessoas que realmente entendem o que estão fazendo. Por isso, foi um trabalho interessante e com resultado bastante produtivo.”

Eber Duarte

Head de IT e Infraestrutura da Catho

“Tínhamos em nossa equipe um profissional que havia trabalhado com a venda de softwares e, quando citamos a IBLISS, ele atestou que se tratava de uma empresa respeitada e conhecida no mercado.

Além disso, quando contamos ao nosso cliente que havíamos escolhido a IBLISS como fornecedora de pentests, ele ficou muito confortável.

O serviço foi ótimo, pois nos relacionamos com gente tecnicamente bem capacitada e, como também somos muito técnicos, a conversa fluiu bem.

A equipe da IBLISS mostrou que entende muito do assunto, que conta com um alto nível de expertise e conhece bem a área de segurança.”

Rafael Martinelli

Redspark´s CEO

Entenda como a IBLISS pode fazer a diferença através de testes de invasão altamente eficazes: fale com nossos especialistas e solicite uma demonstração sem custos.

Como está a Segurança Digital da sua empresa?

Converse com nossos especialistas.