METODOLOGIAS DE TESTES DE INTRUSÃO (PENTEST)

3 de dezembro de 2019
Posted by: Alan Sanches
Category: Segurança Ofensiva

Com ataques cibernéticos de alto nível, incluindo ameaças persistentes avançadas (APT), ataques de Ransomware e ameaças internas dominando as manchetes das notícias, é altamente importante para as organizações identificar vulnerabilidades em potencial e manter sua postura de segurança, corrigindo-as. Teste de penetração ou também conhecido como teste de intrusão, desempenha um papel fundamental na identificação, compreensão e retificação das vulnerabilidades em recursos / aplicativos de computação organizacional antes que um ciberataque em potencial encontre e utilize a oportunidade.

O Teste de penetração/intrusão (Pentest) é o processo de identificação de vulnerabilidades de segurança em aplicativos e dispositivos de infraestrutura interna e ou externa, avaliando o sistema ou a rede com vários metodologias de mercado.

O objetivo final deste teste é proteger informações críticas de pessoas não autorizadas que tentam continuamente obter acesso mal restrito ao sistema. Uma vez identificadas, as vulnerabilidades podem ser exploradas para obter acesso a informações confidenciais.

Os problemas de segurança descobertos por meio de um teste de intrusão ideal são apresentados ao proprietário do sistema com uma avaliação precisa do impacto potencial que ela tem sobre toda a organização. Um pentest eficiente ajuda a encontrar as falhas nas soluções de segurança que uma organização está confiando naquele momento, encontrando vários vetores de ataques e baseando-se em configurações incorretas. Também ajuda a priorizar o risco, corrigi-lo e melhorar o tempo geral de resposta a incidentes de segurança.

O que é metodologia e onde ela pode me ajudar em um pentest?

A metodologia consiste em uma meditação em relação aos métodos lógicos e científicos. Inicialmente, a metodologia era descrita como parte integrante da lógica que se focava nas diversas modalidades de pensamento e a sua aplicação. Posteriormente, a noção que a metodologia era algo exclusivo do campo da lógica foi abandonada, uma vez que os métodos podem ser aplicados a várias áreas do saber.

Em um pentest, podemos utilizar diversas metologias de mercado, que já foram aplicadas, testadas e retestadas em centenas de empresas pelo mundo e então, consolidadas em uma espécie de script para o pentester.

Nesse aspecto, é de extrema importância que o pentester não fique preso exclusivamente na metodologia, mas que a utilize apenas como referência e base de checagem durante um projeto.

Principais metodologias de mercado

Teste de Intrusão: PTES – Penetration Testing Execution Standard

O padrão de execução PTES consiste em sete (7) seções principais. Eles abrangem tudo relacionado a um pentest – desde a comunicação inicial e o raciocínio por trás de um teste, até as fases de coleta de inteligência e modelagem de ameaças, nas quais os testadores estão trabalhando nos bastidores para entender melhor a organização testada, através da pesquisa de vulnerabilidades, exploração e pós-exploração, onde os conhecimentos técnicos de segurança dos testadores passam a ser combinados com o entendimento comercial do trabalho e, finalmente, com os relatórios, que capturam todo o processo, de uma maneira que faça sentido para o cliente e forneça o mais valor para isso.

Este é o principal padrão adotado pela eSecurity em seus testes de intrusão

Mais informações: http://www.pentest-standard.org/index.php/Main_Page

Teste de Intrusão: OSSTMM – Open Source Security Testing Methodology Manual

O Manual de Metodologia de Teste de Segurança de Código Aberto (OSSTMM) é revisado por pares e mantido pelo Instituto de Segurança e Metodologias Abertas (ISECOM).

Foi desenvolvido principalmente como uma metodologia de auditoria de segurança, avaliando os requisitos regulamentares e do setor. Não é para ser usado como uma metodologia autônoma, mas para servir como base para o desenvolvimento de uma metodologia adaptada às regulamentações e estruturas necessárias.

Mais informações: https://www.isecom.org/OSSTMM.3.pdf

Teste de Intrusão WEB: OWASP top 10 – Open Web Application Security Project

OWASP é uma comunidade online que produz artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicativos web.

OWASP Top 10 é a lista das 10 vulnerabilidades de aplicativos mais vistas. Também mostra seus riscos, impactos e contramedidas. Atualizada a cada três ou quatro anos, a versão mais recente foi atualizada em 2017

Mais informações: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Teste de Intrusão WEB: NIST 800-115 – National Institute of Standards and Technology

Desenvolvido pelo National Institute of Standards and Technology dos EUA, este guia envolve aspectos técnicos da realização de pentest. Apresentando recomendações práticas e procedimentos para execução de análise de vulnerabilidades em aplicações e redes, auditoria de conformidade, entre outros serviços. É utilizado como referência para ações preventivas de segurança, permitindo a identificação e a mitigação de vulnerabilidades

Mais informações: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf

Author: Alan Sanches

é especialista em Segurança da Informação e possui mais de 22 anos de experiência na área de Infraestrutura de TI e Segurança Cibernética. Ministra treinamentos e palestras sobre Segurança Ofensiva, Defensiva, Ética Hacker e Técnicas de Intrusão nos maiores eventos de Tecnologia do Brasil como: Campus Party, LatinoWare, FLISOL, RoadSec, Hacking Day, FISL e Mind the Sec. É Tecnólogo em Redes de Computadores e possui 3 Pós-Graduações, em Inteligência Estratégica, Master Business Information Security e Neurociência & Comportamento Humano. Atualmente ministra treinamentos de Técnicas de Intrusão e Defesa Cibernética para a Polícia Civil do estado de São Paulo, treina equipes do Exército, Divisão de Inteligência da Marinha e ABIN. Possui as seguintes certificações: ISO 27002 / Microsoft MCSA / LPI-3 / Certified Ethical Hacker (CEH)