Estratégia em Segurança

Guia dos testes de intrusão

As empresas hoje enfrentam uma série de desafios em relação à segurança de seus dados, incluindo o aumento da sofisticação das ameaças e da superfície de ataque. Diante deste cenário, cada vez mais organizações estão investindo na segurança da informação para garantir a continuidade e a rentabilidade do negócio. Os testes de intrusão – ou pentests – são importantes ferramentas para validar essa estratégia de segurança no mundo real.

No caso das auditorias de segurança e compliance, os testes de intrusão se diferenciam principalmente porque foram feitos para responder a pergunta: “Qual é a efetividade dos meus controles de segurança da informação no mundo real contra um hacker dotado de altos níveis de conhecimento e motivação?”. Enquanto as auditorias apenas checam a existência de controles e suas configurações ou sua ausência. Uma empresa 100% adequada às exigências dos padrões da indústria e da legislação ainda pode estar vulnerável contra um humano altamente motivado.

Além disso, um teste de intrusão permite checar múltiplos vetores de ataque contra um mesmo alvo, pois é a combinação de informações ou vulnerabilidades em diferentes sistemas que permite ao hacker ser bem-sucedido.

Neste Guia do Teste de Intrusão reunimos informações que vão te ajudar a escolher o melhor serviço de pentest para o seu negócio.

Para evitar a confusão, podemos dividir os teste de intrusão em alguns tipos descritos abaixo. Para saber mais sobre os testes realizados pela IBLISS acesse a página Hacker as a Service.

Mas afinal, o que é e quais são as modalidades dos testes de segurança?

Análise de Vulnerabilidades

Avaliação de todos os ativos da organização, classificando-os de acordo com seu valor e potencial impacto para o negócio, bem como identificando vulnerabilidades associadas a cada um. Como não inclui atividades manuais, exigem um nível médio de habilidade.

Teste de Intrusão Compliance PCI-DSS

Teste focado na identificação e validação de todas as vulnerabilidades dentro do escopo do PCI-DSS. Além do escaneamento e da validação de vulnerabilidades, inclui análises manuais, que exigem um alto nível de habilidade.

Teste de Intrusão Standard

Serviço com um objetivo específico e com foco na modelagem de ameaças. Além de incluir análises manuais para identificar vulnerabilidades, inclui ainda a exploração das falhas para avaliar sua extensão, também exigindo um alto nível de habilidade.

Teste de Intrusão Advanced

Além de identificar e explorar falhas de segurança, inclui atividades para testar aspectos relacionados à conscientização do usuário interno, como phishing e engenharia social (por telefone), tarefas manuais que também exigem um alto nível de expertise.

Red Team – in loco

Realizado apenas localmente, tem como foco a modelagem de ameaças e além das atividades inclusas na versão remota inclui a execução de testes wireless e físicos, atividades manuais que também exigem profissionais experientes e com alto nível de expertise.

Red Team – remoto

Realizado apenas remotamente, exige profissionais experientes e com um alto nível de conhecimento. Além de incluir as atividades de pentests e standard e advanced, também foca na obtenção de informações adicionais por diferentes meios.

Principais vantagens de um teste de intrusão

Um teste de intrusão permite determinar o nível de exposição do ambiente tecnológico, descobrir possíveis fraudes e prevenir ameaças cibernéticas antes que elas possam causar danos ao negócio.

De maneira mais específica, estes testes são importantes, pois ajudam a determinar a viabilidade de um determinado conjunto de vetores de ataque contra determinados alvos e a identificar vulnerabilidades de alto risco ao negócio. Especialmente aquelas que resultam da combinação de vulnerabilidades de baixo risco exploradas em uma sequência particular – algo que as ferramentas de varredura de vulnerabilidades dificilmente são capazes de identificar.

Ao testar as capacidades da empresa de detectar e responder a ataques, os pentests também podem avaliar a magnitude de potenciais impactos ao negócio no caso de ataques bem-sucedidos. Os resultados podem servir como evidência para obter suporte, junto ao C-Level, aos investidores, aos clientes e também para priorizar investimentos em segurança, incluindo a contratação de funcionários, empresas fornecedoras e tecnologias.

Os testes de intrusão também são ferramentas essenciais para atender requisitos de padrões da indústria como o PCI-DSS, ISO/IEC 27001 e vários outros que exigem conformidade de acordo com o mercado em que a empresa atua.

A definição do escopo e da natureza do teste de intrusão depende amplamente das necessidades da empresa, que vão determinar os objetivos do pentest.

Conheça os diferentes tipos de testes de intrusão

Independente da natureza do pentest, seu principal objetivo é obter acesso restrito ou irrestrito a sistemas de informação.

Por sistema de informação entendemos o ambiente de TI, servidores, estações, documentos e informações confidenciais, caixas de e-mail e aplicações web.

Saiba mais sobre os possíveis alvos de um teste de intrusão e as principais metodologias de teste no infográfico completo Hacker as a Service: Modalidades de testes

Entenda as metodologias

Nos testes de intrusão podem ser adotadas uma de três abordagens diferentes: Blackbox, GreyBox e WhiteBox. Conheça cada uma delas:

Blackbox

A principal característica desta abordagem é ser um teste cego, em que não há necessidade de contar com conhecimento prévio do ambiente de TI ou credenciais de acesso a sistemas e aplicações. A empresa contratante apenas precisa fornecedor o domínio a ser avaliado ou o acesso a um ponto da rede.

Como simula uma situação real, em que um invasor realiza ataques sem contar com nenhuma facilidade de acesso, é a abordagem mais requisitada.

GreyBox

Na abordagem GreyBox, a empresa fornece aos analistas de teste apenas as credenciais de um operador ou um terceiro. Com isso, o teste será executado para descobrir o que aquele perfil de usuário pode acessar dentro da empresa.

O GreyBox serve, principalmente, para identificar inconsistências nas permissões de acesso do usuário, mas também se aplica a testes de aplicação web, em que o objetivo é identificar se as permissões de acesso e autorização de transações estão em conformidade com a especificação ou a necessidade do negócio.

WhiteBox

Na abordagem WhiteBox, a equipe de pentests tem todas as informações sobre a topologia de rede e também conta com credenciais de acesso a sistemas e aplicações para avaliar as vulnerabilidades em todo o ambiente tecnológico.

Essa abordagem serve para executar testes mais extensivos e com resultados mais abrangentes que os anteriores. No caso das aplicações web, o teste seria realizado com base no código-fonte da aplicação.

O que testar?

Existem várias modalidades de Pentest que usam de maneira diferente alguma das três abordagens de execução (BlackBox, GreyBox e WhiteBox). Que tipo de teste você precisa para o seu negócio?

Depois de entender a importância de contar com testes de intrusão e os diferentes modos pelos quais podem ser executados, é preciso avaliar o que você precisa testar.

Na primeira edição do Relatório de Ameaças, publicada em 2016 pela IBLISS Digital Security, a empresa encontrou quase 18.500 vulnerabilidades em um estudo que envolveu dados de mais de 70 organizações de diversos setores da indústria (cartões, esportes, e-commerce, finanças, indústria, internet, logística, seguros, tecnologia, telecomunicações e varejo).

Um dos dados notáveis foi a constatação de que 95% das brechas de segurança identificadas correspondem a vulnerabilidades de infraestrutura, enquanto apenas 5% respondiam pelas vulnerabilidades de aplicação. Isso acontece porque a quantidade de IPs analisados nas empresas brasileiras geralmente é muito maior do que a quantidade de aplicações analisadas. Isso se deve a um foco do mercado nacional em testes de infraestrutura em detrimento dos testes de aplicações web.

Como escolher um fornecedor de testes de intrusão

Os pentests são uma parte importante do fortalecimento e da manutenção da rede. No entanto, contratar esse serviço não é tarefa fácil, mesmo depois de entender melhor sua importância, seu processo de execução e as áreas em que focar. Os pentests envolvem dar aos analistas de teste autorização para testar e verificar sistemas, redes e aplicações da empresa, o que pode gerar certa desconfiança.

De fato, os fornecedores de serviços de teste de intrusão no mercado podem variar desde as organizações mais prestativas e com alto nível de expertise até prestadores irresponsáveis e negligentes. Por isso, é importante estar atento a uma série de fatores ao sair em busca de um fornecedor.

Confira a seguir os principais fatores para analisar antes de contratar um fornecedor de pentests:

1. Busque boas habilidades de comunicação

Os melhores serviços de pentest contam com profissionais com alto nível de expertise e conhecimento do negócio, permitindo que eles possam facilmente variar de uma linguagem profundamente técnica até conceitos de alto nível, dependendo da audiência. Afinal, os resultados dos pentests só são úteis se a empresa puder tomar as medidas cabíveis para melhorar sua estratégia, e uma comunicação clara dos resultados é uma das habilidades mais importantes para isso.

Profissionais com um alto nível de capacidade técnica e a habilidade de converter resultados de maneira não técnica para que o time de gestão possa entender são bem mais úteis do que contar apenas com relatórios cheios de métricas incompreensíveis, em que os líderes do negócio dificilmente vão conseguir enxergar quais são os maiores riscos à empresa.

2. Dê valor a empresas que contam com uma metodologia transparente

O mais importante em pentests não são as tecnologias usadas, mas a metodologia e o nível de expertise da equipe. Diferente de uma análise de vulnerabilidades, em que as máquinas fazem a maior parte do trabalho, em um teste de intrusão, é o analista que fará o mais importante, que é pensar como um hacker.

Isso, no entanto, não significa que o processo não siga uma série de procedimentos e padrões. É preciso entender claramente todas as etapas de contratação, execução e entrega do trabalho. Portanto, é importante sempre buscar fornecedores que entreguem relatórios com informações claras das vulnerabilidades identificadas, mostrando como recriar o problema e apresentando recomendações de como mitigar o risco associado a ele.

3. Fique atento à comunidade de segurança da informação

É em eventos como conferências hackers que os melhores profissionais se reúnem para discutir as últimas grandes violações de dados e as ameaças em ascensão. Envolver-se nesse cenário é importante antes de começar a buscar uma empresa fornecedora de testes de intrusão.

Eventos locais de segurança da informação e notícias de organizações como a OWASP são importantes para ganhar insights dos principais profissionais e fornecedores de serviços desse tipo.

4. Pesquise sobre a reputação dos fornecedores

Permitir que uma empresa invada seus sistemas pode parecer algo extremamente perigoso, por isso, reputação é tudo. As conferências de segurança da informação são a melhor oportunidade de pesquisar isso. Os melhores fornecedores dificilmente aparecem “do nada”, e a empresa ou seus profissionais certamente já têm alguma reputação no mercado.

É importante checar se a empresa fornecedora está envolvida na comunidade de segurança da informação, se já participou de conferências importantes no Brasil e no mundo, se contribui para projetos do tipo open source, se seus profissionais escrevem sobre segurança em blogs e se publica vulnerabilidades de maneira responsável.

5. Estude as experiências do fornecedor

Experiência é essencial na execução de pentests. Ninguém vai sugerir que você contrate alguém que acabou de sair da faculdade para invadir sua empresa. Além de experiência técnica, é importante que os profissionais tenham experiências administrativas em seu passado.

A partir do momento em que é dada permissão para dar início ao trabalho de pentest, ninguém da empresa deve precisar ficar dando ideias para os profissionais do que tentar em seguida. Portanto, é essencial que a equipe tenha experiência e um alto nível de conhecimento técnico.

6. Conheça as capacidades técnicas

Treinamento extensivo e experiência são fatores importantes que a maioria dos bons fornecedores de pentests tem em comum. Portanto, a empresa escolhida para executar testes de intrusão deve ter algumas certificações importantes que garantem treinamento e experiência, como CISSP, CEH, OSCP, entre outras.

Outras credenciais adicionais incluem a experiência da empresa em áreas específicas, como redes, gestão de sistemas ou desenvolvimento de aplicações.

7. Atente-se à precificação

Você deve obter cotações e recomendações de pelo menos três fornecedores de testes de intrusão, com informações completas sobre seus serviços. Isso vai ajudá-lo a determinar se o preço do pacote de entregas oferecido trará um retorno de investimento aceitável.

Nem todas as empresas de testes de intrusão são iguais em termos de serviço ou certificações, portanto, optar pela que tem o menor preço não vai agregar nada ao seu negócio além de profissionais inexperientes e entregas de baixa qualidade.

Perguntas a fazer para um possível fornecedor

Confira algumas perguntas importantes para facilitar seu processo de escolha:

  • Com quantos profissionais conta a equipe de testes de intrusão? Quais são suas qualificações?
  • Que tipo de assistência você pode oferecer na definição do escopo dos testes?
  • Quais são as modalidades de teste oferecidas pela empresa? Existem as opções de testes engenharia social?
  • Como é realizado o pentest? E em quanto tempo?
  • Quais são os passos para minimizar possíveis efeitos no negócio?
  • Haverá relatórios e recomendações depois do teste? Como esses dados serão entregues?

Conheça os diferenciais da IBLISS

Os testes de intrusão da IBLISS são executados manualmente por uma equipe de profissionais com alto nível de expertise que se mantém atualizada de todas as metodologias e usa como referência padrões de mercado, como NIST SP, 800-115, OWASP, OSSTM e ISSAF.

Os resultados são entregues no GAT, primeira plataforma SOAR do Brasil, que mantém à disposição da equipe o detalhamento técnico de cada vulnerabilidade, recomendações específicas para a correção, suporte e indicadores para acompanhar o processo de remediação das falhas encontradas.

Com isso, é possível determinar o nível de exposição de seu ambiente tecnológico, descobrir possibilidades de vazamento de informação e fraudes, e saber como se prevenir das ameaças cibernéticas antes que elas prejudiquem o negócio.

Mantenha sua empresa segura!

A Segurança da Informação e Privacidade é como uma eterna disputa entre criminosos e especialistas, mas que está em constante evolução, onde pessoas, tecnologias e boas práticas precisam andar de mãos dadas, para que a proteção dos dados e dos negócios esteja em foco total, afinal, reforçar a segurança cibernética é muito mais que uma tendência, é questão de necessidade e prioridade.

Aqui na IBLISS, contamos com o Programa de Teste de Intrusão que tem como objetivo identificar falhas de segurança em sistemas e redes corporativas. Fale com os nossos especialistas e saiba tudo sobre este programa.

Tão importante quanto saber quais ameaças podem impactar o seu negócio, é estar à frente delas!

#porumasociedademaissegura