Pentest: O que é e porque é importante ?

Para a grande maioria das empresas que estão começando a criar a cultura de Segurança da Informação, tratar sobre segurança é somente apenas contratar ou comprar um equipamento de firewall e instalar software de anti-vírus nos computadores dos seus usuários.

Para as empresas que levam a Segurança da Informação a sério, uma das ferramentas utilizadas para validar e averiguar se suas medidas de controles de Segurança da Informação estão sendo eficientes em "barrar" as tentativas de acesso indevidos é a realização de um Pentest, ou como costumamos apresentar a nossos clientes, um teste de intrusão. 

Neste tipo de teste, o profissional tenta acessar as estruturas internas de uma empresa, fazendo-se valor de uma vulnerabilidade encontrada na estrutura de rede da empresa contratante. Claro que esta é uma forma simples de se falar sobre um Pentest mas, basicamente é assim que funciona. 

Mas, qual é a vantagem e a desvantagem em se contratar um serviço de Pentest ?

De forma geral, a grande vantagem de ter uma empresa testando a sua estrutura de Segurança é a possibilidade de ter um profissional, altamente treinamento e qualificado, testando todas os seus controles e regras de segurança. Com este teste, podemos validar se o caminho que estamos tomando e assumindo em nossa estrutura esta correto e se esta cumprindo a sua principal função que é "barrar" as tentativas de acesso indevido vindos, geralmente, do lado externo de nossa rede.Este tipo de teste pode ser executado de diversas formas, podendo ser executado totalmente do lado externo, ou também ser executado dentro da estrutura da empresa. Aqui vale um adendo. Atualmente, com o grande investimento que as empresas tem feito nas suas estruturas de borda, temos visto que a grande maioria dos problemas de Segurança da Informação, cerca de 85%, vem de dentro das empresas, causadas muitas vezes por funcionários mal intencionados ou até mesmo sem ter noção do que aconteceu.

Este é o primeiro de um conjunto de artigos que vou fazer sobre o assunto, mas neste primeiro momento vamos falar sobre o que é e quais os tipos de Pentest que as empresas podem encontrar e contratar no mercado.

Como falado anteriormente, o Pentest pode ser executado tanto dentro quanto fora das empresas e cada um deles tenta chegar ao mesmo resultado, a extração e uma informação, que pode demonstrar para a empresa e para a equipem de Segurança que ainda há campo para evoluir suas regras e controles.

O Pentest pode ser realizado com algumas maneiras, três para ser mais específico. A primeira e mais complicada para quem executa o teste é a famosa "Black-Box". Neste tipo de teste, o executar não tem informação alguma sobre a empresa, não recebe informação sobre sua estrutura e nem quais os equipamentos usados para proteger esta rede. Neste tipo de teste o que se busca é a maior proximidade com a realidade do dia-a-dia da empresa, que passa por este tipo de tentativa de acesso muitas vezes ao dia, e precisa entender se as suas regras de segurança e controles estão funcionando da forma como devem.

Uma segunda forma de executar um Pentest é chamada de "Gray-Box". Neste tipo de teste, o profissional recebe algumas informações sobre a empresa, ou suas estrutura, bem como sobre a equipe que trabalha para manter esta segurança. Este pode ser tido como uma execução mais fácil que a Blck-Box mas nem por isso menos valiosa. O que acontece neste tipo de teste talvez seja a redução do tempo de execução, tornando o resultado mais valioso para uma empresa que precisa de uma resultado mais rápido, mas nunca sem perder a importância inicial.

A terceira forma de executar este tipo de teste é o "White-Box", neste tipo de teste o executor tem toda informação possível sobre a estrutura e equipe da empresa, possibilitando assim que o profissional realize um pré-estudo e busque logo nos primeiros momentos  uma possível falha na estrutura da empresa. Este tipo de teste é o mais "fácil" de ser executado, pois possibilita pular uma série de passos anteriores à própria execução da tentativa de acesso, o que o torna o mais rápido e prático tipo de teste de invasão que pode ser executado.

Uma característica atual dos Pentest executados atualmente é a redução das tentativas de burlar as regras e controles de segurança das bordas da empresa e tentar explorar as fraquezas encontradas do lado de dentro das empresas, que muitas vezes são os mais fáceis de serem explorados, estamos falando dos usuários, que em muitos momentos não se contem em abrir um email enviado a eles com um "Subject" chamativos e que pode estimular a curiosidade do usuário, tornado toda a estrutura de borda inútil.

Nas próximas semanas farei mais alguns artigos sobre este serviço que toda empresa deveria, em algum momento contratar. Aguardem.