Pentest ou teste de invasão é um método de avaliação dos mecanismos de segurança implantados na empresa. O teste explora na prática as rotas de segurança, identificando as que possuem mais risco e os danos que causariam se um Cracker aproveitasse dessa oportunidade de forma mal intencionada prejudicando a corporação.
HACKER ≠ CRACKER
A função do Hacker é identificar possíveis falhas e apontar para as que as mesmas sejam devidamente corrigidas, enquanto um Cracker pratica essa invasão com objetivo de vazar ou destruir os dados. A diferença está na ética do procedimento.
Tipos de pentest
Maneiras de realizar um Pentest
Existem várias maneiras de realizar um Pentest, dentre elas as principais são: White Box, Black Box e Grey Box
- BLACK BOX
O teste em Black Box (caixa preta), segue uma premissa de não possuir grandes informações da corporação. Sendo utilizada normalmente por criminosos, esse tipo de teste demora tempo para ser executado já que exige um processo de tentativa e erro. O beneficio é que a a empresa conseguira ter uma visão próxima ao de um criminoso e saberá quais são as vulnerabilidades.
Esse método é indicado para empresas que possuem uma segurança bem consolidada, com processos, equipe e tecnologias em sintonia. O Black Box auxilia na identificação de fraquezas e vulnerabilidades que ainda existem na rede, complementando a segurança e colocando à prova para melhora contínua.
- WHITE BOX
O teste em White Box (Caixa branca), é a maneira mais completa de realizar um Pentest. Isso porque parte de uma análise integral onde avalia toda a infraestrutura da rede , ou seja, o Pentester já tem conhecimento das informações essenciais como senhas, IPs, firewall e estrutura. Com essas informações, o teste consegue direcionar o ataque em uma velocidade maior e descobrir o que precisa ser aprimorado.
O White Box é indicado para empresas que ainda estão em processo de consolidação da infraestrutura. podem ser essenciais para o estabelecimento de processos de segurança, revisão de políticas e priorização de tecnologias e sistemas a serem implementados.
- GREY BOX
O teste em Grey Box é definido como uma mistura dos dois tipos anteriores. Em outras palavras, a equipe que vai realizar o teste possui um conhecimento parcial sobre a infraestrutura da rede para realizar o teste. Dessa forma, o teste de Grey Box levara em conta as informações que tem para calcular o tempo e recurso para identificar as vulnerabilidades e ameaças.
O Grey Box, por conter informações sobre a aplicação, é perfeito para empresas que tenham ambientes logados, ou seja, com acesso a informações restritas e que podem cair nas mãos de pessoas mal-intencionadas.
Resumidamente:
- Black Box: Os testes são feitos com uma visão completa de um hacker externo, sendo assim o profissional não tem nenhum conhecimento do sistema interno da empresa.
- White Box: Um ponto de vista da equipe interna da empresa; o profissional tem o máximo de informações fornecidas.
- Grey Box: O profissional tem acesso parcial as informações, assim explorando as mesmas para realizar o ataque. Por ser um mix dos anteriores, é o tipo de teste mais recomendado.
É importante ressaltar que nem sempre o Black Box será a melhor opção por chegar mais próximo de um ataque real, afinal ele exigirá mais tempo para buscar as informações do sistema e também para tentar entender o funcionamento do mesmo. Enquanto um pentest White Box permite análises de seguranças adicionais. Ao utilizar o Grey Box, o tempo que seria gasto na busca de informações é na verdade utilizado para busca de vulnerabilidades existentes no sistema.
É possível escolher diferentes tipos de pentest, tudo depende dos alvos e da maturidade de segurança da empresa em diferentes escopos.
IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO
A segurança da informação garante que apenas os responsáveis tenham acesso aos dados pessoais que são coletados pela empresa. A priorização em investimentos na segurança das informações é essencial para evitar prejuízos financeiros em caso de um vazamento de dados, tal prejuízo dependendo de sua proporção pode levar a empresa até mesmo a falência em um período de 18 a 24 meses após o acontecimento.
Os 3 pilares principais da segurança da informação:
- Confidencialidade:
A confidencialidade diz respeito à privacidade dos dados da organização. Esse conceito serve para restringir o acesso à informações, assim evitando que os riscos de ações maliciosas (espionagem e ciberataques) divulguem conteúdo confidencial.
Para que ela seja reforçada, são adotadas diversas práticas preventivas, como por exemplo, a criptografia.
- Integridade:
Esse pilar está relacionado à preservação da precisão e confiabilidade dos dados. Nesse caso o objetivo é garantir que as informações se mantenham livres de qualquer alteração, conforme foram criadas.
Para reforçar a integridade nos processos de TI, é importante tomar medidas reforçando a infraestrutura de proteção dos dados, como: estipular controles de acesso para colaboradores, definir permissões de arquivos e utilizar sistemas de verificação para detectar alterações nos dados.
- Disponibilidade:
Tem a ver com a característica da informação estar sempre acessível para o uso pela empresa. Os softwares, hardwares, dados e conexões devem ser fornecidos para consultas dos colaboradores, afinal qualquer ausência pode dificultar ou até mesmo inviabilizar decisões, contratos e vendas, além de prejudicar a relação com o cliente.
Uma pesquisa realizada pela Unisys aponta que os brasileiros estão mais preocupados com a segurança e privacidade de seus dados, cerca de 75% da população teme um ataque cibernético, mais de um terço dos entrevistados declararam que deixariam de fazer negócios com uma instituição que não tratasse seus dados pessoais com responsabilidade.
ANPD E LGPD
A ANPD é a Autoridade Nacional de Proteção de Dados, um órgão Federal responsável por implementar e fiscalizar o cumprimento da LGPD, seu papel fundamental é de orientar preventivamente a aplicação da lei antes de penalizar. A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709/2018, é a legislação brasileira que regula o tratamento de dados pessoais coletados pelas empresas e será exigida em todo o território nacional à partir de Agosto de 2020.
Benefícios
- Auxiliar na capacidade de segurança das empresas validando suas defesas
O Pentest será responsável pela validação da estrutura segurança, assim garantindo se a empresa está realmente preparada para aplicar as devidas recomendações caso aconteça um ataque.
- Descobrir vulnerabilidades prevenindo um ataque cibernético
Os relatórios elaborados pelo Pentester consistem em todas as possíveis tentativas de invasão no sistema de segurança da empresa, explorando cada uma das rotas (exatamente como um cracker faria) e identificando eventuais falhas, assim auxiliando e orientando os desenvolvedores a cometerem menos erros e priorizarem as rotas de mais riscos.
- Gera valor para a empresa aumentando sua credibilidade e confiança com possíveis investimentos na área
Ao priorizar uma rota que está mais vulnerável a empresa identifica onde é necessário um maior investimento de verba na segurança, consequentemente a invasão será evitada e o prejuízo financeiro também. A corporação transmite uma boa imagem quando investe nessa área, demonstrando responsabilidade e comprometimento com os dados e informações armazenados em seu sistema.
Sua empresa está segura?
Assim como a tecnologia, as ameaças cibernéticas estão em constante evolução. Atualmente no Brasil o custo de um vazamento de dados de acordo com a IBM é milionário e esse custo inesperado pode ocasionar à declaração de falência de uma empresa. Segundo estudo conduzido pelo The Harris Poll, a maior parte da população brasileira acredita que as corporações não se dedicam devidamente à proteção dos dados que são coletados, sendo assim não se sentem seguros em cadastrar seus dados pessoais.
A Expertise da Achilleas está focada em nossos ethical hackers, assim sendo o braço direito das empresas ajudando-as a descobrir seu famoso calcanhar de Aquiles e prevenir que o mesmo seja algo crucialmente prejudicial para a corporação.
Referências
Fonte: 5 Benefícios do Pentest, veja porque ele é importante – Real Protect
Fonte: IBM notice: The page you requested cannot be displayed
Fonte: Qual é a verdadeira importância da segurança da informação? (bomcontrole.com.br)
Fonte: Brasileiros estão mais preocupados com segurança e privacidade de dados | CIO
Fonte: Qual a importância da segurança da informação em um ambiente digital? (resultadosdigitais.com.br)
Fonte: O que muda com a nova Lei de Dados Pessoais? – LGPD (lgpdbrasil.com.br)
Fonte: Quem vai regular a LGPD? — LGPD – Lei Geral de Proteção de Dados Pessoais | Serpro
Fonte: ANPD: O que você precisa saber sobre a Autoridade Nacional – Tripla (triplait.com)
Fonte: LGPD.indd (d335luupugsy2.cloudfront.net)
Fonte: Black box – Wikipedia
Fonte: Os três pilares da segurança da informação (catolica.edu.br)
Fonte: Os pilares da segurança da informação nas empresas (netsupport.com.br)
