Pentest: uma abordagem ofensiva em SI

Por meio dos resultados obtidos com os testes de penetração, os gestores podem analisar o cenário de ameaças e avaliar onde precisam investir mais verba, com isso novas invasões serão evitadas e, consequentemente, novos prejuízos financeiros

Compartilhar:

Nos últimos anos os ataques cibernéticos cresceram absurdamente e têm causado prejuízos milionários às empresas de todos os portes. Os hackers conseguem acessar toda a infraestrutura, de endpoints a servidores e nuvem, onde roubam tudo, desde senhas até informações financeiras e dados estratégicos.

 

Para combater esse mal é importante que as empresas disponham de processos alinhados, tecnologias avançadas e pessoas competentes na área de Segurança da Informação e, principalmente, que conheçam suas fraquezas e vulnerabilidades.

 

Hoje, já é possível testar a eficiência da segurança dos dados da sua empresa através do pentest, um “teste de penetração” que examina fraquezas e vulnerabilidades da infraestrutura de TI.

 

Essas vulnerabilidades podem ser encontradas em softwares nos mais diversos pontos de entrada, tais como: backdoors em sistemas operacionais; falhas não intencionais na arquitetura do código de software; falhas na configuração e na gestão de softwares.

 

O pentest utiliza um mix de operações automatizadas e manuais e geralmente tem como alvo os servidores, endpoints de rede, redes wireless, dispositivos de segurança de rede, dispositivos móveis e wireless e outras áreas de exposição, tais como aplicações e códigos.

 

Contudo, devemos ressaltar que o pentest não se mantém apenas nesse nível, o primeiro objetivo é ir o mais longe possível dentro da infraestrutura de TI para acessar dados, informações estratégicas e senhas.

 

Atualmente, existem três tipos de pentest, o Black Box, Gray Boxe White Box. Para que as empresas escolham o teste ideal é importante que saibam quais são as minúcias e diferenciais de cada um.

 

Os benefícios com a aplicação do pentest são vários, dentre eles a validação da postura de segurança da empresa e de seus colaboradores, neste caso o teste irá avaliar suas defesas em todos os aspectos: tecnologia, processos e pessoas, e quando bem feito, utilizará técnicas avançadas de ataque, da mesma forma que os hackers o fariam. Colocando à prova a segurança dos dados e demonstrando eventuais brechas que ainda possam existir.

 

O segundo benefício é o da segurança na prática, pois um teste de penetração deve ser feito sem que as equipes internas de TI da companhia tenham conhecimento. Isso permitirá que a empresa teste com veracidade se os controles implantados oferecem proteção necessária, e se, uma vez vazados os dados, os procedimentos corretos de resposta a incidentes irão funcionar de maneira adequada.

 

Outro resultado positivo do pentest é o feedback sobre as rotas com mais risco na organização. O profissional pentester tentará entrar no sistema por qualquer meio possível, reproduzindo as ações de um invasor do mundo real. Isso pode revelar muitas das principais vulnerabilidades que a equipe de segurança e desenvolvimento nunca consideraram. Os relatórios gerados pelos testes de penetração fornecerão um feedback alinhado sobre a priorização de qualquer investimento futuro em Segurança da Informação.

 

Os resultados obtidos através do pentest auxiliam os desenvolvedores a cometerem menos erros, já que poderão compreender como um atacante externo entrou no sistema que eles desenvolveram, com isso estarão mais motivados a melhorar seus conhecimentos em Segurança da Informação, evitando erros semelhantes no futuro.

 

Por fim, o pentest pode ajudar na questão orçamentária, quesito de extrema importância para qualquer companhia.

 

Por meio dos resultados obtidos com os testes de penetração, os gestores podem analisar o cenário de ameaças e avaliar onde precisam investir mais verba, com isso novas invasões serão evitadas e, consequentemente, novos prejuízos financeiros também!

 

* Felipe Torquato é líder do Real Protect Security Red Team

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Anatel abre consulta para habilitar avaliação de Segurança em aparelhos móveis

Medida visa aumentar a proteção de dados corporativos e dos consumidores, e as contribuições podem ser feitas até 29 de...
Security Report | Overview

Deepfakes: Os desafios da Era da Informação manipulada

Diversas situações cotidianas recentes demonstraram a necessidade de manter atenção redobrada aos deepfakes que circulam nas redes, devido a sua...
Security Report | Overview

Hacktivismo puxa aumento de ataques DDoS no Brasil, alerta especialista

Pesquisadores da Check Point Software voltam a alertar sobre a ascensão de ataques de hackers em nome de ideologias e...
Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...