Segurança da Informação

Ξ 5 comentários

Penetration Test, será mesmo o fim?

publicado por Marcelo Carvalho

Muito tem se discutido sobre quais os benefícios diretos e indiretos que os Penetration Tests ou Testes de Intrusão podem trazer a uma empresa.  Esse foi inclusive o tema de um artigo publicado no CSOOnline o qual menciona o fim do Penetration Test que conhecemos em 2009.  Sem entrar muito no mérito do artigo em questão, gostaria de salientar alguns benefícios desse tipo de teste que por incrível que pareça acaba ajudando um CSO em varias áreas.

Mas antes disso vamos esclarecer alguns pontos.

Vulnerability Assessment X Penetration Test

Vulnerability Assessment utiliza-se na maioria das vezes de ferramentas que varrem (scan) a rede de computadores da empresa em busca de vulnerabilidades em dispositivos de rede, sistemas operacionais e aplicações.  Essas ferramentas dão resultados binários do tipo: 1- vulnerável a falha xyz ou 0 – não vulnerável.  Não tem como objetivo explorar a vulnerabilidade em busca de dados de clientes ou informações confidências, permanecendo de certa forma numa situação que podemos chamar de “possível risco porem sem dar uma clara idéia do que exatamente esta em risco ou qual possível impacto”

Penetration Test por sua vez, pode ter certo nível de automação porém por traz da execução esta um cérebro (ou mais 🙂 ).  O profissional que executa esse trabalho precisa ter o que se costuma chamar de “mind set”.  Ele precisa ter em mente, como uma informação adquirida de um dispositivo combinada com mais uma ou duas informações de outros dispositivos podem se transformar em uma oportunidade de invasão.

O objetivo do Penetration Test não e simplesmente varrer a rede por complete em busca de vulnerabilidades, mas sim demonstrar de quais maneiras os “bad guys” poderiam roubar informações confidenciais, inutilizar serviços de atendimento a clientes, adquirir dados pessoais de clientes para cometer fraude; em suma, burlar controles existentes que protejam o maior bem da empresa seja la qual for.

O relatório final de um Penetration test não deve conter somente uma lista de problemas encontrados; deve também conter recomendações para corrigir tais problemas.

Tipos de Penetration Test

Interno X Externo

Como se pode deduzir, o interno busca avaliar o nível dos controles de segurança existentes na rede do ponto de vista de um “atacante” que já esta conectado dentro da empresa.  Algum colaborador descontente, mal-intencionado ou; o que ocorre em muitos casos, colaboradores que estão sendo vitimas de algum tipo de coação ou chantagem pode se transformar no “bad guy”.

O Penetration Test Externo ou também conhecido como Perimeter Test visa testar os controles existente no perímetro da rede da empresa.  Quão bem preparada ou não esta a rede da empresa em relação a ataques provenientes da Internet ou outra rede conectada a ela.

Vale salientar que nos últimos anos o tipo de ataque que tem mais eficácia é o que envolve o elo mais fraco da corrente, os usuários.  Através de Engenharia social, SPAM + Trojan os “atacantes” conseguem penetrar na empresa sem muitas vezes burlar os controles no perímetro e para conseguirem acesso, abrem um canal de comunicação de dentro para fora. E o pior de tudo isso, é que na maioria das Corporações o sistema de detecção de intrusão está focado somente em ataques provenientes de fora para dentro.  Poucas empresas implementam tais controles para monitorar abertura de túneis de comunicação utilizando conexões vistas como normais (ex. HTTP, SMTP).

Black Box, White Box e Gray Box

Esses termos se referem à quantidade de informações que o profissional executando o teste tem do ambiente.

Penetration Test White Box – fornece mais informações para o profissional incluindo topologia de rede, endereçamento de rede e em alguns casos chega a fornecer até nome de servidores e função.  É mais utilizado quando a empresa quer validar que aquele segmento ou ambiente especifico está “seguro”, notem o seguro entre aspas.

Penetration Test Gray Box – um dos mais utilizados em Penetration Test Internos em grandes Corporações.  Impreterivelmente os contratantes terão que informar os endereços de rede que serão considerados no escopo do teste e os que serão considerados fora do escopo.  Isso é feito por simples precaução para que os profissionais ataquem redes de outras divisões da Corporação.

Penetration Test Black Box – muito utilizado tanto interna quanto externamente, não fornecendo nenhuma informação aos profissionais contratados para executar o teste.  Muitas vezes isso serve para verificar qual é o nível de exposição de informações relacionadas à empresa ou a infra-estrutura da empresa disponível na Internet.  No caso do teste interno, serve pra se medir, por exemplo, o que um visitante pode fazer ao conectar-se a rede da empresa.

Antes de se iniciar um teste de invasão o CSO tem que ter claramente definido o objetivo desse teste, e somente então definir o tipo Interno X Externo, Blak, White ou Gray box.

Benefícios diretos/indiretos do Penetration Test

Pergunta aos CSO’s: Qual de vocês nunca teve dificuldades em priorizar projetos, tarefas e verba com o intuito de minimizar os riscos existentes no ambiente da empresa?

Pois é, me incluindo nesse grupo posso dizer “Isso é um problema constante”. Mas a pergunta cabal é: “O que poderia me ajudar a tomar tal decisão alem do alinhamento com os objetivos da empresa?”. Nesse caso a reposta poderia ser o Penetration test.

O relatório do Penetration test contém a lista de problemas encontrados, assim como a recomendação de como mitigá-los e qual a criticidade do problema.  Geralmente a criticidade é definida pela correlação de: Complexidade de execução do ataque, necessidade de credenciais para executar com sucesso e impacto final da ação (ex. Acesso a dados confidenciais, acesso a dados de clientes).  Com essa informação em mãos o CSO pode criar iniciativas de correção dos problemas começando pelo mais critico até os considerados de baixa criticidade.

Ao mesmo tempo em que se está verificando os controles de segurança no ambiente, a capacidade de detecção e respostas a eventos suspeitos de segurança também é testada.  Isso pode resultar em outra iniciativa que visa melhorar a capacidade de detecção de incidentes e de resposta aos mesmos.

A conformidade com padrões de segurança de mercado ou mesmo com diretivas internas também está relacionada com os resultados do Penetration Test. Por exemplo, o item 11.3 do PCI (Payment Card Industry) standard define que as empresas têm que executar no mínimo um Penetration test Externo e Interno por ano para estar em conformidade.  Em grandes corporações são comum os problemas encontrados no Penetration Test se tornarem pontos de auditoria de TI que por conseqüência serão monitorados até a resolução.

Conclusão

A pratica do Penetration Test estará viva enquanto a premissa de segurança “Trust but verify” for verdadeira.  Além disso, ela está envolvida em outras áreas como planejamento estratégico de segurança, definição de prioridades do orçamento, compliance e auditoria de TI.

Referencias

http://www.csoonline.com/article/468766/Penetration_Testing_Dead_in_

https://www.pcisecuritystandards.org/

Autor

Marcelo Carvalho¸ CISSP, CISM, CEH, CHFI, Executivo de Segurança de Informação em multinacional Top 5 da Fortune. Formado em Ciência da Computação com 15 anos de experiência na área de segurança, MBA em gestão estrategica de TI tendo atuado como CSO e com foco nas seguintes áreas: Risk Management, Penetration Test, Incident Response e Digital Forensics dentre outras.

Marcelo Carvalho

Comentários

5 Comments

  • Olá Marcelo,
    Gostaria de parabenizá-lo pelo excelente artigo.
    Didático,esclarecedor e de grande valia para quem está iniciando no tema, ou mesmo para aqueles que estão dando um “Refresh”.
    Como em seu artigo foi dado muita ênfase a Redes,senti falta da citação de sistemas operacionais,bibliotecas autorizadas e aplicações corporativas,que também são aspectos essenciais em um PenTest. (Tudo bem,eu espero um outro artigo seu.)

    Este teste sempre existirá enquanto existir um mundo de TI ou qualquer outro nome novo que venha a ser batizado para a área.

    Abraços
    Rapanelli
    rapanelli@boxbe.com

    • Rapanelli,
      Obrigado pelo comentário, isso nos ajuda a ver o que esta faltando e como melhorar. Estou preparando um outro artigo especificamente analise de vulnerabilidades em aplicações . Fique ligado. Abraço.

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes