As violações de dados resultam em perdas financeiras significativas para as empresas. De acordo com a IBM, o dano médio causado por violações de dados em 2020 foi de US $3,86 milhões. Metade desses incidentes foram causados por ataques cibernéticos.

As empresas podem evitar violações de dados realizando testes de penetração, porque inclui simulação de ataque em cima de outras técnicas. O teste de penetração (pentest) permite que as empresas identifiquem vulnerabilidades existentes em sua infraestrutura de TI e avaliem possíveis danos que podem ser causados por um ataque.

Testadores de penetração profissional siga metodologias e padrões aprovados pela indústria. Os cinco mais populares e conceituados são o OSSTMM, o NIST SP800-115, O OWASP, o ISSAF e o PTES. Embora qualquer um deles seja tecnicamente suficiente para realizar um pentest, as empresas de auditoria veteranas preferem usar vários ao mesmo tempo. A escolha exata depende das especificidades da empresa que está sendo auditada, como seus processos de negócios e de segurança da informação.

Vamos dar uma olhada mais de perto em cada uma das 5 metodologias e padrões.

OSSTMM

O Open Source Security Testing Methodology Manual (OSSTMM) é um dos padrões de teste mais populares. Foi desenvolvido pelo Instituto de segurança e metodologias abertas (ISECOM).

O OSSTMM oferece um plano de testes detalhado, métricas para avaliar o nível de segurança atual e recomendações para escrever um relatório final. Os criadores do OSSTMM garantem que qualquer teste realizado de acordo com o OSSTMM será detalhado e abrangente, e seus resultados serão mensuráveis e baseados em fatos.

O OSSTMM propõe cinco canais principais, ou direções, para testar a segurança operacional. Dividi-lo em canais facilita os testes e permite que os testadores avaliem o nível de segurança de uma empresa de maneira mais abrangente.

Segurança humana. O aspecto da segurança que trata das interações físicas ou psicológicas diretas entre as pessoas.

Segurança física. Qualquer elemento material (não Eletrônico) de segurança que seja operado física ou eletromecanicamente.

Comunicações sem fio. A segurança de todas as comunicações e dispositivos sem fio, de Wi-Fi a sensores infravermelhos.

Telecomunicações. Telecomunicações analógicas e/ou digitais. Esse canal diz respeito principalmente à Telefonia e à transmissão de informações internas por linhas telefônicas.

Redes de dados. A segurança de redes corporativas internas e externas, conexões de Internet e dispositivos de rede.

O OSSTMM é um padrão universal, o que significa que pode fornecer uma base para a realização de qualquer teste de penetração. Os testadores podem confiar nas diretrizes do OSSTMM ao adaptar o processo de avaliação de segurança a um cliente específico, para que seus processos de negócios, bem como as especificidades da tecnologia e do setor, sejam levados em consideração.

NIST SP800-115

Publicações especiais do NIST Série 800 é um padrão de segurança da informação desenvolvido pelo Instituto Nacional de padrões e Tecnologia. A publicação especial SP 800-115 descreve o procedimento geral de teste de penetração e os aspectos técnicos da avaliação do nível de segurança da informação de uma empresa. Ele também fornece recomendações para analisar os resultados dos testes e desenvolver medidas para reduzir os riscos de segurança. A versão mais recente deste documento se concentra especificamente na redução dos riscos de ataques cibernéticos.

O NIST SP800-115 é um guia técnico que pode ser usado para avaliar a segurança da informação em empresas de diferentes setores, incluindo finanças e TI. A utilização dessa metodologia pentest é considerada obrigatória pelas empresas profissionais de auditoria.

O NIST SP800-115 inclui, entre outras coisas:

• métodos de inspeção-revisar documentação, logs, conjuntos de regras e configurações do sistema, farejar a rede, verificar a integridade do arquivo;
• métodos para avaliar vulnerabilidades rotineiramente direcionadas — quebra de senha, engenharia social, pentestes;
• organizar a própria avaliação de segurança-coordenação, processamento de dados, análise e avaliação;
• ações a serem tomadas após a conclusão da avaliação — recomendações para redução de riscos, criação do relatório de avaliação, correção de vulnerabilidades.

OWASP

O Open Web Application Security Project (OWASP) é uma comunidade online aberta que oferece a metodologia mais completa para testar aplicativos, sites e APIs. A documentação do OWASP é útil para qualquer empresa de TI que queira desenvolver software seguro.

Esta documentação inclui:

OWASP Top 10. Um documento que descreve as vulnerabilidades mais difundidas em aplicativos da web e móveis, dispositivos IoT e APIs. As ameaças são ordenadas com base em sua complexidade e impacto nos negócios.

Guia de testes OWASP. Um recurso que contém várias técnicas para testar a segurança de aplicativos da web. Também inclui exemplos da vida real.

Guia do desenvolvedor OWASP. Um guia que fornece recomendações para o desenvolvimento de código seguro e confiável.

Revisão de código OWASP. Um guia que pode ser usado por desenvolvedores web e gerentes de produto. Ele oferece métodos eficazes para testar a segurança do código existente.

Uma das principais vantagens do OWASP é que ele descreve os testes em cada estágio do ciclo de vida do desenvolvimento de software: definição de requisitos, design, desenvolvimento, implantação e manutenção. Além disso, a metodologia OWASP abrange não apenas aplicações, mas também tecnologias, processos e recursos humanos.

Outra grande vantagem é que o OWASP pode ser usado tanto por desenvolvedores web quanto por pentesters.

A comunidade OWASP também criou o OWASP ZAP – uma ferramenta multiplataforma para testes automatizados, algo semelhante ao Burp Suite.

ISSAF

O Information System Security Assessment Framework (ISSAF) foi criado pelo Open Information Systems Security Group (Oissg) e abrange muitos aspectos da segurança da informação. Em particular, fornece recomendações detalhadas para testes de penetração: descreve as ferramentas apropriadas e como usá-las, bem como quais resultados os testadores podem esperar em várias circunstâncias.

O ISSAF é considerado uma metodologia complexa e minuciosa que pode ser adaptada para avaliar a segurança da informação em qualquer organização. Cada estágio de teste ISSAF é cuidadosamente documentado. Este recurso também contém recomendações de como usar ferramentas específicas em cada etapa.

A metodologia ISSAF sugere seguir uma sequência estrita de etapas ao simular um ataque:

• coleta de informações;
• mapeando a rede;
• identificando vulnerabilidades;
• penetrante;
• obter privilégios básicos de acesso e, em seguida, elevá-los;
• mantendo o acesso;
• comprometer usuários remotos e sites remotos;
• ocultando as pegadas digitais do testador.

PTES

O Penetration Testing Execution Standard (PTES) oferece recomendações para a realização de um pentest básico, bem como várias variantes de teste mais avançadas para organizações com altos requisitos de segurança da informação. Uma das vantagens do PTES é que ele fornece descrições detalhadas das metas e resultados esperados do pentest .

As principais etapas dos testes de acordo com o PTES:

• Coleta De Inteligência. A organização cliente fornece ao testador informações gerais sobre os alvos dentro de sua infraestrutura de TI. O testador reúne informações adicionais de fontes públicas.
• Modelagem de ameaças. As principais áreas e vetores de ataque são definidos com base em processos de negócios e elementos críticos de infraestrutura de TI.
• Análise de vulnerabilidade. O testador identifica e avalia os riscos relacionados à vulnerabilidade. Eles também analisam todas as vulnerabilidades que os invasores podem aproveitar.
• Exploração. O testador tenta explorar vulnerabilidades encontradas e assumir elementos do sistema de informação, imitando as ações de um invasor.
• Reportagem. A organização cliente recebe um relatório que contém resultados de pentest completamente documentados, com informações sobre vulnerabilidades encontradas, quão críticas elas são para o negócio e recomendações para corrigi-las.

O PTES também inclui um guia sobre a realização de testes de acompanhamento ou pós-exploração. Ele ajuda a empresa a determinar se as vulnerabilidades encontradas foram corrigidas corretamente.

Conclusão

Mesmo aplicando apenas uma metodologia, testadores experientes se esforçam para cobrir toda a gama de ameaças potenciais à organização do cliente. Eles também levam em consideração os riscos técnicos, organizacionais e legais para o cliente: um testador não fará nada que possa realmente ter um impacto negativo na empresa. Ao contrário de um invasor, um testador é muito mais contido quando se trata do efeito de suas ações na infraestrutura da Empresa Cliente.

Encontrar e corrigir vulnerabilidades o mais rápido possível é uma prioridade para todas as empresas. Entre outras coisas, ajuda a reduzir a quantidade de danos materiais que podem ocorrer se um invasor realmente conseguir explorar uma vulnerabilidade. É por isso que simular um ataque cibernético realizando um pentest é como um jogo de guerra: ajuda as empresas a ficarem sempre em Guarda.