Vulnerabilidade de rede normalmente tem as consequências que são realmente desagradáveis e caras. Em inúmeras ocasiões, para dizer pelo menos, as empresas aprenderam suas lições da maneira mais difícil: serviços parados por um bom tempo, extensos (caros também) trabalhos de recuperação, não dizendo nada sobre lucros cessantes e outros efeitos a longo prazo. As empresas de um lado mais inteligente têm um desejo por proteção de dados que é comprovadamente eficaz. Como provar? Imite ataques-quanto mais desagradável (de todos os lados e por vários meios), melhor.
teste de penetração
Foi assim, resumidamente, que os testes de penetração, abreviados para pentestes, ganharam vida.
Alvos à vista
Vamos citar rapidamente os objetos mais comuns de hacking. Eles são:
- Divulgação de informações em ambientes multinuvem, falsificação de solicitação do lado do servidor em particular.
- Procedimentos de autenticação, inclusive dentro de redes locais e tentativas de acesso externo.
- Mensageiros comuns, especificamente quando usados para compartilhar informações confidenciais.
- Software desatualizado e / ou incorretamente corrigido. Cópias não licenciadas parecem ser a presa mais fácil.
- Finalmente, é mais um assunto de hacking do que seu objeto. Humanos: com seu comportamento errôneo ou proposital para tirar mais proveito da empresa (como escalada de privilégios pessoais) ou simplesmente para causar danos.
Aderindo ainda à redação Militar: as ameaças estão presentes e claras. Portanto, as rotinas de sobrevivência conhecidas para uma unidade são exercícios regulares.
Fique doente para obter sua cura
Uma comparação inesperada: pense no teste de penetração como na vacinação. O que é essa picada, essencialmente? Uma pequena dose do que se pretende ser contra-o vírus ou bactéria real, UMP dissolvido-mil vezes. Na maioria dos casos, a injeção o deixará um pouco doente, mas imune a essa mesma doença, em alguns casos por toda a vida.
Os testes de penetração (e testadores) simulam o número de ataques direcionados para a mesma entidade única. Muitas tarefas são automatizadas, mas algumas, como invadir o SO, hardware e software de um cliente, exigem envolvimento manual.
As agressões externas são encenadas primeiro; a primeira linha de segurança é testada via Internet. Em seguida, o perímetro interno é inserido: os testadores com os direitos de acesso de um funcionário comum verificam uma rede interna – geralmente através da conexão VPN remota. Alguma atividade proibida do cajado do lado atacado é frequentemente testada também; tal comportamento pode até ser provocado dentro do conjunto de ataques. No final, o cliente recebe um relatório completo sobre como o negócio está protegido em geral e em detalhes; as questões mais críticas são colocadas em primeiro lugar, juntamente com as sugestões de melhoria.
Atualmente cinco métodos de teste de penetração estão em uso. O Open Source Security Testing Methodology Manual (OSSTMM) e o NIST SP800-115 parecem ser os mais utilizados.
Os regulamentos em relação aos testes de penetração merecem menção separada. As entidades que processam dados de cartões de pagamento são obrigadas a realizar testes de penetração de todo o perímetro anualmente, de acordo com o requisito 11.3 do PCI DSS. Algumas regulamentações locais também podem nutrir a existência de pentestes.
Por isso, os pentestes têm certas semelhanças com aquela vacina contra a gripe (ou o que quer que seja). Antes disso você fica bastante agitado, às vezes perturbado, aí tem um “AI” – mas na verdade dói muito menos do que o previsto, aí você está comprovadamente de boa saúde e livre para ser contatado sem preconceitos.
A coisa real, porém virtual
É um pouco assustador que um teste de penetração tenha que ser orquestrado absolutamente “ao vivo”: as preocupações dos clientes do tipo “e se as coisas derem errado” são compreensíveis. No entanto, a maior vantagem e, finalmente, o sentido do pentest estão em seu realismo. O cliente dado, a infraestrutura existente com suas colinas e poços – e no final a resposta muito confiável, portanto valiosa: o negócio está adequadamente protegido ou requer aprimoramento.
Abaixo está a descrição do pentest real realizado. Claro, não haverá nomes reais ou números exatos, mas simplesmente sinta a autenticidade nesta ampla referência:
“A especialização em segurança lateral é inevitável, pois é menos tendenciosa; os clientes geralmente não têm competência para realizar testes em grande escala. Infelizmente, as pequenas empresas consideram os testes de penetração muito complicados e caros. No entanto, realizamos o pentest para uma pequena empresa.
Nossa equipe qualificada atacou a infraestrutura corporativa do cliente através de todas as rotas disponíveis externamente e internamente. Não apenas ferramentas técnicas estavam envolvidas; alguma engenharia social também estava presente. Ele simulou ataques cibernéticos massivos e atividades de fraude interna, mas tudo sob controle e sem consequências perigosas.
Para imitar um modelo de caixa preta de intrusão, quando um invasor não tem alvos específicos, foi usado. Para testes de penetração interna modelo de usuário remoto, quando um hacker conecta estação de trabalho não controlada a uma rede local trhu VPN, foi escolhido. Não havia acesso lógico ao Domínio do Active Directory nem informações sobre a estrutura da rede e sua proteção disponíveis para esse usuário remoto. A proteção da rede sem fio foi testada via Modelo visitante, quando uma pessoa real ganha um acesso ao escritório do cliente ao lado.
Cada teste teve uma fase introdutória de reconhecimento, coletando nomes e zonas de domínio, endereços e componentes de rede, meios de proteção, aplicativos da web, nomes de contas, software e serviços em uso. Alguns dados sobre o pessoal também foram coletados: durante os testes sociais, a equipe realizou um envio de pseudo-phishing e monitorou a reação humana. Além disso, unidades flash USB com imitação de malware foram dispersas pelo escritório do cliente: as conexões das unidades com os computadores do Escritório foram gravadas remotamente.
A questão da confiança mútua foi grande durante toda a série de testes. Cada fase ou modelo foi minuciosamente conversado com o cliente. O memorando separado sobre danos potenciais ou mudanças irreversíveis foi assinado por ambos os lados; se a qualquer momento do teste o risco parecesse muito alto ou os testadores fossem bem-sucedidos em sua Penetração, as operações eram interrompidas imediatamente até nova liberação.
A conclusão do pentest veio surpresa para o cliente. A proteção externa ficou acima do Adequado. Enquanto a resistência da aplicação web aos ataques DDos parecia ser muito baixa. Portanto, os fraudadores em potencial não precisavam de muito poder de computação para passar.
A estrutura interna também revelou algumas questões significativas. Mas a principal preocupação não era técnica. Os funcionários do cliente demonstraram falta de cuidado e conhecimento sobre segurança de dados. Se uma rede corporativa parece firme por fora, sempre há o risco de alguém tentar devastá-la por dentro.”
O Checklist
Considerando testes de penetração para o seu negócio, tenha em mente:
- Qual o tamanho do seu faturamento?
- Quanto do seu negócio depende disso?
- Quanto você pode perder em caso de penetração?
