Teste de penetração (PenTest)

O teste de penetração é um método que muitas empresas seguem para minimizar suas violações de segurança. Esta é uma maneira controlada de contratar um profissional que tentará cortar seu sistema e mostrar as lacunas que você deve consertar.

Antes de fazer um teste de penetração, é obrigatório ter um acordo que mencionará explicitamente os seguintes parâmetros -

• qual será o momento do teste de penetração,

• onde será a fonte de IP do ataque, e

• quais serão os campos de penetração do sistema.

O teste de penetração é conduzido por hackers éticos profissionais que usam principalmente ferramentas comerciais, de código aberto, ferramentas de automação e verificações manuais. Não há restrições; O objetivo mais importante aqui é descobrir quantas falhas de segurança são possíveis.

Tipos de Penetration Testing

Temos cinco tipos de testes de penetração -

• Black Box - Aqui, o hacker ético não tem nenhuma informação sobre a infra-estrutura ou a rede da organização que ele está tentando penetrar. No teste de penetração em caixa preta, o hacker tenta encontrar a informação por seus próprios meios.

• Gray Box - É um tipo de teste de penetração onde o hacker ético tem um conhecimento parcial da infra-estrutura, como seu servidor de nomes de domínio.

• Caixa branca - No teste de penetração de caixa branca, o hacker ético possui todas as informações necessárias sobre a infra-estrutura e a rede da organização que ele precisa penetrar.

• Teste de Penetração Externa - Este tipo de teste de penetração centra-se principalmente na infraestrutura de rede ou nos servidores e seus softwares operando sob a infraestrutura. Nesse caso, o hacker ético tenta o ataque usando redes públicas através da Internet. O hacker tenta piratear a infraestrutura da empresa atacando suas páginas da web, servidores web, servidores DNS públicos, etc.

• Teste interno de penetração - Neste tipo de testes de penetração, o hacker ético está dentro da rede da empresa e conduz seus testes a partir daí.

O teste de penetração também pode causar problemas como o mau funcionamento do sistema, falha no sistema ou perda de dados. Portanto, uma empresa deve tomar riscos calculados antes de prosseguir com o teste de penetração. O risco é calculado da seguinte forma e é um risco gerencial.

RISCO = Ameaça × Vulnerabilidade

Exemplo

Você tem um site de comércio eletrônico online que está em produção. Você quer fazer um teste de penetração antes de torná-lo vivo. Aqui, você tem que pesar os prós e os contras primeiro. Se você continuar com o teste de penetração, isso pode causar interrupção no serviço. Pelo contrário, se você não deseja realizar um teste de penetração, então poderá correr o risco de ter uma vulnerabilidade não publicada que permanecerá como uma ameaça o tempo todo.

Antes de fazer um teste de penetração, recomenda-se que você coloque o escopo do projeto por escrito. Você deve ficar claro sobre o que será testado. Por exemplo -

• Sua empresa possui uma VPN ou qualquer outra técnica de acesso remoto e você quer testar esse ponto particular.

• Seu aplicativo possui servidores web com bancos de dados, então você pode querer testá-lo para o SQL, um ataque de injeção, que é um dos testes mais importantes em um servidor web. Além disso, você pode verificar se o seu servidor web é imune aos ataques DoS.

Quick Tips

Antes de prosseguir com um teste de penetração, você deve manter os seguintes pontos em mente -

• Primeiro compreenda seus requisitos e avalie todos os riscos.

• Contratar uma pessoa certificada para realizar um teste de penetração porque eles são treinados para aplicar todos os métodos e técnicas possíveis para descobrir possíveis lacunas em uma rede ou aplicativo da web.

• Assine sempre um acordo antes de fazer um teste de penetração.