A realidade do mercado atual exige que as empresas realizem a avaliação de segurança de seus sistemas. Dessa forma, é possível avaliar qual é o nível de segurança da organização. Esse tipo de avaliação é denominado Penetration Test (teste de penetração).
O que é um Penetration Test?
Um teste de penetração consiste em provas de ataque contra os mecanismos de defesa existentes no ambiente que está sendo analisado. Essas provas compreendem desde a análise de dispositivos físicos e digitais, até a análise do fator humano utilizando engenharia social. O objetivo desses testes é verificar sob situações extremas qual é o comportamento dos mecanismos de defesa, especificamente, buscando encontrar vulnerabilidades. Além disso, são identificadas as faltas de controle e as brechas que podem existir entre a informação crítica e os controles existentes.
Por que é necessário realizar um Penetration Test?
Há muitos casos em que as organizações sofrem incidentes que poderiam ter evitado se os mecanismos de proteção fossem reforçados no devido momento. Os incidentes compreendem casos tais como fuga de informação, acessos não autorizados, perda de dados, entre muitos outros. A análise dos mecanismos de proteção deve ser uma tarefa proativa permitindo ao pentester (pessoa que realiza a auditoria) encontrar as vulnerabilidades e oferecer uma solução antes que um cibercriminoso se aproveite da deficiência.
Quais atividades fazem parte de um Penetration Test?
Um Penetration Test compreende múltiplas etapas com diferentes tipos de atividades em diferentes ambientes. A profundidade com que são feitas as atividades irá depender de certos fatores, dentre os quais se destaca os riscos que os métodos usados durante a avaliação podem gerar ao cliente.
É estabelecido um acordo prévio com o cliente para realizar as diferentes fases da análise, que são descritas a seguir:
- Fase de reconhecimento: Possivelmente, esta é uma das etapas que demanda mais tempo. Ainda assim, são definidos objetivos e são coletadas todas as informações possíveis que logo serão utilizadas ao longo das fases seguintes. A informação pela qual se busca abrange desde nomes e endereços de e-mail dos empregados da organização, até a topologia da rede, endereços IP, dentre outros. Vale destacar que o tipo de informação ou a profundidade da pesquisa irão depender dos objetivos definidos na auditoria.
- Fase de rastreamento: Utilizando a informação obtida no passo anterior, buscamos possíveis vetores de ataque. Essa etapa envolve o rastreamento de portas e serviços. Em seguida, é realizado o rastreamento de vulnerabilidades que permitirá definir os vetores de ataque.
- Fase de enumeração: O objetivo desta etapa é a obtenção dos dados referentes aos usuários, nomes dos computadores, serviços de rede, dentre outros. A esta altura da auditoria, são feitas conexões ativas com o sistema e executadas consultas dentro dele.
- Fase de acesso: Nesta etapa finalmente é feito o acesso ao sistema. Esta tarefa é feita a partir da exploração das vulnerabilidades detectadas que foram aproveitadas pelo auditor para comprometer o sistema.
- Fase de manutenção de acesso: Após ter obtido o acesso ao sistema, se busca uma maneira de manter o sistema comprometido à disposição de quem o tenha atacado. O objetivo é manter o acesso ao sistema durante a operação.
Ainda que as fases que compõem um Penetration Test sejam as mencionadas anteriormente, cabe destacar que a partir dos resultados obtidos é gerada a documentação correspondente com os detalhes que compreendem a auditoria. Esta documentação é a que o cliente irá ver, e a que servirá como guia para tomar futuras decisões pertinentes.
Finalmente, é importante tomar os cuidados necessários para evitar sofrer ataques e incidentes na organização. Ainda assim, a segurança deve ser gerenciada contemplando a necessidade de se fazer auditorias periodicamente. O mais aconselhável é contratar empresas especializadas em serviços de auditoria de segurança, para que identifiquem vulnerabilidades na infraestrutura da rede, para poder trabalhar com direção à melhoria da proteção das informações corporativas.
Fernando Catoira
Analista de Segurança