• PT/BR
  • ENG/US

O que é um teste de intrusão e por que preciso dele?

  • 15/07/2021
  • Vitor Pio
  • Blog
  • Alto Contraste
  • +Aumentar fonte
  • -Diminuir fonte
O que é um teste de intrusão e por que preciso dele?

Os vazamentos de dados cresceram cerca de 67% nos últimos cinco anos. Até 2025, espera-se que o custo do crime cibernético global atinja 10.5 trilhões de dólares. Como prevenção, os testes de intrusão podem ser um dos primeiros passos para proteger sua empresa de ataques cibernéticos.

Mas o que é teste de intrusão, e por que você precisa dele? Neste blog post vamos explorar o assunto, os principais motivos para contratar um teste de intrusão e os tipos que você pode considerar.

O que é um teste de intrusão?

Um teste de intrusão (Penetration Test ou Pentest, em tradução do inglês) pode ser definido como um método minucioso para detectar as vulnerabilidades de segurança cibernética de equipamentos e sistemas. Os testes são realizados por hackers éticos, isto é, especialistas em segurança da informação contratados por organizações para exercerem testes em escopos definidos usando técnicas de hacking de modo que não prejudiquem a empresa.

Os testes de intrusão visam olhar para sua empresa de diferentes perspectivas para determinar quais sistemas, informações ou dados corporativos estão vulneráveis e consequentemente com risco de serem roubados. Entre essas perspectivas estão: caixa-preta, caixa-cinza e caixa-branca.

Um teste de intrusão é diferente de uma ferramenta que faz escaneamento de vulnerabilidades. Um scanner de vulnerabilidades é um programa que faz testes automatizados de alto nível, ou seja, procura e relata possíveis vulnerabilidades conhecidas que estão aparentes. Um teste de intrusão é uma análise prática detalhada e feita por um especialista de segurança que tenta detectar e explorar os pontos fracos evitando falsos positivos, além de recomendar melhorias para o design seguro respeitando a lógica de negócios do seu sistema.

Por que fazer um teste de intrusão?

Foi-se o tempo em que era suficiente ter apenas um antivírus e um firewall. Os ataques cibernéticos têm ficado cada vez mais sofisticados e é cada vez mais necessário construir mecanismos avançados de defesa.

Além de conhecer o cerne das fraquezas e das possíveis melhorias para sua empresa, os testes de intrusão auxiliam investimentos e esforços mais assertivos em Segurança da Informação de modo que verdadeiros resultados sejam alcançados através da avaliação de segurança.

“Não existem sistemas 100% seguros”.

Você já deve ter ouvido essa frase antes, mas será que realmente você entendeu o que ela significa? Fato é que todas as empresas estão suscetíveis a incidentes de segurança. Por mais que os colaboradores envolvidos no suporte aos sistemas, redes e proteção de dados sejam capacitados, ainda assim é possível que sua empresa sofra um incidente de segurança.

Para a proteção dos nossos ativos podemos escolher entre duas posturas: proativa e a reativa. O segredo para lidar com os incidentes de segurança é ser proativo e estar preparado para quando ele acontecer, evitando que criminosos explorem as possíveis vulnerabilidades dos sistemas de sua empresa a fim de gerar danos financeiros.

Os testes de intrusão estabelecem esta postura proativa, buscando identificar problemas antes que criminosos os explorem trazendo resultados. Quando falamos dos resultados esperados para os testes de intrusão podemos destacar:

  • Identificação de vulnerabilidades ocultas nos sistemas e aplicações antes de serem exploradas por criminosos;
  • Economia nos custos pós-incidente de segurança, trazendo redução de tempo de inatividade do negócio e recuperação;
  • Você testará a segurança do seu ambiente atual. Caso sua empresa possua algum problema de segurança explorável em sistemas e dispositivos, será possível desenvolver medidas de segurança que sejam eficazes.
  • Garantir que sua empresa cumpra as normas e requisitos de segurança;
  • Preservação da confiança dos clientes e reputação da empresa devido à preocupação com segurança.

Abordagens nos testes de intrusão.

Teste Caixa-Preta (Black-box)

Na categoria Black-box, os profissionais de segurança fazem os testes com poucas informações com objetivo de simular um ataque real, visando identificar e explorar as vulnerabilidades a partir de uma perspectiva externa.

Isso quer dizer que nesse tipo de teste os profissionais de segurança não possuem acesso ao código fonte, credenciais de acesso e informações sobre a arquitetura do seu software ou rede. Inicialmente eles possuem os mesmos acessos às informações que estão públicas da sua empresa e que poderiam ser exploradas por um atacante externo.

Teste Caixa-Cinza (Gray-box)

Nesta abordagem os pentesters possuem algum conhecimento e acesso parcial as informações para realizarem os testes, sendo assim seus acessos são diferentes dos usuários externos. São fornecidas algumas informações para passar uma visão geral de um sistema, como sua documentação, arquitetura, design e algumas contas de acesso para permitir uma avaliação de segurança mais eficiente e eficaz. O objetivo aqui é identificar áreas de alto risco reduzindo o tempo investido em engenharia reversa.

Teste Caixa-Branca (White-box)

Nos testes White-box é fornecido acesso completo à documentação, arquitetura e código fonte, entre outros detalhes. Aqui os profissionais de segurança terão a possibilidade de realizar a análise estática do código, tornando a avaliação mais profunda, pois todas as informações sobre o sistema são conhecidas. Isso permite uma abordagem mais abrangente das vulnerabilidades externas e internas.

Cadeado em cima de um teclado de computador

Quais são os tipos de testes de intrusão disponíveis?

Teste de intrusão em Aplicações

Aplicações e Softwares geralmente processam milhares de dados confidenciais durante sua existência. No teste de intrusão voltado aos sistemas, a intenção principal é estudar a eficiência dos controles de segurança visando identificar os riscos e explorar as vulnerabilidades encontradas.

Testes específicos para diferentes tecnologias:

Teste de intrusão em Aplicações Web

Segundo uma pesquisa feita em 2018 pela High-Tech Bridge, estima que 92% das aplicações web possuem falhas de segurança exploráveis. Para evitar vazamentos de dados, os testes de intrusão são indispensáveis para verificar falhas de segurança devido ao desenvolvimento inseguro, vazamentos de informações em APIs, bibliotecas com vulnerabilidades conhecidas e assim por diante.

No escopo de testes também podem estar os serviços e aplicações que se comunicam internamente como CRMs e ERPs, de modo que, identifiquem falhas que levem à exposição de dados sensíveis de software assim como informações pessoais de clientes, colaboradores e entre outros dados.

Teste de intrusão em Aplicações Mobile

Nos últimos anos o mundo observou uma grande explosão de aplicativos para Smartphones e SmartWatches. Muitas empresas, atualmente, dependem estritamente dos seus aplicativos para o funcionamento do seu negócio. Os testes de intrusão de aplicativos móveis buscam identificar e explorar todas as vulnerabilidades dentro de um aplicativo. Podemos citar alguns problemas em aplicativos como: armazenamento inadequado de dados sensíveis, criptografia ineficaz, possibilidade de injeção código, enumeração de usuários e assim por diante.

Fazer um teste de intrusão em aplicativos permite que as empresas tenham os conhecimentos cruciais sobre vulnerabilidades e vetores de ataque antes e após sua publicação. Deste modo, é possível evitar que outros aplicativos maliciosos “sequestrem” o seu App como comentamos no artigo sobre o StrandHogg.

Teste de intrusão em Sistemas Embarcados

Os sistemas embarcados possuem algumas peculiaridades pois funcionam em hardwares específicos e os testes também são direcionados para eles. Empresas do ramo automotivo, medicina, energia e petróleo & gás possuem esses sistemas em suas operações e muitos deles são feitos para não falhar!

Devido as singularidades dos sistemas embarcados, Scanners Automatizados não são suficientes para detectar possíveis falhas escondidas pois são necessários conhecimentos e habilidades especializadas para análise. Por exemplo: engenharia reversa, segurança de hardware, análise de firmware, injeção e hook de códigos são algumas das técnicas avançadas para descoberta de possíveis vulnerabilidades.

 

Teste de intrusão em Cloud

As empresas estão migrando cada vez mais suas soluções e dados para a nuvem. Alguns cenários podem ser altamente complexos e expor superfícies de ataque de formas que são fundamentalmente diferentes dos ambientes tradicionais.

Os testes de intrusão em nuvem devem ser um componente essencial para o desenvolvimento estratégico de uma organização considerando a segurança em nuvem. Eles incluem a enumeração da superfície de ataque de uma organização, identificação de fraquezas e vulnerabilidades de configuração, modelagem de ameaças e atividades de exploração orientadas aos objetivos definidos.

O pentest pode ser feito tanto em aplicações quanto na infraestrutura em Nuvem. Alguns dos problemas em ambientes cloud:

Exploração de serviços públicos

Chaves e tokens de acesso expostos podem levar a uma total exposição do ambiente em Cloud de uma empresa. Uma vez que um atacante tenha posse de uma chave secreta (secret key), ele pode se autenticar no ambiente da organização. O nível de acesso será determinado pelas funções e permissões do IAM atribuídas à chave comprometida.

Infelizmente muitos ataques hoje são frequentemente realizados através de chaves secretas vazadas involuntariamente ou expostas de várias maneiras como: mensagens de logs, quando estão no código fonte, quando as chaves estão armazenadas em diretórios não seguros e assim por diante.

Além disso, as secret keys podem ser obtidas através da exploração de vulnerabilidades de aplicações web, tais como Server Side Request Forgery (SSRF), XML External Entity (XXE) e Local File Inclusion (LFI), sobre as quais falaremos em próximos posts.

Exploração vulnerabilidades em containers

Tecnologias como Docker e Kubernetes introduzem também uma superfície de ataque significativa que as empresas precisam estar atentas. Existem dezenas de benefícios ao utilizar containers, assim como outros serviços em nuvem, mas eles podem estar vulneráveis a uma ampla gama de ataques. Exemplos de superfícies de ataque:

  • Utilização de imagens inseguras de containers
  • Portas de serviços expostas
  • Falta de controles de acesso baseadas na função exercida (Role-Based Access Controls, RBAC)

Quando um único vetor é explorado, ele pode levar ao comprometimento total do cluster e de outros serviços em nuvem.

Como faço para fazer um teste de intrusão?

Os testes de intrusão estabelecem esta postura proativa, buscando identificar problemas antes que criminosos os explorem. Eles são mais uma ferramenta para o posicionamento estratégico de sua empresa e estabelecimento da marca.

Se compararmos os testes de intrusão feito por uma empresa especializada com o treinamento de uma equipe interna para a investigação de problemas de segurança, podemos ressaltar o tempo que seria necessário para capacitação técnica da equipe e investimento financeiro em cursos e especializações.

Aqui no SiDi vivemos tecnologia e somos especializados em segurança cibernética. Oferecemos planos personalizados para testar a sua superfície de ataque, simulando um ataque real contra a sua empresa. Identificamos vulnerabilidades, desenvolvemos métodos plausíveis para explorá-las e disponibilizamos um relatório completo com os resultados encontrados e as respectivas sugestões de correção.

Seja proativo e entre em contato conosco. Corrija as possíveis vulnerabilidades do seu sistema, proteja seus dados e dos seus clientes!

#BeaSiDier

#BeaSiDier

Work at SIDI