Pentest – Como é feito?

Na terceira parte da minissérie de posts sobre Pentest, apresentamos as principais metodologias e referências que guiam os passos de como fazer as execuções dos testes de intrusão.

Não existe uma receita única, pronta para ser aplicada em qualquer ambiente de rede. Cada cenário deve ser avaliado e seu escopo definido em conjunto com o cliente, especificando os ativos a serem testados, o tipo de abordagem, o nível de aprofundamento dos testes, as definições de prazos de execução e entrega do relatório. Os resultados deverão ser descritos de forma clara e objetiva, com a apresentação das recomendações corretivas e preventivas para eliminar ou reduzir os riscos de uma possível invasão na rede.

Porém, mesmo não havendo uma receita de bolo pronta, existem metodologias que podem e devem ser aplicadas para chegarmos aos resultados mais conclusivos, reduzindo a possibilidade de surgirem falsos positivos e erros de interpretação dos dados. Mesmo assim, ainda encontramos muitas empresas que adotam metodologias próprias, o que dificulta a validação dos resultados.

A seguir, apresentaremos algumas das metodologias mais relevantes e reconhecidas pelo mercado de segurança.

OSSTMM – Open Source Security Methodology Manual

A metodologia OSSTMM é desenvolvida pela ISECOM (Institute for Security Open Methodologies), uma organização que realiza pesquisas na área de segurança de forma colaborativa, aberta e sem fins lucrativos. Trata-se de um manual de referência que pode ser aplicado a qualquer tipo de organização, independentemente do seu setor de atuação e tamanho. Abrange todas as áreas da segurança da informação, envolvendo a parte da segurança física, lógica e humana.

Outro ponto importante nesta metodologia é a realização do teste alinhada com a necessidade da organização, variando de acordo com o conhecimento prévio que o auditor possui em relação aos ativos que serão testados, assim como o nível de conhecimento que o alvo possui em relação ao teste a ser executado, conforme podemos verificar na tabela.

De todos os tipos de teste apresentados na tabela, o que mais se aproxima da realidade de uma tentativa de invasão realizada por um cracker é o tipo Double Blind, onde o atacante não tem informações do alvo e o alvo não sabe que será atacado.

OWASP – Open Web Application Security Project

A OWASP (ou Projeto Aberto de Segurança em Aplicações Web) é uma entidade sem fins lucrativos composta por diversos profissionais voluntários das áreas de tecnologia e segurança da informação. Atualmente possuí capítulos (filiais) espalhados em diversos países, entre eles o Brasil, com a finalidade de promover melhorias no desenvolvimento de sistemas, especialmente voltados ao ambiente Web. Além dos profissionais voluntários, grandes empresas de tecnologia ajudam a manter o projeto, como a Amazon, Fundação Mozilla, IBM, Oracle, entre outras. De todos os projetos desenvolvidos, um em especial tem ganhado espaço no mercado como uma referência tanto para desenvolvedores como para analistas de segurança: “OWASP TOP 10”. Trata-se de um estudo atualizado a cada três anos contendo informações sobre as principais vulnerabilidades em aplicações Web, com o objetivo de auxiliar as organizações na adoção de práticas seguras de desenvolvimento de software, apresentando recomendações para prevenir a exploração destas ameaças.

NIST – National Institute Standards and Technology

O NIST (Instituto Nacional de Padrões e Tecnologia) é um órgão do Departamento de Comércio dos Estados Unidos responsável pela promoção de competitividade e inovação industrial do país. O órgão desenvolve diversos documentos contendo as melhores práticas que podem ser adotadas livremente por qualquer setor do mercado norte americano. Para alguns departamentos do governo dos EUA, estas práticas devem ser obrigatoriamente seguidas.

Para a área de tecnologia e segurança da informação, o NIST desenvolveu uma série de metodologias (Série 800), incluindo uma específica para a realização de testes de segurança, denominada: “800-115 / Guia Técnico para Avaliações e Testes de Segurança da Informação”. Este guia está organizado em oito seções, sendo a Seção 1 introdutória, explicando o propósito e o escopo do documento. As demais seções estão divididas da seguinte forma:

Seção 2 – Apresenta uma visão geral das avaliações de segurança da informação, incluindo políticas, papéis e responsabilidades, metodologias e técnicas;
Seção 3 – Fornece uma descrição detalhada das várias técnicas de avaliação, incluindo análise de documentação, análise de logs, interceptação de dados na rede e verificação de integridade de arquivos;
Seção 4 – Descreve várias técnicas para a identificação de alvos e procedimentos para mapear possíveis vulnerabilidades;
Seção 5 – Explica as técnicas usadas para validar a existência de vulnerabilidades, tais como quebra de senha e testes de penetração;
Seção 6 – Apresenta uma abordagem e processo de planejamento de uma avaliação de segurança;
Seção 7 – Discute os fatores que são fundamentais para a execução de avaliações de segurança, incluindo coordenação, a própria avaliação, análise e manipulação de dados;
Seção 8 – Descreve uma abordagem para apresentação dos resultados da avaliação e fornece uma visão geral das ações para mitigar os riscos.

PTES – Penetration Testing Execution Standard

Uma das metodologias mais recentes e que vem ganhando espaço no mercado de Pentests é a PTES, que em uma tradução livre significa: “Padrão de Execução de Teste de Penetração”. Seu objetivo futuro é se tornar uma norma com diretrizes para padronizar a realização das avaliações técnicas de segurança por prestadores de serviços e dar suporte para que organizações que adquirem tal serviço possam exigir um trabalho dentro de um modelo de qualidade aceitável no mercado.

A metodologia PTES divide o processo de um Pentest em sete etapas:

1. Predefinição – Antes de realizar a execução da avaliação técnica, o executor da tarefa, em conjunto com o cliente, deve definir o escopo do teste, metas, expectativas e custos. É nesta etapa que são assinados os termos de confidencialidade entre as partes (NDA – Non Disclosure Agreement);
2. Coleta de Inteligência – O executor do teste inicia o processo de coleta de informações sobre o alvo, incluindo funcionários, instalações, produtos, sistemas, etc. Tudo que possa ser relevante e que possa auxiliar na identificação de vulnerabilidades;
3. Modelagem de Ameaças – Nesta etapa, o executor do teste analisa as informações coletadas para identificar quais as prováveis vulnerabilidades do alvo de acordo com o valor dos ativos da organização e o modelo de negócios do alvo;
4. Análise de Vulnerabilidade – Nesta etapa são realizados testes utilizando ferramentas automatizadas em busca de informações sobre as vulnerabilidades e as melhores formas de explorá-las;
5. Exploração – A etapa de exploração é o momento que o executor do Pentest obtém acesso a um sistema ou recursos, burlando controles de segurança que foram avaliados previamente;
6. Publicar Exploração – Trata-se da documentação de todas as informações sensíveis do alvo, de forma que possa permitir a identificação de novos ativos a serem explorados, obtendo mais acesso à rede do alvo;
7. Relatório – É a apresentação dos resultados do teste, incluindo as conclusões dos resultados alcançados, e o mais importante para o cliente, o direcionamento para eliminar ou reduzir os riscos de exploração destas vulnerabilidades.

Assim como a maioria das metodologias, o PTES também é uma entidade que depende da colaboração de profissionais, o que é muito importante, pois assim permite que especialistas de diferentes áreas possam expor suas percepções no processo de execução de um Pentest.

Analisando cada uma das metodologias, notamos que elas não obrigam o uso específico de ferramentas para realização dos testes, embora algumas como a PTES incorporem uma lista de softwares que auxiliam o profissional na execução de suas atividades. A lista é extensa, porém, para facilitar o trabalho dos auditores, existem algumas distribuições Linux que agrupam as principais ferramentas de Pentest em um único sistema, como o Backtrack, Kali (atualização do Backtrack), Pentoo, Backbox, entre outras.

Para profissionais que queiram iniciar de forma correta o entendimento de todos os processos que envolvem um Pentest, estudar o PTES é um ótimo começo.

Sobre a minissérie Pentest

Está minissérie de posts tratando de conceitos básicos sobre Pentest será composta por 6 pequenos artigos tratando aspectos importantes que precisam ser compreendidos tanto pelo profissional técnico que pretende avançar nessa área, quanto pelo profissional que precisa contratar este tipo de serviço e se vê perdido no meio de tantas opções que o mercado oferece.

Abaixo as duas primeiras partes da minissérie: