Pentest – O que é Pentest?

Dando continuidade à pequena série de posts sobre conceitos básicos de Pentest, iniciamos com uma introdução sobre o tema na semana passada e agora prosseguimos com a explicação de termos que em algumas situações podem ser empregadas de forma incorreta, trazendo confusão, principalmente aos clientes que buscam pelo serviço.

Teste de Intrusão, Teste de Invasão, Teste de Penetração ou simplesmente Pentest (acrônimo para Penetration Test) é um procedimento legal e autorizado que visa identificar por meio de uma série de testes em um ambiente de rede, em um sistema ou em uma aplicação, possíveis vulnerabilidades que possam ser exploradas a partir de uma conexão na rede interna ou externa, permitindo acesso não autorizado a informações, dados e dispositivos na rede.

É muito comum encontrar profissionais e empresas no mercado que distinguem o Pentest de uma Análise de Vulnerabilidades. Segundo estes, a Análise de Vulnerabilidades é um procedimento que apenas faz uso de ferramentas automatizadas de escaneamento da rede para detectar vulnerabilidades pré-definidas em uma base de dados carregada por estas ferramentas, mas sem realizar a exploração destas falhas ou mesmo apontar recomendações para mitigação dos riscos de uma possível exploração. Já o Pentest, segundo eles, tem como objetivo realizar além do escaneamento, a exploração e a indicação da correção em relatórios detalhados.

De acordo com o dicionário, o verbete “análise” consiste em examinar de forma detalhada cada parte de um todo, buscando compreender tudo aquilo que o caracteriza. Portanto, uma Análise de Vulnerabilidades não pode ficar restrita a uma simples varredura automática. Se fosse este o conceito, então o correto seria chamar de Varredura ou Escaneamento de Vulnerabilidades. Algumas metodologias incluem a Análise de Vulnerabilidades como uma parte integrante de um Teste de Penetração, isto é, uma etapa a ser cumprida.

O Pentest consiste em uma série de ações que faz uso de ferramentas, processos e pessoas para chegar a um conjunto de informações relevantes que possam auxiliar a organização na identificação e mitigação dos riscos.

Lembrando que o objetivo desta série de publicações é de oferecer um nível básico de conhecimento, principalmente para clientes que desconhecem o serviço e ficam perdidos na hora de avaliar propostas que apresentam tantas variações de preços e que muitas vezes não estão abordando o mesmo propósito, ou seja, enquanto uma consultoria oferece um trabalho mais abrangente, com um nível de aprofundamento na inspeção do ambiente de rede, outros oferecem apenas uma varredura automatizada que obviamente será executada em menor tempo e com custos inferiores. Por isso que é importante entender o que está sendo oferecido para que a comparação dos serviços seja equilibrada, atendendo as expectativas de todas as partes envolvidas.

Semana que vem prosseguimos com a parte de como é feito um Pentest e quem quiser acompanhar a primeira parte dessa minissérie, basta acessar o link abaixo. Até mais!!!