Como vimos anteriormente, algumas normas e metodologias especificam pontos a serem avaliados, como aplicações web, perímetros da rede como firewall e dispositivos wireless, além de avaliações internas dos servidores, chegando até a avaliar pessoas e suas funções, especialmente no universo dos colaboradores internos da organização. De forma geral, o responsável pelo teste deve ter em mente que a avaliação não pode ser engessada, ou seja, ela deve atender as necessidades de cada cliente alvo. Para que isso aconteça, a definição do escopo deve ser acertada previamente junto com o cliente, verificando o cumprimento de normas e particularidades específicas de cada setor do mercado.
O que vai ser avaliado deve estar claramente definido entre o cliente e o prestador de serviço. O cliente pode precisar apenas da análise de uma aplicação Web específica, como pode também precisar de uma varredura em toda a rede, incluindo servidores, firewalls e dispositivos de conexão wireless. Como citamos no início do artigo, em alguns casos os Testes de Penetração envolvem até conceitos de Engenharia Social*, fazendo com que os funcionários também passem pelo crivo da auditoria. Se o cliente não sabe ao certo onde será realizado o teste, quais ativos realmente precisam deste tipo da avaliação, ele terá em mãos orçamentos de Pentests com valores completamente discrepantes, pois cada prestador irá indicar os alvos que em seu entendimento são mais importantes. Isso acontece justamente porque a parte contratante (o cliente alvo) não tem conhecimento básico do que é o Teste de Penetração e nem quais requisitos de segurança sua empresa precisa atender.
* No livro A Arte de Enganar (The Art of Deception, no original em inglês), o famoso hacker Kevin Mitnick apresenta a seguinte explicação sobre Engenharia Social:
A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.
Sobre a minissérie Pentest
Está minissérie de posts tratando de conceitos básicos sobre Pentest será composta por 6 pequenos artigos tratando aspectos importantes que precisam ser compreendidos tanto pelo profissional técnico que pretende avançar nessa área, quanto pelo profissional que precisa contratar este tipo de serviço e se vê perdido no meio de tantas opções que o mercado oferece.
Abaixo as quatro primeiras publicações que compõem a minissérie:
PENTEST – INTRODUÇÃO
PENTEST – O QUE É PENTEST?
PENTEST – COMO É FEITO?
PENTEST – QUANDO DEVE SER FEITO?
Fontes consultadas: Revista Infra-Magazine
Imagens: Pexels
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec
