O que é?
Pentest é um acrônimo para Penetration Test (Teste de Penetração), também chamado de Teste de Intrusão é o processo que simula de forma controlada ataques à rede da empresa para identificar falhas no sistema de firewall, erros de configuração ou vulnerabilidades técnicas dos programas de computador, podendo chegar ao ponto de testar a segurança física da infraestrutura da organização, buscando acesso às informações nas dependências da empresa.
É importante não confundir Pentest com Scanner de rede!!! De forma resumida, enquanto a realização de um Pentest depende da interação de um ou mais especialistas que executam várias ferramentas, exploram diferentes métodos e analisam de forma criteriosa os resultados que podem conter falsos-positivos, o Scanner é realizado com a execução automática de uma ferramenta que irá apresentar um relatório de vulnerabilidades de sistemas ou dispositivos da rede. É comum que gestores recebam em mãos propostas de trabalho com preços completamente diferentes e se não houver o entendimento do que está sendo oferecido, não há como comparar os trabalhos, por isso em caso de dúvida, solicite maiores informações com os fornecedores. Dependendo da necessidade da organização, qualquer um dos dois tipos de testes podem ser executados.
Quem busca por esse serviço?
Gestores de TI de empresas que necessitam apresentar garantias aos seus clientes de que sua infraestrutura e seus sistemas estão atendendo os requisitos de segurança, seja para ter um diferencial competitivo no mercado, seja para atender solicitações de auditorias externas.
Órgãos públicos e indústrias em geral também estão iniciando a busca por este tipo de serviço, diante a crescente onda de ataques virtuais direcionados.
Empresas de e-Commerce, Desenvolvimento de Softwares estão entre os potenciais clientes, assim como de Finanças e seus prestadores de serviços, como:
- Escritórios de Cobrança
- Call Centers
- Gráficas
- Despachantes
- Seguradoras
- Transportes e Postagens
Um detalhe importante é que em muitos casos os fornecedores, especialmente ligados aos setores de Finanças estão sendo obrigados a apresentarem relatórios anuais ou após a cada mudança no ambiente de rede, para garantir que o nível de segurança ainda esteja dentro dos padrões solicitados.
Esse tipo de recomendação está baseado em normas como o PCI-DSS, além de diretrizes internas das áreas de segurança de bancos.
Como é executado?
Existem diferentes modalidades para a execução de um Pentest, onde o auditor e o alvo podem ou não ter conhecimento (total/parcial) sobre a simulação de invasão. Além disso, um Pentest pode ter como alvo ativos externos ou internos:
Teste de Invasão Externo: permite uma avaliação da segurança periférica do ambiente de rede, checando a existência de eventuais vulnerabilidades que possam ter sido originadas por falhas na configuração e/ou administração dos ativos como firewalls, roteadores e servidores contendo dados e aplicações.
Teste de Invasão Interno: O objetivo do Teste de Invasão Interno é identificar possíveis vulnerabilidades que possam ser exploradas por um agente com acesso às dependências da empresa, como um visitante ou mesmo um funcionário, conectando dispositivos pessoais ou fazendo uso dispositivos presentes no ambiente. Este tipo de teste permite avaliar se as políticas de segurança da empresa estão devidamente aplicadas.
Quais são os entregáveis?
O cliente receberá um relatório, que será apresentado pela equipe técnica envolvida nos testes, explicando:
- A metodologia adotada
- Tipo de teste executado
- Interpretações das vulnerabilidades
- Recomendações para eliminar ou mitigar os riscos de exploração dos ativos
Além disso, sua empresa poderá atestar a eficiência dos controles de segurança que se modificam com o tempo, seja pelas alterações nas regras e configurações do ambiente de rede, seja pelo constante surgimento de novas ameaças ou pelo novo posicionamento do negócio diante o mercado. Fato é que este tipo da avaliação deverá cada vez mais fazer parte das rotinas das equipes de TI, estejam elas cientes ou não dessas necessidades e a alta gestão é a responsável por fazer dessa ferramenta um mecanismo de aperfeiçoamento em busca de conformidade com as melhores práticas de segurança.
Ficou com alguma dúvida? Entre em contato que iremos lhe auxiliar no atendimento de suas necessidades.
Fontes consultadas: ABCTec
Imagens: ABCTec
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec