O espaço on-line continua crescendo rapidamente, abrindo mais oportunidades para que ataques cibernéticos ocorram em um sistema de computador, rede ou aplicação da web. Para mitigar e se preparar para esses riscos, testes de penetração são uma etapa necessária para identificar vulnerabilidades de segurança que um invasor poderia explorar.
Um teste de penetração, ou "pen test", é um teste de segurança executado para simular um ataque cibernético em ação. Um ataque cibernético pode incluir uma tentativa de phishing ou a violação de um sistema de segurança de rede. Existem diferentes tipos de testes de penetração disponíveis para uma organização, dependendo dos controles de segurança necessários. O teste pode ser realizado manualmente ou com ferramentas automatizadas, seguindo uma metodologia específica de pen testing.
Os termos "hacking ético " e "teste de penetração" às vezes são usados de forma intercambiável, mas há uma diferença. Hacking ético é um campo mais amplo da cibersegurança que inclui qualquer uso de skills de hacking para melhorar a segurança de redes. Os testes de penetração são apenas um dos métodos usados pelos hackers éticos. Hackers éticos também podem fornecer análise de malware, avaliação de riscos e outras técnicas para identificar e corrigir fraquezas de segurança, em vez de causar danos.
O relatório do custo das violações de dados de 2023 da IBM constatou que o custo médio global de uma violação de dados em 2023 foi de USD 4,45 milhões, um aumento de 15% em três anos. Uma maneira de mitigar essas violações é realizando testes de penetração precisos e direcionados.
As empresas contratam testadores de penetração para lançar ataques simulados contra seus aplicativos, redes e outros ativos. Ao realizar ataques simulados, os testadores de penetração ajudam as equipes de segurança a descobrir vulnerabilidades críticas de segurança e a melhorar a postura geral de segurança. Esses ataques são frequentemente realizados por red teams, ou equipes de segurança ofensiva. O red team simula as táticas, técnicas e procedimentos (TTPs) de atacantes reais contra o próprio sistema da organização para avaliar o risco de segurança.
Há várias metodologias de teste de penetração a serem consideradas conforme o processo avança. A escolha da metodologia pela organização dependerá da categoria da empresa, do objetivo do teste de penetração e do escopo do teste de segurança. Não existe uma abordagem única que sirva para todos os casos. É necessário que a organização compreenda seus problemas de segurança e sua política de segurança para que haja uma análise justa das vulnerabilidades antes do início do teste de penetração.
Um dos primeiros passos no processo de teste de penetração é decidir qual metodologia seguir.
Abaixo, exploramos cinco dos frameworks e metodologias de teste de penetração mais populares para ajudar os stakeholders e organizações a escolherem o melhor método para suas necessidades específicas, garantindo que todas as áreas necessárias sejam cobertas.
O OSSTMM (Open Source Security Testing Methodology Manual) é um dos padrões mais populares de testes de penetração. Essa metodologia é revisada por pares para testes de segurança e foi criada pelo Instituto de Segurança e Metodologias Abertas (ISECOM).
Baseado em uma abordagem científica, o OSSTMM oferece guias acessíveis e adaptáveis para os testadores. Inclui recursos como foco operacional, testes de canais, métricas e análise de confiança em sua metodologia.
O OSSTMM fornece um framework para testes de penetração na rede e avaliação de vulnerabilidades para profissionais de testes de penetração. Seu objetivo é ser um framework para que os provedores encontrem e resolvam vulnerabilidades, como dados confidenciais e problemas relacionados à autenticação.
O OWASP (Open Web Application Security Project) é uma organização de código aberto dedicada à segurança de aplicações da web.
A meta dessa organização sem fins lucrativos é tornar todo o seu material sem custo e de fácil acesso para qualquer pessoa que queira melhorar a segurança de suas aplicações da web. O OWASP tem seu próprio Top 10 (link fora de ibm.com), que é um relatório bem mantido que descreve as maiores preocupações de segurança e riscos para aplicações da web, como ataques de cross-site scripting, autenticação falha e acesso por trás de um firewall. O OWASP usa a lista dos 10 principais como base para seu Guia de Testes do OWASP.
O guia é dividido em três partes: framework de testes OWASP para desenvolvimento de aplicações da web, metodologia de teste de aplicações da web e relatórios. A metodologia de aplicações da web pode ser usada separadamente ou como parte do framework de testes para penetração em aplicações da web, aplicativos móveis, APIs e dispositivos IoT.
PTES, ou Penetration Testing Execution Standard, é um método abrangente de teste de penetração.
Foi projetado por uma equipe de profissionais de segurança da informação e é composto por sete seções principais que cobrem todos os aspectos do teste de penetração. O objetivo do PTES é fornecer diretrizes técnicas para definir o que as organizações devem esperar de um teste de penetração e orientá-las ao longo do processo, começando pela fase de pré-engajamento.
O PTES visa ser a base para testes de penetração e fornecer uma metodologia padronizada para profissionais de segurança e organizações. O guia oferece uma variedade de recursos, como melhores práticas em cada etapa do processo de penetração, do início ao fim. Alguns recursos principais do PTES incluem invasão e pós-invasão. A invasão refere-se ao processo de obter acesso a um sistema por meio de técnicas de penetração, como engenharia social e quebra de senhas. A pós-invasão ocorre quando dados são extraídos de um sistema comprometido e o acesso é mantido.
O Information System Security Assessment Framework (ISSAF) é um framework de teste de penetração apoiado pelo Information Systems Security Group (OISSG).
Essa metodologia não é mais mantida e provavelmente não é a melhor fonte para as informações mais atualizadas. No entanto, uma de suas principais vantagens é que ela vincula etapas individuais de teste de penetração a ferramentas específicas, Esse formato pode ser uma boa base para criar uma metodologia personalizada.
O NIST, abreviação de National Institute of Standards and Technology (Instituto Nacional de Padrões e Tecnologia dos EUA), é um framework de cibersegurança que fornece um conjunto de padrões de teste de penetração para o governo federal dos EUA e organizações externas. O NIST é uma agência do Departamento de Comércio dos Estados Unidos e deve ser considerado o padrão mínimo a ser seguido.
Os testes de penetração do NIST estão alinhados com as diretrizes emitidas pelo NIST. Para cumprir essas diretrizes, as organizações devem realizar testes de penetração seguindo um conjunto de orientações pré-determinadas.
Antes de iniciar um teste de penetração, a equipe de testes e a empresa definem um escopo para o teste. O escopo descreve quais sistemas serão testados, quando o teste será realizado e os métodos que os testadores poderão utilizar. O escopo também determina o nível de informação que os testadores terão com antecedência.
A próxima etapa seria testar o plano de escopo e avaliar vulnerabilidades e funcionalidades. Nesta fase, podem ser realizados escaneamentos de rede e vulnerabilidade para obter uma melhor compreensão da infraestrutura da organização. Testes internos e externos podem ser feitos, dependendo das necessidades da organização. Há uma variedade de testes que os testadores de penetração podem fazer, incluindo um teste de caixa preta, teste de caixa branca e teste de caixa cinza. Cada um fornece vários graus de informações sobre o sistema de destino.
Uma vez que uma visão geral da rede é estabelecida, os testadores podem começar a analisar o sistema e as aplicações dentro do escopo fornecido. Nesta etapa, os testadores de penetração reúnem o máximo de informações possível para entender quaisquer configurações incorretas.
A etapa final é relatar e revisar os resultados. Nesta fase, é importante desenvolver um relatório de teste de penetração com todas as descobertas do teste, destacando as vulnerabilidades identificadas. O relatório deve incluir um plano de mitigação e os riscos potenciais se a correção não for realizada.
Se tentar testar tudo, você desperdiçará seu tempo, orçamento e recursos. Usando uma plataforma de comunicação e colaboração com dados históricos, é possível centralizar, gerenciar e priorizar redes, aplicações, dispositivos e outros ativos de alto risco para otimizar o programa de testes de segurança. O X-Force® Red Portal permite que todos os envolvidos na correção visualizem os resultados dos testes imediatamente após as vulnerabilidades serem descobertas e agendem testes de segurança conforme sua conveniência.